如何保證云原生應用程序安全
云計算在增加部署的流動性和自動化方面帶來了巨大的能力。隨著云技術的采用,人們開始使用專門為該領域開發(fā)應用程序而構建的云原生工具。然而,云原生工具帶有一些細微的安全問題,例如錯誤配置、已知漏洞和泄露的秘密。因此,根據(jù)Snyk公司最近發(fā)布的一份報告,83%的組織認為安全性對其云原生策略非常重要。
Snyk的云原生應用安全報告調(diào)查了數(shù)百名IT專業(yè)人員對云原生安全的擔憂。下面,我們將從報告中找出最重要的要點,找出云原生應用程序安全性最常見的問題領域,并查看部署自動化與更高級別的應用程序安全性之間是否存在關聯(lián)。
遷移到云原生
團隊正在轉向云原生技術,用軟件驅動的架構和基礎設施代碼(IaC)來增強DevOps的能力。在這個新的云原生范例中,58%的生產(chǎn)工作負載部署為容器,21%現(xiàn)在是無服務器的,50%在部署過程中使用某種形式的IaC。
由于各種原因,組織正在轉向云原生技術。研究發(fā)現(xiàn),首先,集裝箱化軟件提供了更快的速度——68%的組織為了提高部署速度而轉移到集裝箱。其次是易于管理(67%)和降低成本(43%)。采用云原生工具也有安全的必要性;36%的受訪者認為安全是將生產(chǎn)應用程序轉移到容器的主要原因。
頂級云原生安全問題
雖然容器、Kubernetes、serverless和IaC等云原生技術能夠實現(xiàn)更快速的發(fā)展,但它們也帶來了獨特的安全問題。報告發(fā)現(xiàn),錯誤配置和已知的未修補漏洞是云原生環(huán)境中最常見的事件類型。事實上,45%的組織經(jīng)歷過由錯誤配置引起的事件,其次是38%的組織經(jīng)歷過由已知的未修補漏洞引起的事件。
其他常見的云原生安全事件包括機密泄漏、失敗的審計和惡意軟件。有趣的是,這項研究還發(fā)現(xiàn),內(nèi)部人員泄露數(shù)據(jù)的情況在云原生采用程度較高的組織中更為常見。根據(jù)這份報告,38%的采用云計算的組織遭遇了內(nèi)部人員的數(shù)據(jù)泄露,而在采用云計算較少的組織中,這一數(shù)字減少了一半,為17%。像API密鑰這樣的秘密必須小心管理,尤其是在云原生工具強制使用更多依賴項的情況下。”對這類工件的有效管理是區(qū)別于更集中的前云時代的一個關鍵因素。
自動化安全測試
端到端部署自動化顯示了希望,但對于大多數(shù)開發(fā)團隊來說,它仍處于成熟的早期階段。盡管95%的組織使用某種部署自動化,但只有大約三分之一的組織擁有完全自動化的部署管道。
部署自動化程度提高的組織也傾向于接受更高程度的安全測試。報告發(fā)現(xiàn),高度自動化的管道在其整個開發(fā)生命周期中使用安全測試的可能性是原來的兩倍。由于事件通常由錯誤配置和已知漏洞引起,因此自動掃描可以幫助識別許多云原生問題,將生產(chǎn)代碼與已知漏洞的數(shù)據(jù)庫進行比較。
那么,什么時候進行安全測試?通常,它發(fā)生在CI/CD管道中。超過60%的組織在CI系統(tǒng)中執(zhí)行安全測試。這與在開發(fā)過程的早期測試源代碼存儲庫或本地ide和CLI工具相反。就測試頻率而言,執(zhí)行的范圍很廣。對于部署自動化程度高的組,70%的組每天或更頻繁地測試安全性。自動化安全測試似乎運行良好,72%的全自動化團隊在一周內(nèi)發(fā)現(xiàn)并修復關鍵漏洞。
該報告還揭示了一個有趣的脫節(jié)方面的安全測試所有權。只有一小部分安全工程師(不到10%)認為開發(fā)人員負責云原生環(huán)境和應用程序的安全,而36%的開發(fā)人員表示他們負責安全。這些數(shù)字可能表明安全責任向左轉移到開發(fā)端。或者,隨著全周期開發(fā)變得更加現(xiàn)實,它也可能突顯出人們態(tài)度的變化。無論如何,團隊必須明確角色,以避免一些困難的對話!
云原生安全
隨著向云原生策略的轉變,安全標準也在不斷提高,以應對諸如錯誤配置之類的新問題。為了應對日益增長的應用程序威脅,提高自動化程度有助于改變安全性,本報告和其他報告清楚地表明了全自動化部署管道和提高安全性測試方案之間的相關性。
由于采用了云原生工具,58%的組織自采用云原生工具以來增加了安全顧慮。其中一部分涉及到在所有基礎設施(無論是面向內(nèi)部還是面向外部)中采用零信任方法。報告顯示,58%的組織越來越擔心配置錯誤,52%的組織越來越擔心不安全的API,43%的組織越來越擔心已知的未修補漏洞,41%的組織擔心機密泄漏。希望這些基準能幫助您了解您的組織與其他組織相比的情況。
Snyk的stateofcloud原生應用程序安全報告對600名開發(fā)、安全和操作方面的專家進行了關于云原生采用和安全實踐的提問。
