譯者|天道酬勤編輯|許衛龍
封面圖| CSDN下載自視覺中國
當今時代,企業網絡和數據安全風險從未如此具有裏程碑意義。盡管如此,傳統方法(包括公共雲運營商使用的方法)基本上是相同的。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
雲原生應用的興起及其安全威脅
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
當今時代,企業網絡和數據安全風險從未如此具有裏程碑意義。盡管如此,傳統方法(包括公共雲運營商使用的方法)基本上是相同的。
求助於應對措施來處理威脅而不是阻止它們。雲原生應用受到越來越多的關註,傳統智慧受到了無微不至的質疑。
從基礎設施到應用程序開發,stack在傳統方法和更現代的基於雲的方法之間形成了鮮明的對比,它們中的大多數都達成了關於成功模式和實踐的主流觀點:DevOps文化、持續交付和微服務架構。為什麽我們還沒有重新設想雲原生安全?關於這壹點,我們大膽的新想法在哪裏?
可以肯定的說,在交付應用的過程中,雲原生的安全性已經被追蹤了很久。傳統的IT安全團隊把自己當成中間人。他們必須正確地完成工作,否則他們將面臨該機構所面臨的更大風險。
它們在所有過程中要求高度的安全性,但要達到這些水平需要時間、測試和修改。開發團隊經常抱怨,因為這將延遲應用程序的開發,並且通常無法確保全面的保護。
當組織希望改進和加快應用改進生命周期並安排雲原生應用時,安全性將成為更突出的考驗。大多數雲原生應用運行在新模型中,這可以提供非常規的生產力、適應性和成本優勢。
用dev-ops開發的雲原生進壹步把DevSecOps作為其安全組件。DevSecOps試圖將安全性融入速度、敏捷性和持續交付的流程中。但是,如果DevSecOps忽略了集成、業務流程功能和控制,並且對用戶的安全性較低,則可能很難在連續交付系統中提供安全性。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
雲本機漏洞
雲原生肯定會有漏洞。作為人類,我們必然會犯錯誤,尤其是在嚴格的截止日期和產品交付之後。盡管有各種警告、跡象和預防措施,我們還是會做出壹些錯誤的判斷。
在警告的過程中,人們不斷地從Stack Exchange中盲目復制粘貼來掩蓋在GitHub上找到的應用,甚至從壹個毫無頭緒的文件夾中隨意拉出代碼,只能懷疑作者從未見過甚至沒有和第三方談過話。
微服務應用的分布式特性意味著,通過消除第三方參與者的風險,不同的組件可能歸不同的團隊所有,即使所有代碼都是內部編寫的。
團隊之間的溝通障礙會導致壹系列問題,包括測試、質量保證甚至應用程序中的bug解決缺乏協調。
單個雲原生應用可以包括分散在許多基礎上的數千個剩余任務。本地數據中心,很多公有雲,邊緣數據中心可能會有奇怪的微服務。最後,在組織領域,似乎還發展不起來。
每個開發人員和每個開發團隊都知道並理解如何解決不同的問題。他們所做的就是相應地培養他們的註意力和知識。在內部代碼環境中,即使所有部門都以某種方式保護其更廣泛程序的壹部分,微服務也必須聯系其他部門,而通信在這裏是壹個風險或漏洞。
所有這些說法聽起來令人望而生畏,令人恐懼,但雲的誕生確實解決了壹些非常復雜的現實問題,我們不能再忽視它的存在。隨著我們不斷升級其安全性,雲的原生漏洞也在不斷發展,壹直存在。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
雲原生應用的主要威脅
盡管公司開始體驗雲原生應用的優勢,但他們對處理和維護這種系統的實際方面知之甚少。與雲環境相比,保護的後果與傳統系統有很大不同嗎?保護措施和保障措施是如何影響它的?
