在過去幾年裡,勒索軟體一直是企業安全團隊關心的頭等大事,而當前軟體漏洞問題數量也在逐漸抬頭。基於雲的應用程式和服務的爆發式增長以及數字化工作的增加,對駭客來說是一大利好,他們正在利用開發人員和 DevOps 團隊快速迭代的工作來滿足他們的企圖。有人估計說,過去十年裡40%的零日攻擊都發生在2021年。
造成這一現象增長的原因有很多。開發人員重複使用程式碼,使得錯誤的配置和漏洞在不同的程式中反覆出現,而且使用多雲服務使得安全措施無法完整地實施,降低了程式碼的可見性。因此,開發人員和安全專家更傾向於在整個軟體開發生命週期(SDLC)中更關注安全,特別是早期階段。
安全左移原則與挑戰
零日攻擊的激增導致人們對左移的興趣愈發濃厚,認為這是一種使安全成為開發過程中優先順序靠前的方式。左移文化將安全問題在軟體生命週期的早期階段(即軟體部署之前)引入,而不是在使用者報告錯誤之後再打補丁。這種先發制人的方法有助於消除那些可能影響應用程式安全狀況的漏洞,而這些漏洞可能連防禦者都很難檢測出來。
當開發者在雲平臺上構建應用程式時,如 AWS、Azure 等,左移原則也可能增強安全性,因為在這些平臺上,對自研程式碼和平臺安全工具的可見性可能有限。在左移文化中,DevOps 將最小許可權原則應用到雲工作負載的日常工作中,以保護網路基礎設施,避免對這些工作流程授予過多許可權。例如,在 Kubernetes 容器上設定基於身份的訪問控制(RBAC)以增強叢集上的最小許可權模型並避免過多的許可權,它們可能導致資料洩露。與此同時,從 CI/CD 工作站移除管理證書,阻止駭客利用流水線作為攻擊媒介。
安全左移是一個很好的概念,但在執行中常常會遇到障礙,主要是由於開發團隊之間內部的矛盾——業務團隊希望加快開發進度,但安全人員則更為謹慎。這就導致了摩擦,開發人員警告說拒絕訪問會影響他們的工作並導致部署延誤,而安全分析師則擔心太多的使用者擁有未經稽核的管理許可權會造成資料洩露。要解決這些摩擦需要轉變觀念,即 DevOps 需要將安全理解為開發流程的一部分,同時管理人員信任開發人員已經擁有了安全意識。同時還需要將現有工具和培訓與安全左移實踐相結合,例如,滿足CISO安全需求(賦予網路基礎設施程式碼更大的可見性)和DevOps敏捷性需求(自動化安全防護和授權)的平臺。最終目標是構建 DevSecOps 模型,將開發、安全和運維集中到一個敏捷、安全、高效的工作流程中。
如何在雲端實現安全左移?
以下是4個最佳實踐,幫助您在雲端實現 DevSecOps:
獲取深度可見性
隨著企業經常在多雲環境及混合雲環境中工作,對軟體資產的可見性通常會受到影響,這會導致難以及時察覺風險。企業能夠清晰地知道環境中的所有身份、許可權、配置和資源,以及對特定資源的所有訪問路徑,有助於建立雲資產的上下文清單,以更好地管理它們並進行策略分析。
風險優先順序排序
風險管理是所有安全專案的核心實踐,但來自多個雲廠商及系統的大量告警會讓安全團隊不堪重負。自動化工具可以在從開發到生產的整個雲環境中幫助團隊搜尋並對風險進行優先順序排序,發現關聯問題並減輕跨多個環境和階段對告警進行手動分類的工作量,從而使開發及安全人員能夠騰出時間來處理更高優先順序的風險修復任務。
即時訪問
零信任架構已經成為大多數安全防禦的標準,但由於管理訪問許可權十分困難,因此零信任架構常常遭受挑戰。即時訪問(JIT),即授予限時、可撤銷的訪問許可權,是一個有用的工具,可以建立一個零信任的安全架構,並且能夠維護最小許可權策略。積極管理和監控開發者訪問雲環境的技術工具,包括對特權活動的密切審計跟蹤,為安全提供了一個執行JIT訪問和零信任的手段。
發現並阻止漏洞和錯誤配置
IaC 透過使用虛擬機器、容器、微服務等,使軟體在雲中的部署更加靈活和高效。然而,在搭建雲端計算基礎設施時,安全問題往往是事後才想到的,無論是否在生產環境中。企業應該掃描程式碼是否違反安全策略和存在其他風險,以便在它們進入生產之前進行修復。透過在開發工作流程中建立反饋和自動攔截機制,DevOps 和安全團隊可以降低程式碼中的安全風險。
與零信任一樣,左移正在成為保障網路安全的標準做法。但是,建立一個 DevSecOps 模型需要的不僅僅只是一個願望。它需要執行該模式的實踐、工具和培訓,以及整個企業和外部雲及安全合作伙伴的共同合作。只有團體的努力才能提供敏捷企業所需的雲安全保障。
參考連結:
https://devops.com/implementing-shift-left-security-in-the-cloud/