云平臺是企業(yè)構(gòu)建基于DevOps的數(shù)字化轉(zhuǎn)型計劃的基礎(chǔ)層,云計算環(huán)境提高了成本效率和IT靈活性,并使企業(yè)能夠快速響應(yīng)不斷變化的市場需求。隨著各個行業(yè)對更快創(chuàng)新的需求不斷增長,企業(yè)正在加大對云原生架構(gòu)的投資。調(diào)研機構(gòu)Gartner公司預(yù)測,到2022年,全球四分之三的企業(yè)將在生產(chǎn)中運行容器化應(yīng)用程序,而在2020年這一比例不到30%。
容器和微服務(wù)將應(yīng)用程序功能分解為更易于管理的部分,可以快速構(gòu)建、測試和部署,這有助于團隊加速創(chuàng)新。云原生架構(gòu)還為企業(yè)提供了在不同平臺之間移動工作負載的靈活性,以確保他們的環(huán)境始終適合他們的需求。然而,這個更具活力的云原生時代伴隨著新的挑戰(zhàn)。DevOps團隊可能沒有所需的工具或資源來管理額外的復(fù)雜層,并在代碼中的漏洞暴露之前識別它們。
鑒于開源庫的廣泛使用,這是一個特殊的挑戰(zhàn)。這些庫無需DevOps團隊從頭開始編寫每一行代碼,從而有助于加快上市時間。然而,它們也包含無數(shù)需要不斷識別和清除的漏洞。這在動態(tài)的云原生環(huán)境中并不容易實現(xiàn),而在這種環(huán)境中,只有變化是唯一不變的。
傳統(tǒng)工具會造成盲點
調(diào)研機構(gòu)的研究發(fā)現(xiàn)了其他問題。例如在調(diào)查中,89%的首席信息安全官(CISO)承認微服務(wù)、容器、Kubernetes和多云環(huán)境已經(jīng)造成盲點,因為他們的傳統(tǒng)應(yīng)用程序安全解決方案無法看到這些盲點。這些傳統(tǒng)工具是為不同的時代而設(shè)計的,其特點是靜態(tài)基礎(chǔ)設(shè)施和單體應(yīng)用程序。在這些環(huán)境中,每月一次的掃描就足以在大多數(shù)漏洞被利用之前識別它們。如今,容器的壽命卻以小時和天為單位。這些工具根本無法跟上這種變化的步伐。他們通常也看不到容器化應(yīng)用程序的內(nèi)部,也無法發(fā)現(xiàn)其代碼中的缺陷。因此,即使一些有據(jù)可查的漏洞,例如導(dǎo)致2017年Equifax漏洞的ApacheStruts庫缺陷,也可能逃避檢測數(shù)月甚至數(shù)年的時間。
與此同時,85%的首席信息安全官(CISO)表示,希望DevOps和應(yīng)用程序團隊對漏洞管理承擔(dān)更直接的責(zé)任。這并沒有錯。事實上,許多人認為DevSecOps和安全性“左移”是降低風(fēng)險的最佳和最具成本效益的方法。然而,現(xiàn)有的工具和流程讓這些團隊失望,因為并沒有時間進行人工掃描,通常缺乏承擔(dān)安全責(zé)任所需的技能,并且沒有足夠快地檢測關(guān)鍵漏洞的能力。一些DevOps團隊甚至完全繞過安全控制,而另一些團隊則拒絕與安全團隊合作,因為擔(dān)心采取這些步驟會減緩上市時間。
因此,越來越多的漏洞正在進入生產(chǎn)環(huán)境。在調(diào)查中,令人震驚的71%的首席信息安全官(CISO)表示,在投入生產(chǎn)之前,他們并不完全相信代碼中沒有漏洞。
傳統(tǒng)方法不再適用
此次調(diào)查強調(diào)了傳統(tǒng)安全方法和人工評估在動態(tài)云原生環(huán)境中不再適用的結(jié)論。當(dāng)容器在幾秒鐘內(nèi)運行時,實時洞察至關(guān)重要,并且微服務(wù)之間的依賴關(guān)系在跨越云平臺之間的邊界時不斷變化。傳統(tǒng)漏洞掃描器只提供靜態(tài)時間點視圖,通常無法區(qū)分潛在風(fēng)險和實際暴露之間的區(qū)別。這可能會導(dǎo)致應(yīng)用程序安全和DevOps團隊每個月都會收到數(shù)以千計的漏洞警報,而其中許多是誤報。
毫不奇怪,四分之三(74%)的首席信息安全官(CISO)認為此類漏洞掃描工具無效。這些傳統(tǒng)工具不僅無法跟上容器化環(huán)境中快速變化的步伐,而且還因為只關(guān)注軟件交付生命周期的一個階段而減緩了向DevSecOps的過渡。由于缺乏場景,團隊很難找到和應(yīng)用正確的補丁,并且一旦部署代碼,安全團隊就無法足夠快地找到漏洞以將風(fēng)險降至最低。將大量誤報和警報與傳統(tǒng)工具提供的場景缺乏結(jié)合起來,將會浪費大量時間,并增加應(yīng)用程序安全風(fēng)險的秘訣。
自動化是未來發(fā)展趨勢
為了克服這些挑戰(zhàn)并消除團隊成員的負擔(dān),企業(yè)需要能夠自動識別應(yīng)用程序中的漏洞。如果他們能夠在運行時自動化測試,而無需配置或DevOps團隊的任何額外工作,那么這是可能的。
通過將漏洞數(shù)據(jù)與運行時環(huán)境的知識(例如相關(guān)代碼是否暴露在互聯(lián)網(wǎng)上)相結(jié)合,DevSecOps團隊可以獲得他們需要的所有場景,以實時了解問題的原因、性質(zhì)和影響。這樣做,團隊可以有效地降低風(fēng)險并以業(yè)務(wù)發(fā)展的速度加速創(chuàng)新。事實上,超過四分之三(77%)的首席信息安全官(CISO)表示,安全性跟上現(xiàn)代云原生應(yīng)用程序環(huán)境的唯一方法是用這種更加自動化的方法取代人工部署、配置和管理。這不僅對于保護企業(yè)免受當(dāng)今云原生世界面臨的威脅至關(guān)重要,而且還使他們能夠在后疫情時代推動以創(chuàng)新為主導(dǎo)的增長。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號