首页 > 其他分享 >如何在云原生环境中实现安全左移?

如何在云原生环境中实现安全左移?

时间:2022-12-22 11:01:54浏览次数:66  
标签:原生 开发人员 访问 左移 DevOps 安全 权限

在过去几年里,勒索软件一直是企业安全团队关心的头等大事,而当前软件漏洞问题数量也在逐渐抬头。基于云的应用程序和服务的爆发式增长以及数字化工作的增加,对黑客来说是一大利好,他们正在利用开发人员和 DevOps 团队快速迭代的工作来满足他们的企图。有人估计说,过去十年里40%的零日攻击都发生在2021年。
 

造成这一现象增长的原因有很多。开发人员重复使用代码,使得错误的配置和漏洞在不同的程序中反复出现,而且使用多云服务使得安全措施无法完整地实施,降低了代码的可见性。因此,开发人员和安全专家更倾向于在整个软件开发生命周期(SDLC)中更关注安全,特别是早期阶段。
 

安全左移原则与挑战

零日攻击的激增导致人们对左移的兴趣愈发浓厚,认为这是一种使安全成为开发过程中优先级靠前的方式。左移文化将安全问题在软件生命周期的早期阶段(即软件部署之前)引入,而不是在用户报告错误之后再打补丁。这种先发制人的方法有助于消除那些可能影响应用程序安全状况的漏洞,而这些漏洞可能连防御者都很难检测出来。
 

当开发者在云平台上构建应用程序时,如 AWS、Azure 等,左移原则也可能增强安全性,因为在这些平台上,对自研代码和平台安全工具的可见性可能有限。在左移文化中,DevOps 将最小权限原则应用到云工作负载的日常工作中,以保护网络基础设施,避免对这些工作流程授予过多权限。例如,在 Kubernetes 容器上设置基于身份的访问控制(RBAC)以增强集群上的最小权限模型并避免过多的权限,它们可能导致数据泄露。与此同时,从 CI/CD 工作站移除管理证书,阻止黑客利用流水线作为攻击媒介。
 

安全左移是一个很好的概念,但在执行中常常会遇到障碍,主要是由于开发团队之间内部的矛盾——业务团队希望加快开发进度,但安全人员则更为谨慎。这就导致了摩擦,开发人员警告说拒绝访问会影响他们的工作并导致部署延误,而安全分析师则担心太多的用户拥有未经审核的管理权限会造成数据泄露。要解决这些摩擦需要转变观念,即 DevOps 需要将安全理解为开发流程的一部分,同时管理人员信任开发人员已经拥有了安全意识。同时还需要将现有工具和培训与安全左移实践相结合,例如,满足CISO安全需求(赋予网络基础设施代码更大的可见性)和DevOps敏捷性需求(自动化安全防护和授权)的平台。最终目标是构建 DevSecOps 模型,将开发、安全和运维集中到一个敏捷、安全、高效的工作流程中。
 

如何在云端实现安全左移?

以下是4个最佳实践,帮助您在云端实现 DevSecOps:
 

获取深度可见性

随着企业经常在多云环境及混合云环境中工作,对软件资产的可见性通常会受到影响,这会导致难以及时察觉风险。企业能够清晰地知道环境中的所有身份、权限、配置和资源,以及对特定资源的所有访问路径,有助于建立云资产的上下文清单,以更好地管理它们并进行策略分析。
 

风险优先级排序

风险管理是所有安全项目的核心实践,但来自多个云厂商及系统的大量告警会让安全团队不堪重负。自动化工具可以在从开发到生产的整个云环境中帮助团队搜索并对风险进行优先级排序,发现关联问题并减轻跨多个环境和阶段对告警进行手动分类的工作量,从而使开发及安全人员能够腾出时间来处理更高优先级的风险修复任务。
 

