随着安全威胁的发展,所有组织(无论规模,行业或位置如何)都在寻找保护其数据和应用程序的方法。对于拥有云本地技术的60%的公司,整个安全性都会提高安全性应用生命周期根据一份新报告,这是必不可少的。
这2021云状态本机应用程序安全, 由。。。生产Snyk一个开发人员安全平台发现,由于云原生构造,组织的安全问题增加了四倍。
NUTANIX的虚拟和云本地计算公司产品营销总监Sean Roth表示,确保传统的企业数据中心(支持在VM上运行的单片应用程序)一直在挑战。
他说:“但是,对于安全从业者,基础设施管理员和开发人员来说,云本地环境代表了一个完全不同的竞争环境。”
对于初学者来说,容器环境产生的数量级比传统应用环境多,从而使可观察性,监视和记录至关重要,但也具有挑战性。
罗斯说:“由于云本地技术对于大多数企业组织及其安全团队来说是相对较新的,因此仍然有很多要了解容器环境中哪些网络攻击的情况。”
更复杂的事情是容器本身的短暂性。
罗斯说:“当容器发生故障或受到损害时,通常立即将其替换为新鲜的容器,执行完全相同的功能。”“对于寻求掩盖赛道的攻击者,条件再也没有理想了。”
云原生:新技术,新挑战
云本地技术正在帮助组织保持敏捷,并更快,更有效地发布软件和应用程序更新。根据SNYK报告,云土著采用越来越普遍,并且成为所有公司规模的主流。
新技术带来了新的挑战。
“现在是时候采用云本地技术了,现在是更加警惕的时候了。”安德鲁·克鲁格,安全传福音者Datadog,在报告中。“云计算使我们能够快速成为一家业务也就不足为奇了,但它也降低了犯错误的困难。我们需要比以往更多的工具和培训……”
组织必须牢记,采用新的开发方法将对他们如何在整体应用和服务中进行安全性有影响。
该报告说:“尽管核心安全原则仍然保持恒定,但与所有新兴生态系统一样,最佳实践仍在定义,随着团队在陌生的景观中导航时,引起了新的关注。”
最常见的安全罪犯是错误配置
根据该报告,“错误的配置和已知的未解决的漏洞是云本机环境中最大数量的安全事件的原因。”实际上,接受调查的公司中有一半以上(56%)在其云本地应用中遇到了其中一个或两个问题。
对于高水平的组织云本地采用率 - 意味着高水平的自动化 - 该报告显示,内部人员引起的数据泄漏的可能性是发生的可能性的两倍。这一事实使对零信托原则的采用比以往任何时候都更为关键。
问题的一部分是,使用自动工具的云本机平台“依靠凭证和API代币等凭据来操作,因此需要采取更加分散的方法来管理此类访问。”
在更集中的前云环境中,这些类型的工件不是问题。然而,今天,对于组织转向云端实践时,它们是一个很大的关注点。
安全责任剩下
SNYK创始人兼总裁Guy Podjarny表示,解决这些漏洞的一种方法是将安全作为开发商的优先事项。
Podjarny在报告中说:“由于不合格和已知漏洞是最关心的事件和事件驱动力,我们需要重新考虑开发团队应如何优先考虑安全工作。”
“当开发人员负责确保完整的云本地应用程序时,通常比大多数安全程序开头的应用程序自定义代码中的脆弱性要解决这些安全卫生问题更重要。”
安全不再是安全团队的唯一责任。该报告说,开发人员开始将安全性增加在他们的技巧袋中,从而引起了DevSecops的方法:“开发人员现在在确保云本机应用程序和基础架构的安全方面起着关键作用,因为它们越来越多地为应用程序,基础架构贡献代码和工作负载部署技术。”
有趣的是,开发人员责任的概念来自开发人员本身。该报告发现:“尽管不到10%的安全角色受访者认为开发人员对其云本地环境和应用程序的安全负责,但超过36%的开发商表示他们负有责任。”这表明,安全团队仍然需要适应以在云本机环境中转移职责的方法。他们倾向于坚持传统的观点,而开发人员正在认识到他们在确保云本机应用程序安全性方面不断增长的作用。
自动化实现安全测试和维修
从某种意义上说,云原生可以帮助提高安全性。根据该报告:“虽然构建完全自动化的部署管道可能具有挑战性,但一旦自动化和流程到位,它们创建了一个良性周期,提供多个集成点以实现进一步的自动化。这是安全测试的关键推动器。”
调查的答复表明,与没有自动化的组织相比,在整个软件开发生命周期中,在整个软件开发生命周期中采用安全性测试的可能性高两倍。
整个软件开发生命周期中整合安全工具的组织能够不断测试安全漏洞。几乎有70%的部署自动化公司的公司至少每天都在测试安全性,有时甚至更频繁。
更快,更频繁的测试也意味着更快的修复。在这些全自动团队中,有72%的人能够在不到一周的时间内找到和修复关键漏洞 - 每天或更短的时间解决了36%的解决问题。
尽管在生产中运行的容器面向安全专业人员面临重大挑战,但组织的整体云本地安全方法涵盖了广泛的焦点领域,从Kubernetes的各种组件和支持他们的基础架构开始。罗斯说,这就是为什么可观察性和特权管理是从业者必须正确的两个关键功能的原因。
罗斯说:“对于容器,安全不仅适用于运行时,而且适用于构建和部署生命周期阶段。”“趋势是在开发周期的早期运用安全实践,但不会以影响其生产力的方式负担开发人员。”
他说,这引起了DevSecops,开发人员和IT操作都可以共同努力确保环境和应用程序容器。