隨著越來(lái)越多的數(shù)據(jù)遷移到云端，越來(lái)越多的組織采用云計(jì)算，我們也越來(lái)越需要相應(yīng)地改進(jìn)網(wǎng)絡(luò)安全策略。正在考慮的一個(gè)改進(jìn)策略就是谷歌一直在積極推廣的安全即代碼（SaC）。很多組織一直支持這種相對(duì)新生但很有前景的網(wǎng)絡(luò)安全方法。

在 2022 年初，谷歌云副總裁兼首席信息安全官 Phil Venable 確定了推動(dòng)云采用和增強(qiáng)安全性需求的大趨勢(shì)。其中一個(gè)趨勢(shì)是軟件定義基礎(chǔ)設(shè)施的興起，這使得有必要將安全配置編碼為可在應(yīng)用程序開(kāi)發(fā)和部署期間引入的代碼。

這意味著組織可以分析其安全配置并在必要時(shí)實(shí)施更改，并更快地重新部署應(yīng)用，同時(shí)持續(xù)監(jiān)視其安全配置以確保它們符合組織的安全策略。

安全即代碼的興起

安全即代碼于 2020 年作為資源工具集引入，旨在幫助保護(hù)軟件開(kāi)發(fā)生命周期。此后，它獲得了一定程度的牽引力。由于它能產(chǎn)生具有持續(xù)可驗(yàn)證控件的可分析安全配置，現(xiàn)在正慢慢被采納為現(xiàn)代安全態(tài)勢(shì)的一部分。

SaC 將安全性作為 DevOps 的關(guān)鍵部分進(jìn)行集成，通過(guò)確定開(kāi)發(fā)過(guò)程中需要安全控制的地方來(lái)建立有效的安全控制。它要求開(kāi)發(fā)人員在代碼中指定基礎(chǔ)架構(gòu)平臺(tái)和配置，而不是在代碼完成后對(duì)其進(jìn)行處理，從而確保經(jīng)濟(jì)高效地實(shí)施安全檢查和測(cè)試，這樣就可以避免延遲和對(duì)代碼和基礎(chǔ)結(jié)構(gòu)進(jìn)行不必要的更改。

正如谷歌副總裁Phil Venables所言，安全即代碼的優(yōu)勢(shì)在于提供與組織確定滿足獨(dú)特安全要求所必需的安全配置相對(duì)應(yīng)的安全配置。雖然許多安全漏洞是由于意外和未知風(fēng)險(xiǎn)而發(fā)生的，但也有些安全漏洞是由于組織未能部署特定的安全控制引起的，如果他們仔細(xì)分析其需求并不斷測(cè)試其安全態(tài)勢(shì)有效性，他們就可以部署這些安全控制。

SaC 與基礎(chǔ)架構(gòu)即代碼策略相關(guān)聯(lián)，該策略源于從手動(dòng)流程轉(zhuǎn)向更有效地保護(hù)軟件定義的網(wǎng)絡(luò)和系統(tǒng)（尤其是虛擬機(jī)、容器及其相關(guān)軟件）的需求。

安全專家認(rèn)為，隨著組織繼續(xù)轉(zhuǎn)向云原生基礎(chǔ)設(shè)施，他們將更需要安全即代碼。以基于邊界系統(tǒng)為首的傳統(tǒng)系統(tǒng)被認(rèn)為不可持續(xù)，并且對(duì)困擾軟件定義云網(wǎng)絡(luò)的快速演變的威脅效率較低。所以安全即代碼也被稱為未來(lái)應(yīng)用程序安全的燃料。

如何實(shí)施

安全即代碼并不難實(shí)現(xiàn)。執(zhí)行此操作的一種基本方法是在 CI/CD 管道和代碼中設(shè)置安全規(guī)則、工具、策略、測(cè)試、掃描和代理，這需要在提交一段代碼時(shí)自動(dòng)進(jìn)行測(cè)試。因此，必要時(shí)，開(kāi)發(fā)人員可以對(duì)安全測(cè)試結(jié)果進(jìn)行評(píng)估和糾正。

SaC的主要目標(biāo)是在開(kāi)發(fā)團(tuán)隊(duì)編寫代碼時(shí)持續(xù)執(zhí)行安全測(cè)試，以確保在準(zhǔn)備代碼時(shí)（而不是在完成后）修復(fù)問(wèn)題并優(yōu)化性能。如果做得好，組織可以節(jié)省更多的時(shí)間、精力和資源。

有些人錯(cuò)誤地將 SaC 等同于 DevSecOps，但它只是其中的一部分——朝著 DevOps 中集成安全性邁出了相當(dāng)大的一步。它不是DevSecOps，但它涉及許多與DevSecOps框架一致的組件。這些組件分別是訪問(wèn)控制和策略管理、漏洞掃描和安全測(cè)試。