以下是基於雲的環境中的壹些主要安全問題:
1.雲配置錯誤。
IaaS和雲數據存儲的配置錯誤是壹些最具破壞性的雲違規和數據泄露的主要原因。無論妳是想刪除結構化的雲安全設置,使用通用代碼,不受限制地訪問某些資源,還是出於任何其他原因,配置錯誤都會導致許多未知的威脅,這些威脅往往只有在尷尬的遭遇後才會見諸報端。根據最新的雲安全報告2019,大約40%的組織認為錯誤配置雲平臺是他們對網絡安全的主要擔憂。
2.商業管理IT
不用擔心“影子IT”或“流氓IT”。毫不誇張地說,壹些公司已經將基礎設施收購的趨勢標記為“商業管理的IT”以及創造力和發展的引擎。根據Harvey Nash/KPMG CIO 2019調查,目前,超過三分之二的公司推動或允許企業進行IT管理。這是因為公司擊敗行業競爭對手的能力提高了52%,提供更好員工服務的可能性提高了38%。
令人擔憂的是,如果沒有信息和網絡安全專業人員的合作,這些雲技術孤島可能會成為組織的巨大安全障礙。這些公司的發展速度相當快,但調查顯示,冗余安全風險的可能性是後者的兩倍。
購買混濁的產品
雲防護聯盟報告顯示,大部分公司依賴各供應商的雲環境購買多雲產品。約66%的公司有多雲設置,其中約36%依賴於多雲和混合系統的混合。
目前,雲計算向其雲消費者提供壹系列服務(SaaS、PaaS、IaaS),因為雲實際上是所有其他希望降低其運營處理成本的企業的首選工具。雲在其整個環境中提供安全性、快速響應和服務質量。然而,每當用戶無法從壹個雲遷移到另壹個雲時,它將保持成本和QoS可擴展性。為了克服這種雲計算框架,引入了基於雲的系統之間的資源動態共享。在多雲的設備中,安全就更復雜了。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
4.混合架構
根據著名的“雲安全聯盟報告”,大約55%的組織擁有復雜的混合操作雲計算環境。該系統為大型組織逐步過渡到雲提供了壹種出色的方式,但當他們難以跟蹤整個架構中的資產並監控許多混合雲連接的活動時,它會帶來安全挑戰。事實上,Firemon發布的壹份報告顯示,80%的組織正在挑戰混合安全監控和管理工具的局限性和復雜性。
5.黑暗數據
就像電信行業的暗光纖壹樣,暗數據同樣適用於企業和商家。這裏有許多未開發的和大部分未受監管的數據。他們只是存在,什麽都不做。
不幸的是,雖然暗光纖明確代表了僅通過照明來增加功率和帶寬的優勢,但即使被識別並忽略,暗數據也可能存在安全風險,無論它們是錯誤在用戶手中還是不在用戶範圍內。
大多數關於暗數據的爭論往往集中在組織的潛在價值和有用性上。事實上,這些前景對於願意花費資本(金錢、設備和時間)來創造和使用鎖定在暗數據中的知識和利益的組織來說,無疑是有利可圖的。這也解釋了為什麽許多公司拒絕在短期內或規劃過程中進壹步交流黑暗的細節,盡管他們不打算代表他們工作。
正如許多潛在有吸引力的信息資源壹樣,企業也必須意識到,暗數據或關於暗數據及其客戶和他們的雲運營的暗數據可能會給他們的持續健康和福祉帶來風險,這超出了他們的直接控制和管理。根據最近的研究,40%的組織仍然處於容器環境安全策略的規劃或基本階段。
6.容器和容器裝置
如果妳在表面上使用容器開發應用,或者將現有的單源(單片)應用帶入容器化的生態系統,妳必須明白容器環境會帶來奇怪的安全威脅。從第壹天起,妳就應該準備好應對這些威脅。開始構建您自己的容器,它將在生產行業中安裝和運行。
以下是最常見的容器安全風險:
特權符號:即使對容器有深刻理解的人也能知道特權容器的含義。使用特權標誌的容器幾乎可以執行服務器可以執行的任何操作,並獲得對客戶機資源的訪問權。這意味著如果入侵者進入壹組受保護的標誌盒,它們可能會被破壞。
無限制交互:為了實現其目標,容器必須相互交互。但是,容器和微服務的數量以及容器的短壽命設計通常意味著可能很難實施符合最小特權概念的網絡或防火墻法規。然而,妳的目標應該是讓容器只與那些減少攻擊面所必需的東西進行交互。
缺乏隔離:集裝箱安全是壹把雙刃劍。除了使用壽命短和功能有限之外,它們不可更改的特性還提供了各種安全優勢。但是容器也可以用來攻擊主機。正如我們之前討論的,這種危險存在於帶有特權標記的容器中。底層主機可能受到許多其他錯誤配置的威脅。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
確保整體安全性
為了接近雲的原生安全性,最好不要使用傳統的手動安全技術。此外,為了建立壹個成功的DevSecOps,IT部門應該關註將自動化和安全人員集成到DevOps團隊中。由於其在容器基礎設施中的微服務架構軟件包,基於雲的應用可以比傳統應用擴展得更快。以上意味著手動安全方法太慢,無法保留,自動化是強制性的。將安全團隊分組到DevOps中可以確保安全性包含在應用程序代碼中,而不是壹旦發現問題就進行修改。這也可以加快和澄清對問題的反應。
讓我們來談談DevSecOps的五大支柱,它們在確保全面的網絡安全方面具有巨大的潛力:
安全合規部署管道:分析工具、集成管道以及如何將合規和審計集成到DevSecOps和雲原生開發的管道中。
安全合規的雲平臺:身份和訪問管理評估、檢測控制、基礎設施保護、數據保護和事件響應。
