如何在云原生环境中实现安全左移?

如何,原生,环境,实现,安全,左移 · 浏览次数 : 72

小编点评

**勒索软件漏洞问题在云端如何解决?** 随着云应用程序和服务的爆炸式增长以及数字化工作的增加,黑客利用开发人员和 DevOps 团队快速迭代的工作来满足他们的企图。 **安全左移原则与 left移文化:** * 安全左移原则:将安全问题引入软件生命周期的早期阶段。 * left移文化:安全问题在软件生命周期的早期阶段(即软件部署之前)引入,而不是在用户报告错误之后再打补丁。 **安全 left移的优势:** * 消除可疑漏洞。 * 减少开发人员对安全问题的关注。 * 提高应用程序安全性。 **实现安全 left移的步骤:** 1. 获取深度可见性。 2. 风险优先级排序风险管理。 3. 建立即时访问零信任架构。 4. 发现并阻止漏洞和错误配置。 5. 建立反馈和自动拦截机制。 6. 与零信任一样,建立 DevSecOps 模型。 **结论:** 安全左移是一个很好的方法,但执行过程中会面临一些挑战。通过执行这些步骤,企业可以有效地实现云端安全,并建立 DevSecOps 模型以确保敏捷、安全和高效的工作流程。

正文

在过去几年里,勒索软件一直是企业安全团队关心的头等大事,而当前软件漏洞问题数量也在逐渐抬头。基于云的应用程序和服务的爆发式增长以及数字化工作的增加,对黑客来说是一大利好,他们正在利用开发人员和 DevOps 团队快速迭代的工作来满足他们的企图。有人估计说,过去十年里40%的零日攻击都发生在2021年。
 

造成这一现象增长的原因有很多。开发人员重复使用代码,使得错误的配置和漏洞在不同的程序中反复出现,而且使用多云服务使得安全措施无法完整地实施,降低了代码的可见性。因此,开发人员和安全专家更倾向于在整个软件开发生命周期(SDLC)中更关注安全,特别是早期阶段。
 

安全左移原则与挑战

零日攻击的激增导致人们对左移的兴趣愈发浓厚,认为这是一种使安全成为开发过程中优先级靠前的方式。左移文化将安全问题在软件生命周期的早期阶段(即软件部署之前)引入,而不是在用户报告错误之后再打补丁。这种先发制人的方法有助于消除那些可能影响应用程序安全状况的漏洞,而这些漏洞可能连防御者都很难检测出来。
 

当开发者在云平台上构建应用程序时,如 AWS、Azure 等,左移原则也可能增强安全性,因为在这些平台上,对自研代码和平台安全工具的可见性可能有限。在左移文化中,DevOps 将最小权限原则应用到云工作负载的日常工作中,以保护网络基础设施,避免对这些工作流程授予过多权限。例如,在 Kubernetes 容器上设置基于身份的访问控制(RBAC)以增强集群上的最小权限模型并避免过多的权限,它们可能导致数据泄露。与此同时,从 CI/CD 工作站移除管理证书,阻止黑客利用流水线作为攻击媒介。
 

安全左移是一个很好的概念,但在执行中常常会遇到障碍,主要是由于开发团队之间内部的矛盾——业务团队希望加快开发进度,但安全人员则更为谨慎。这就导致了摩擦,开发人员警告说拒绝访问会影响他们的工作并导致部署延误,而安全分析师则担心太多的用户拥有未经审核的管理权限会造成数据泄露。要解决这些摩擦需要转变观念,即 DevOps 需要将安全理解为开发流程的一部分,同时管理人员信任开发人员已经拥有了安全意识。同时还需要将现有工具和培训与安全左移实践相结合,例如,满足CISO安全需求(赋予网络基础设施代码更大的可见性)和DevOps敏捷性需求(自动化安全防护和授权)的平台。最终目标是构建 DevSecOps 模型,将开发、安全和运维集中到一个敏捷、安全、高效的工作流程中。
 

如何在云端实现安全左移?

以下是4个最佳实践,帮助您在云端实现 DevSecOps:
 

获取深度可见性

随着企业经常在多云环境及混合云环境中工作,对软件资产的可见性通常会受到影响,这会导致难以及时察觉风险。企业能够清晰地知道环境中的所有身份、权限、配置和资源,以及对特定资源的所有访问路径,有助于建立云资产的上下文清单,以更好地管理它们并进行策略分析。
 

风险优先级排序

风险管理是所有安全项目的核心实践,但来自多个云厂商及系统的大量告警会让安全团队不堪重负。自动化工具可以在从开发到生产的整个云环境中帮助团队搜索并对风险进行优先级排序,发现关联问题并减轻跨多个环境和阶段对告警进行手动分类的工作量,从而使开发及安全人员能够腾出时间来处理更高优先级的风险修复任务。
 

即时访问

零信任架构已经成为大多数安全防御的标准,但由于管理访问权限十分困难,因此零信任架构常常遭受挑战。即时访问(JIT),即授予限时、可撤销的访问权限,是一个有用的工具,可以建立一个零信任的安全架构,并且能够维护最小权限策略。积极管理和监控开发者访问云环境的技术工具,包括对特权活动的密切审计跟踪,为安全提供了一个执行JIT访问和零信任的手段。
 