訪問(wèn)控制和策略管理——SaC 實(shí)施的第一步關(guān)鍵是定義訪問(wèn)控制和策略管理。組織需要制定正式的治理決策和策略遵守系統(tǒng)，為安全需求提供明確的參考。有了這個(gè)，開(kāi)發(fā)團(tuán)隊(duì)可以專注于關(guān)鍵功能，因?yàn)樗麄兛梢詫⑹跈?quán)卸載到外部庫(kù)（符合既定的安全策略）。

這既加快了開(kāi)發(fā)過(guò)程，也不會(huì)影響安全性，從而建立安全策略的中央存儲(chǔ)庫(kù)和開(kāi)發(fā)人員可以通過(guò)該平臺(tái)監(jiān)控和驗(yàn)證授權(quán)的通用平臺(tái)。

漏洞掃描——這是關(guān)于驗(yàn)證應(yīng)用程序每個(gè)組件的安全性及其在應(yīng)用程序的整個(gè)生命周期中的部署。用于確定漏洞的威脅情報(bào)不必由組織本身開(kāi)發(fā)。它可以基于 OWASP 漏洞和其他威脅情報(bào)源或網(wǎng)絡(luò)安全框架。

但是，漏洞掃描必須是一個(gè)自動(dòng)且持續(xù)的過(guò)程，才能具有可持續(xù)性和有效性。例如，跨站點(diǎn)腳本和 SQL 注入的檢測(cè)可能很復(fù)雜、重復(fù)且乏味。但是SaC 實(shí)施需要自動(dòng)化和連續(xù)性。

安全測(cè)試——最后，SaC 需要有一個(gè)安全測(cè)試組件來(lái)檢測(cè)可能導(dǎo)致應(yīng)用程序完整性、可用性以及其包含或處理的數(shù)據(jù)的隱私或機(jī)密性的問(wèn)題。需要明確的是，安全測(cè)試不是漏洞測(cè)試的冗余。安全驗(yàn)證不僅僅是檢測(cè)和堵塞可能被威脅參與者利用的安全漏洞。它還解決了配置錯(cuò)誤、數(shù)據(jù)不安全、暴露公司機(jī)密的可能性、應(yīng)用程序錯(cuò)誤和不可接受的停機(jī)時(shí)間。

重大變化和優(yōu)勢(shì)

安全即代碼并非旨在取代組織用于保護(hù)其 IT 資產(chǎn)的網(wǎng)絡(luò)安全系統(tǒng)。它側(cè)重于提供更深入的信息去保護(hù)應(yīng)用程序安全性。首先，它能夠快速、全面地適應(yīng)安全要求的變化。隨著安全性在整個(gè)開(kāi)發(fā)生命周期中不斷得到重視，開(kāi)發(fā)人員可以獲得更高的安全可見(jiàn)性，并通過(guò)確保及時(shí)的自動(dòng)安全修復(fù)來(lái)降低與應(yīng)用程序修補(bǔ)和網(wǎng)絡(luò)攻擊損害相關(guān)的成本。

此外，SaC 還制定了一個(gè)框架，可促進(jìn)安全、開(kāi)發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)之間更好的協(xié)作。它與許多網(wǎng)絡(luò)安全專家倡導(dǎo)的“左移”目標(biāo)一致。最終，這些將縮短發(fā)布周期、降低成本和無(wú)縫操作，不僅使組織受益，還能使客戶受益。更快的產(chǎn)品發(fā)布、安全補(bǔ)丁和其他應(yīng)用更新以及更好的整體安全性可以創(chuàng)造更好的客戶體驗(yàn)。

擁抱SaC也不是一個(gè)復(fù)雜的過(guò)程。想要避免處理太多技術(shù)細(xì)節(jié)去進(jìn)行試錯(cuò)運(yùn)行以實(shí)現(xiàn)最佳配置的組織可以轉(zhuǎn)向第三方安全即代碼解決方案。領(lǐng)先的安全公司提供面向 SaC 或 SaC 的解決方案，這些解決方案可與現(xiàn)有開(kāi)發(fā)人員工具無(wú)縫運(yùn)行，以解決編碼錯(cuò)誤、配置問(wèn)題、安全漏洞和泄露的機(jī)密。這些解決方案可以全面掃描安全問(wèn)題，實(shí)現(xiàn)可靠的策略實(shí)施，進(jìn)行實(shí)時(shí)驗(yàn)證，并呈現(xiàn)操作測(cè)試結(jié)果。

總結(jié)

同樣，安全即代碼不能替代現(xiàn)有的全面安全狀況管理系統(tǒng)。它強(qiáng)調(diào)了在應(yīng)用程序開(kāi)發(fā)過(guò)程中更加重視安全性的必要性，以便在應(yīng)用程序和整體企業(yè) IT 的安全性方面創(chuàng)造更多價(jià)值。雖然部分人可能將其視為額外的安全負(fù)擔(dān)，但它創(chuàng)造的優(yōu)勢(shì)和好處肯定超過(guò)了采用新的網(wǎng)絡(luò)安全范式的挑戰(zhàn)。

原文標(biāo)題：??Security as Code: Creating a New Cybersecurity Paradigm Amid Growing Cloud Use??，作者：Evan Morris