安全“左移”是IT開發(fā)和DevOps人員使用的專業(yè)術(shù)語，用于描述將安全測試和安全技術(shù)向軟件開發(fā)周期上游移動。當前，安全“左移”已經(jīng)成為軟件行業(yè)的共識，因為在軟件開發(fā)生命周期早期修復漏洞遠比在后期進行補救更加省時省力。在云安全領(lǐng)域，安全“左移”需要把更多的自動化、安全和網(wǎng)絡(luò)功能直接融入到應用程序開發(fā)中，以便安全人員根據(jù)應用程序要求，編排和自動化基礎(chǔ)架構(gòu)，包括安全性。這個概念在業(yè)內(nèi)又叫“X即代碼”模型(網(wǎng)絡(luò)即代碼和安全即代碼等)。

NetEvents專家組強調(diào)安全“左移”

日前，在舉行的NetEvents Interactive網(wǎng)絡(luò)研討會上，安全“左移”這個主題備受矚目，風險投資公司DNX Ventures執(zhí)行合伙人Hiro Rio Maeda表示：“當今網(wǎng)絡(luò)界的兩大主題是供應鏈風險以及如何在應用程序構(gòu)建的早期階段確保安全——換句話說，我們稱之為網(wǎng)絡(luò)安全界中的‘左移’?！盢etFoundry創(chuàng)始人兼首席執(zhí)行官Galeal Zino贊同這一說法。他表示：“除非可以將網(wǎng)絡(luò)和安全移到開發(fā)交付生命周期的核心……否則事后添加安全為時已晚。”

Maeda提到的供應鏈風險在SolarWinds黑客事件中盡顯無遺，當時不法分子將惡意代碼插入到SolarWinds軟件更新中。SolarWinds是安裝在數(shù)千臺設(shè)備上的網(wǎng)絡(luò)管理系統(tǒng)。據(jù)估計，至少有18000人下載了惡意代碼，然后黑客利用這些代碼潛入到組織的網(wǎng)絡(luò)核心。SolarWinds首席執(zhí)行官Sudhakar Ramakrishna估計約100家公司和機構(gòu)受到了影響，包括美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局。

許多安全工具旨在事后檢測泄密或威脅，但這時壞人早已潛入系統(tǒng)，可能已經(jīng)造成了威脅。安全“左移”是可以在開發(fā)早期階段實施安全代碼和策略，比如零信任策略方法，可以驗證來自多個途徑的代碼和更改，在惡意程序添加進來之前就阻止威脅。在不斷倡導加速軟件開發(fā)流程的環(huán)境、尤其在云端——即所謂的持續(xù)集成和交付服務(CI/CD)中，非常需要這種方法。

安全“左移”的想法是，組織在開發(fā)代碼的同時測試代碼，并尋找漏洞，并作為DevOps過程的一部分。這個想法特別有效，因為云打破了安全“邊界”這一概念。由于幾乎每個人都普遍使用云及/或互聯(lián)網(wǎng)，企業(yè)系統(tǒng)沒有正門或大門要防御——攻擊者的活動可能就在代碼本身中。因此，越早使用安全策略，對企業(yè)安全越有利。

零信任和機密計算

2022年，在網(wǎng)絡(luò)安全領(lǐng)域，零信任和機密計算將獲得更多關(guān)注，兩者都將受益于安全“左移”。

零信任與其說是一項技術(shù)，不如說是一項原則，但它正應用于網(wǎng)絡(luò)安全的許多不同領(lǐng)域。其想法是，應用程序、網(wǎng)絡(luò)或服務不應該信任任何人、連接或設(shè)備。相反，它應該假設(shè)一切都是有危險的，針對多條途徑驗證連接和用戶(無論人還是機器)的身份，這包括驗證用戶、網(wǎng)絡(luò)、設(shè)備或應用程序的已簽名身份。Zino信奉零信任，零信任是其所在公司依賴的重要原則。

另一個新興領(lǐng)域是機密計算或機密云。機密計算滿足云安全一個更深層次的需求，即芯片本身的處理。云服務模式的挑戰(zhàn)之一是，客戶不確定所使用的各種云服務中的數(shù)據(jù)或應用程序在安全方面發(fā)生了什么，他們希望保證一切是安全的。機密計算力求在云基礎(chǔ)設(shè)施的內(nèi)存和硬件層面加密數(shù)據(jù)，同時將這種安全控制權(quán)交給運行應用程序的組織。如果云服務在內(nèi)存層面被加密和鎖定，那么客戶就可以劃分和保護其數(shù)據(jù)。因此，云基礎(chǔ)設(shè)施迫切需要這一功能，來保證其數(shù)據(jù)的安全性。

Anjuna Security首席執(zhí)行官兼聯(lián)合創(chuàng)始人Ayal Yogev表示，機密計算是安全“左移”潮流的一部分，旨在為云端應用程序提供更好的安全性。Yogev說：“云的一大挑戰(zhàn)是，為企業(yè)帶來便利的同時也帶來了巨大的安全問題。云實際上是由第三方管理企業(yè)的基礎(chǔ)設(shè)施，他們可以訪問企業(yè)的全部數(shù)據(jù)，這給企業(yè)帶來了一定的安全隱患?！?/p>

這個問題怎么解決?機密計算在云服務的內(nèi)存和芯片層面對特定應用程序進行加密和隔離，它注重芯片的操作系統(tǒng)內(nèi)存空間中數(shù)據(jù)和代碼的安全性。這也是安全的第三個領(lǐng)域——即確保使用中數(shù)據(jù)的安全性，這個領(lǐng)域不如傳輸中數(shù)據(jù)(網(wǎng)絡(luò))或靜態(tài)數(shù)據(jù)(存儲)等領(lǐng)域來得成熟。

Yogev表示：“現(xiàn)在的挑戰(zhàn)是一切都在更新，但也是巨大的機會，因為企業(yè)可以劃分應用程序代碼，回到微隔離的時代?！卑踩白笠啤笔情_發(fā)安全運營(DevSecOps)的一部分，將對安全潮流產(chǎn)生重大影響。我們預料，未來，安全“左移”可能會對應用程序與基礎(chǔ)設(shè)施交互的方式產(chǎn)生重大影響。安全“左移”理念會滲入到云基礎(chǔ)設(shè)施的許多層，包括網(wǎng)絡(luò)、代碼、操作系統(tǒng)和硬件，一直到內(nèi)存層面。這一切都需要在云端運行的代碼中實施更好的安全策略和技術(shù)。

參考鏈接：

https://www.forbes.com/sites/rscottraynovich/2022/01/13/the-shift-left-is-a-growing-theme-for-cloud-cybersecurity-in-2022/