在雲中實現左移安全性

雖然勒索軟體在過去幾年中一直是企業安全團隊的關注重點，但軟體漏洞問題正在緊隨其後。基於雲的應用程式和服務的蓬勃發展以及工作數字化程度的提高對網路攻擊者來說是一個可利用的點，他們正在利用開發人員和DevOps團隊試圖更快，更智慧地工作以滿足需求。據估計，僅在過去十年中，每10次0day攻擊中就有 4次發生在 2021 年。

很多因素導致了這種增長。重用程式碼使得錯誤配置和漏洞在不同的程式中重新出現，並且使用多個雲服務會分散安全措施並降低執行許多企業功能的程式碼的可見性。這就是為什麼開發人員和安全專業人員都更加關注整個軟體開發生命週期(SDLC)的安全性，尤其是在早期階段。

左移安全原則和挑戰

0 day激增導致人們對左移實踐投入更多關注，這是將安全作為發展過程中優先事項的一種方式。左移文化在軟體生命週期的更早階段，即在軟體部署之前，將安全性引入到開發中，而不是在使用者報告錯誤後才進行修補。這種先發制人的方法有助於防止那些不為防禦所知的漏洞。

當開發人員為雲平臺(如Amazon Web Services、Microsoft的Azure或谷歌cloud)構建應用程式時，左移原則還可以增強安全性，因為這些平臺的專有程式碼和安全工具的可見性可能受到限制。在左移文化中，DevOps將最低特權策略嵌入到雲工作負載的日常工作中，以保護網路基礎架構並避免對這些工作流授予過多的許可權。

例如，在Kubernetes容器上設定基於角色的訪問控制(RBAC)可以在這些叢集上實施最小許可權模型，並避免可能導致攻擊的過多許可權，而從持續整合/持續交付(CI/CD)工作站中刪除管理憑據可以阻止網路攻擊者使用這些管道作為攻擊載體。

左移安全性是一個很好的概念，但在執行中容易產生阻礙，主要是開發團隊之間的內部衝突，他們希望按照業務速度移動，而安全人員採取更謹慎的方法。

解決這種摩擦需要轉變思維方式，DevOps中安全是開發過程的一部分，管理層可以相信開發人員已經掌握了安全。除了團隊人員都掌握安全開發資訊，也需要工具和培訓來整合左移實踐，如 靜態程式碼檢測等一系列安全測試工具。最終目標是建立DevSecOps模型，將開發、安全和運營整合到一個敏捷、安全、高效的工作流程中。

如何在雲上採用左移安全性

以下幾個實踐可以提供幫助：

獲得深度可見性：由於企業經常在多個雲環境中工作，並將公共和私有云混合到混合基礎設施中，資產的可見性通常會受到影響，這使得難以清楚地瞭解風險。能夠發現環境中的所有身份、許可權、配置和資源以及對特定資源的所有訪問路徑，有助於構建雲資產的上下文目錄，以便更好地管理它們並進行策略分析。

確定風險優先順序：風險管理是任何安全計劃的關鍵實踐，但來自多個雲提供商和系統的大量警報可能會使安全運營中心不堪重負。自動化工具現在可以在整個雲環境中搜尋風險並確定其優先順序，從開發到生產，發現問題組合並減輕跨多個孤島手動對警報進行排序的工作量，從而讓員工騰出時間處理更高優先順序的緩解和修復任務。

查詢並防止漏洞和錯誤配置：基礎架構即程式碼 (IaC) 使軟體部署在雲中(透過使用虛擬機器、容器、微服務等，更加敏捷和高效。但是，在建立雲基礎架構時，安全性通常是事後才想到的。組織應掃描違反安全策略的程式碼和其他風險，以便在缺陷進入生產環境之前修復缺陷，並檢測和修復生產環境中的問題。藉助開發工作流中內建的反饋和自動化工具，DevOps 和安全團隊可以降低程式碼中的安全風險。

在Gartner2023年網路安全八大關鍵預測中，DevSecOps將成為業務關鍵。但是構建DevSecOps模型需要的不僅僅是良好的意願。它需要實踐、工具和培訓來執行該模型，以及整個企業以及與外部雲和安全合作伙伴的合作心態。團隊合作為敏捷業務需求提供雲安全的基礎保證。

文章來源：

https://devops.com/implementing-shift-left-security-in-the-cloud/