即时访问

零信任架构已经成为大多数安全防御的标准,但由于管理访问权限十分困难,因此零信任架构常常遭受挑战。即时访问(JIT),即授予限时、可撤销的访问权限,是一个有用的工具,可以建立一个零信任的安全架构,并且能够维护最小权限策略。积极管理和监控开发者访问云环境的技术工具,包括对特权活动的密切审计跟踪,为安全提供了一个执行JIT访问和零信任的手段。
 

发现并阻止漏洞和错误配置

IaC 通过使用虚拟机、容器、微服务等,使软件在云中的部署更加灵活和高效。然而,在搭建云计算基础设施时,安全问题往往是事后才想到的,无论是否在生产环境中。企业应该扫描代码是否违反安全策略和存在其他风险,以便在它们进入生产之前进行修复。通过在开发工作流程中建立反馈和自动拦截机制,DevOps 和安全团队可以降低代码中的安全风险。
 

与零信任一样,左移正在成为保障网络安全的标准做法。但是,建立一个 DevSecOps 模型需要的不仅仅只是一个愿望。它需要执行该模式的实践、工具和培训,以及整个企业和外部云及安全合作伙伴的共同合作。只有团体的努力才能提供敏捷企业所需的云安全保障。
 

参考链接:
https://devops.com/implementing-shift-left-security-in-the-cloud/

标签:原生,开发人员,访问,左移,DevOps,安全,权限
From: https://www.cnblogs.com/sealio/p/16997920.html

相关文章

  • 信息安全之企业信息安全整体架构
    版权所有:https://blog.csdn.net/hsabrina/article/details/125780244,仅用于学习一信息安全目标信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可......
  • 使用受 Spring 安全性保护的资源创建简单 Web 应用程序
    本指南将引导您完成使用受Spring安全性保护的资源创建简单Web应用程序的过程。您将构建什么您将构建一个SpringMVC应用程序,该应用程序使用由固定用户列表支持的登录表......
  • 快应用VS原生APP,优势在哪里?
    在目前互联网技术迅猛发展的情况下,正所谓一山不容二虎。头部互联网企业以及手机厂商两大阵营正斗得不可开交。像是腾讯、阿里、百度、今日头条等头部互联网企业,都关注于小程......
  • Windows安全事件ID清单
    ID desc1100 事件记录服务已关闭1101 审计事件已被运输中断。1102 审核日志已清除1104 安全日志现已满1105 事件日志自动备份1108 事件日志记录服务遇到错误4608 Wi......
  • 华为云会议——安全得多,高效得很
      如今,云会议不断被企业使用,已成为企业高频刚需的数字化协作基础服务。华为云会议是基于云架构的多方视频会议服务平台,用云原生的方式将华为将近30年在视频通信领域的技术......
  • 云办公成趋势,华为云桌面全方位保障企业安全
    近几年来,云桌面作为一种新型企业级应用服务模式,已经被逐渐被企业所接受。因此,如何让云桌面能够高效稳定地运行也成为众多IT厂商关注的焦点之一。为了更好地为广大用户提供......
  • 安全灵活,华为云桌面成为数字化办公最佳搭档
    目前云上数字化办公已经是大势所趋,但是如何快速高效地为用户提供便捷高效的工作和生活体验,依然需要大量的技术投入来实现。而华为云桌面就是云上办公的门户与平台,它可以将各......
  • 云办公成趋势,华为云桌面全方位保障企业安全
    近几年来,云桌面作为一种新型企业级应用服务模式,已经被逐渐被企业所接受。因此,如何让云桌面能够高效稳定地运行也成为众多IT厂商关注的焦点之一。为了更好地为广大用户提供便......
  • 一文梳理 | 电力企业网络安全管理及等级保护工作重点
    前言为加强电力行业网络安全监督管理,规范电力行业网络安全工作,国家能源局近日印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》(以下简称“两办法”......
  • 微信公众平台消息安全模式的加密及解密
    微信的SDK太古老了,本人经过各种百度优化了一下。<?phpnamespaceapp\models\wechat;classwxBizMsgCrypt{private$token;private$encodingAesKey;......