代碼壹致性:在軟件開發過程中,合規性被視為確保管理、合規性和任何風險緩解問題的代碼框架。
機密信息管理:在混合雲業務模型中管理基於雲的敏感信息、密鑰和證書。
容器隱私:容器如何適應安全策略,如何鏈接容器安全威脅,以及如何審查容器操作模型和檢查。
所有這些支柱都是重點關註的領域,因此業務安全得到了壹致和完整的應用,並需要進壹步審查。為了給每個執行支柱提供壹個跨部門的願景,所有支柱都是橫向管理的。這些治理模式適用於每個支柱,並確保支柱以互利的方式運作。
受保護的交付:確保受支持的應用程序平臺和雲基礎架構穩定、合規且安全。
安全模型:開發安全位置和威脅模型,支持客戶的多樣化接受。
信息保護:確保內部和外部員工不受客戶數據的保護。
風險評估:包括當前架構、容器策略和雲基礎設施,以及應用程序的差距分析。
技術變更日誌:創建戰術執行的有序積壓,通過交付工程成果推動3-6個月的路線圖和戰略實施計劃。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
對新安全原型的需求
統計顯示,到2021,92%的公司將成為雲原生公司。
話雖如此,通常讓組織陷入困境的是構建壹個5000美元的應用程序和壹個5美元的安全系統。就雲安全而言,安全是對等的,或者說是更重要的因素。因此,DevSecOps的概念需要盡快實施並得到認真對待。
DevSecOps在應用程序開發過程的所有階段提供合規性,並負責設計和安裝應用程序。首先,我們應該評估團隊或實體的性質,並建立代表團隊或實體的程序。
第壹步是在團隊之間分配島嶼,以確保每個人都有責任保護。由於開發團隊出於安全原因構建應用程序,Ops將更快地交付軟件,讓您高枕無憂,因為他們明白開發人員知道穩定性和保護是至關重要的。
事實上,必須有壹個可以立即進行安全檢查的流程。
服務器記錄顯示誰做了更改,什麽更改以及何時更改。當審計程序時,這些都是需要知道的重要事實。維護保護的最簡單方法是始終確保系統運行最新的軟件更新。安全修復程序不需要幾個月的時間,而且應該是快速和自動的。同樣,在開發API和新功能時,應該進行潛在的更新,以防止軟件承擔責任,並防止框架被打補丁以防止崩潰。
在創建雲原生應用時,仍然沒有單壹的安全方法來保護您的軟件。為了保護雲中的服務器資源,需要采取各種措施。為了保護妳的容器,妳需要采取壹些策略。歸根結底,要將安全性放在適當的優先級列表中,您需要DevSecOps策略。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
理想的雲原生安全框架是怎樣的?
為了實現基於雲的轉型,公司需要在設計安全策略之前考慮以下進壹步的要求:
高標準的安全自動化:基於預防措施的常規安全操作根本無法讓基於雲的系統保持幾乎無限的動態性。根本不是人工工作流程的選擇。雲原生安全的需求是自動檢測和大規模敏感。
混沌設計:在微服務架構中,運行時組合的許多軟件組件可以用於任何功能。從安全的角度來看,這意味著檢測和控制的邏輯不能依賴於操作安全的先驗知識。雲原生安全性應該包括混沌工程的原理——高效且有效地運行測試。
快速識別、本地覆蓋和即時跟蹤:雲原生程序本質上是分布式計算應用。在這樣的生態系統中,全局安全選擇在以後很難執行。因此,您希望確定措施的優先級,以便在惡意趨勢蔓延到整個系統之前,快速識別、恢復和覆蓋局部影響。雖然您的安全決策不是100%準確,但本地操作和快速恢復可以為您提供更兼容的現有系統。
那麽,您的雲解決方案應該具備哪些原生安全性呢?簡而言之,讓我們把重點放在編譯器函數上。筆者認為主要功能如下:
混合堆棧可見性和決策支持
在服務器、VM、數據庫、軟件和API服務中,即使應用是分布式的,短期內仍然是動態的資源和容器,仍然需要雲原生數據中心的可見性和決策支持。在這些不同層獲得的數據應該進入引擎進行實時選擇。
快速反應和預警功能可以限制爆炸半徑。
在發生事故或攻擊時,安全解決方案將減輕和控制影響。這個論點相當於快速決策和有見地的控制措施,可以在不可逆的損害發生之前阻止惡意行為。在雲原生環境中,智能檢測系統可以完全識別入侵並影響本地控制。
密切監測和調查
由於所有的分布式組件和API服務,雲原生工作負載的安全調查可能很復雜,因此監控和安全調查必須將性能影響和存儲要求降至最低。這包括集中監控架構,沒有網絡瓶頸,工作負載可以擴展。
與自動化工具集成
容器工作負載可以由Kubernetes、Openshift、亞馬遜ECS或谷歌GKE在雲原生環境中管理。您可以(可選地)使用Puppet、Ansible或Chef來自動化部署。安全工具可以根據要保護的工作負載自動部署,雲環境必須與這些組件進行必要的集成。
對於取代第壹代物理服務器和虛擬機的事件驅動容器和應用程序,安全必須找到正確的切入點,以最大限度地提高可見性並降低風險,同時允許創造力並適應持續雲交付的復雜性。
雲的固有漏洞和威脅是什麽?有多安全?這裏有妳想知道的壹切。
結論
從整體環境轉移到雲原生環境聽起來確實很有吸引力,但是壹旦決定這樣做,壹定要評估所有可能的安全問題,以及是否有足夠的資源和團隊來處理這些問題。而且最重要的是,如果妳想實現這種轉變,妳的企業才能真正脫穎而出,發展壯大。
希望這篇文章對妳有用,歡迎在評論區和我們壹起討論。