譯者|布加迪
審校|孫淑娟
安全左移(shiftsecurityleft)這股熱潮使開(kāi)發(fā)人員能夠及早發(fā)現(xiàn)并修復(fù)缺陷。當(dāng)應(yīng)用程序部署到生產(chǎn)環(huán)境后,它可以盡可能擺脫當(dāng)時(shí)已知的漏洞……但安全左移只是一個(gè)開(kāi)端。漏洞出現(xiàn)在已經(jīng)部署和運(yùn)行的軟件組件中。從開(kāi)發(fā)環(huán)境到生產(chǎn)環(huán)境,組織需要一套綜合全面的方法來(lái)規(guī)避。雖然沒(méi)有通用的方法實(shí)現(xiàn)端到端安全性,但有幾個(gè)寶貴的策略可以幫助您實(shí)現(xiàn)這個(gè)目標(biāo)。
全面的端到端云原生安全策略有三個(gè)“P”,有助于全面彌補(bǔ)安全缺口。
堅(jiān)持不懈(Persistence)
以生產(chǎn)環(huán)境為中心(Production-centric)
確定優(yōu)先級(jí)(Prioritization)
堅(jiān)持不懈
新的漏洞層出不窮,隨時(shí)可能冒出來(lái)。發(fā)現(xiàn)漏洞所需的時(shí)間從數(shù)小時(shí)到數(shù)年不等。GitHub發(fā)現(xiàn)軟件包中的安全漏洞平均需要4年的時(shí)間,而開(kāi)發(fā)和分發(fā)修復(fù)程序另需要14周的時(shí)間。漏洞被發(fā)現(xiàn)的時(shí)間跨度非常長(zhǎng),需要持續(xù)的掃描、監(jiān)控和分析,這需要保持警惕和堅(jiān)持不懈。
哪怕使用最好的漏洞掃描工具,您也應(yīng)該明白:左移掃描無(wú)法檢測(cè)一切,因?yàn)樗荒芏床焯囟〞r(shí)間點(diǎn)的安全性。即使相同的代碼現(xiàn)在被認(rèn)為是安全的也無(wú)法保證將來(lái)不出現(xiàn)漏洞。在整個(gè)CI/CD生命周期中堅(jiān)持掃描和檢測(cè)工作的安全團(tuán)隊(duì)才有能力有效地修復(fù)威脅。
以生產(chǎn)環(huán)境為中心
左移可以幫助組織在開(kāi)發(fā)應(yīng)用程序時(shí)心系安全。但是無(wú)論應(yīng)用程序離開(kāi)開(kāi)發(fā)環(huán)境后,您對(duì)其安全性有多大信心,都無(wú)法保證它在生產(chǎn)環(huán)境中依然安全。
我們經(jīng)常看到,漏洞常常在部署到生產(chǎn)環(huán)境后暴露無(wú)遺。ApacheStruts、Heartbleed以及最近的Log4j就是幾個(gè)典型例子,后者于2013年首次發(fā)布,但直到去年才被發(fā)現(xiàn)。
此外,生產(chǎn)環(huán)境不僅包含您部署的代碼,還包括以下內(nèi)容:
從外部存儲(chǔ)庫(kù)提取的容器鏡像。
部署軟件時(shí),安裝的運(yùn)行時(shí)Sidecar和集成工具。
沒(méi)有像您的代碼那樣經(jīng)過(guò)嚴(yán)格檢查就部署的第三方應(yīng)用程序,比如應(yīng)用程序服務(wù)器、儀表板、代理和防火墻。
不受DevOps團(tuán)隊(duì)控制且無(wú)法通過(guò)左移工具掃描的基礎(chǔ)架構(gòu)。
確定生產(chǎn)環(huán)境中應(yīng)用程序的上下文是保護(hù)云原生應(yīng)用程序的一個(gè)重要部分。還有哪些其他組件、代碼和基礎(chǔ)架構(gòu)與該應(yīng)用程序進(jìn)行交互?您需要不同的理念和額外的工具集來(lái)全面彌補(bǔ)安全缺口。
確定優(yōu)先級(jí)
掃描生產(chǎn)系統(tǒng)中的漏洞可能會(huì)發(fā)現(xiàn)成百上千個(gè)易受攻擊的組件,但檢測(cè)到的漏洞不一定就與高風(fēng)險(xiǎn)威脅有關(guān),這是由于脆弱性不等同于可利用性。
為了更好地了解漏洞帶來(lái)的風(fēng)險(xiǎn),有必要了解漏洞在應(yīng)用程序上下文中的位置。是否可以通過(guò)特定方式使用應(yīng)用程序來(lái)利用漏洞?是否可以從外部攻擊面訪(fǎng)問(wèn)易受攻擊的應(yīng)用程序,或者潛在的攻擊者是否需要先獲得一定程度的內(nèi)部控制權(quán)才能訪(fǎng)問(wèn)它?
通過(guò)確定最嚴(yán)重的漏洞,您可以為修復(fù)工作確定優(yōu)先級(jí)。團(tuán)隊(duì)可以從成百上千個(gè)潛在漏洞中過(guò)濾掉良性問(wèn)題(以及它們引發(fā)的所有警報(bào)),優(yōu)先考慮極少數(shù)破壞很?chē)?yán)重的漏洞,因?yàn)樗鼈儸F(xiàn)在就對(duì)您的安全構(gòu)成了最大風(fēng)險(xiǎn)。如果專(zhuān)注于被利用的風(fēng)險(xiǎn),并按嚴(yán)重程度為修復(fù)工作確定優(yōu)先級(jí),連人手不足的小團(tuán)隊(duì)都能有效地保護(hù)大批的云原生應(yīng)用程序。
結(jié)論
綜上所述,安全左移是一種非常值得采用的做法,但光靠它還不夠。只有堅(jiān)持不懈、關(guān)注生產(chǎn)環(huán)境以及優(yōu)先考慮對(duì)貴組織真正構(gòu)成風(fēng)險(xiǎn)的小部分漏洞,您才能以更大的把握管理貴組織的安全狀況。