发现并阻止漏洞和错误配置

IaC 通过使用虚拟机、容器、微服务等,使软件在云中的部署更加灵活和高效。然而,在搭建云计算基础设施时,安全问题往往是事后才想到的,无论是否在生产环境中。企业应该扫描代码是否违反安全策略和存在其他风险,以便在它们进入生产之前进行修复。通过在开发工作流程中建立反馈和自动拦截机制,DevOps 和安全团队可以降低代码中的安全风险。
 

与零信任一样,左移正在成为保障网络安全的标准做法。但是,建立一个 DevSecOps 模型需要的不仅仅只是一个愿望。它需要执行该模式的实践、工具和培训,以及整个企业和外部云及安全合作伙伴的共同合作。只有团体的努力才能提供敏捷企业所需的云安全保障。
 

参考链接:
https://devops.com/implementing-shift-left-security-in-the-cloud/

与如何在云原生环境中实现安全左移?相似的内容:

如何在云原生环境中实现安全左移?

在过去几年里,勒索软件一直是企业安全团队关心的头等大事,而当前软件漏洞问题数量也在逐渐抬头。基于云的应用程序和服务的爆发式增长以及数字化工作的增加,对黑客来说是一大利好,他们正在利用开发人员和 DevOps 团队快速迭代的工作来满足他们的企图。有人估计说,过去十年里40%的零日攻击都发生在2021年

京东云开发者|经典同态加密算法Paillier解读 - 原理、实现和应用

随着云计算和人工智能的兴起,如何安全有效地利用数据,对持有大量数字资产的企业来说至关重要。同态加密,是解决云计算和分布式机器学习中数据安全问题的关键技术,也是隐私计算中,横跨多方安全计算,联邦学习和可信执行环境多个技术分支的热门研究方向。 本文对经典同态加密算法Pailier算法及其相关技术进行介绍,重点分析了Paillier的实现原理和性能优化方案,同时对基于公钥的加密算法中的热门算法进行了横向

构建高可用性的 SQL Server:Docker 容器下的主从同步实现

摘要:本文将介绍如何在 Docker 环境下搭建 MS SQL Server 的主从同步,帮助读者了解主从同步的原理和实现方式,进而提高数据的可靠性和稳定性。 一、前言 在当今信息化的时代,数据的安全性和稳定性显得尤为重要。数据库是许多企业和组织存储和管理数据的核心,因此如何保证数据库的高可用性和数

.NET 中使用 OpenTelemetry Traces 追踪应用程序

上一次我们讲了 OpenTelemetry Logs。今天继续来说说 OpenTelemetry Traces。 在今天的微服务和云原生环境中,理解和监控系统的行为变得越来越重要。在当下我们实现一个功能可能需要调用了 N 个方法,涉及到 N 个服务。方法之间的调用如蜘蛛网一样。分布式追踪这个时候就至

文盘Rust -- rust 连接云上数仓 starwift

最近想看看 rust 如何集成 clickhouse,又犯了好吃懒做的心理(不想自己建环境),刚好京东云发布了兼容ck 的云原生数仓 Starwfit,于是搞了个实例折腾一番。 Starwfit 是京东云自主研发的新一代云原生数据仓库,通过存算分离降低了存储成本,同时兼具性能和扩展弹性。其写入和查询速度可达到传统数据仓库的数倍,为用户提供实时数据分析能力。广泛应用于流量分析、精准营销、用户画像、广

万物云原生下的服务进化

在万物云原生下的环境下,Java的市场份额也因耗资源、启动慢等缺点,导致在云原生环境里被放大而降低,通过这篇文章,读者可以更好地了解如何在云原生环境下通过升级相关版本和使用GraalVM打出原生镜像到方式,优化Java应用的性能和资源利用率,使Java应用更好地适应云原生环境。

6个tips缓解第三方访问风险

随着开发和交付的压力越来越大,许多企业选择依赖第三方来帮助运营和发展业务。值得重视的是,第三方软件及服务供应商和合作伙伴也是云环境攻击面的重要组成部分。尽管企业无法完全切断与第三方的关联,但可以在向他们提供进入单一云和多云环境的权限时强制执行最小特权原则。本文将带你了解如何缓解云端业务第三方风险对企

Thanos解码:打造企业级云原生监控解决方案

本文深入探讨了Thanos技术在云原生监控领域的应用,详细介绍了Thanos的基本概念、核心组件、安装配置步骤以及一个实战案例,帮助读者理解如何利用Thanos解决大规模监控数据的存储、查询和高可用性问题。 关注作者,分享互联网架构、云服务技术的全维度知识。作者拥有10+年互联网服务架构、AI产品研

云原生背景下如何配置 JVM 内存

背景 前段时间业务研发反馈说是他的应用内存使用率很高,导致频繁的重启,让我排查下是怎么回事; 在这之前我也没怎么在意过这个问题,正好这次排查分析的过程做一个记录。 首先我查看了监控面板里的 Pod 监控: 发现确实是快满了,而此时去查看应用的 JVM 占用情况却只有30%左右;说明并不是应用内存满了

华为云解锁云原生数据库发展新动能

摘要:如流水般源源不断的数据都存放在哪里?云原生数据库到底是什么?企业基于云原生数据库如何随取随用,实现从 “上好云” 到 “用好云” 的跨越发展? 本文分享自华为云社区《探秘・云新知丨华为云解锁云原生数据库发展新动能》,作者:华为云头条 。 伴随数字化转型步入 “深水区”,企业的业务需求迭代迅速,