在數據中心環境中,開發人員構建軟件應用程序,IT團隊構建運行這些應用程序所需的基礎設施,而安全團隊負責確保應用程序和基礎設施的安全。開發人員必須在底層基礎設施和操作系統的限制下構建軟件,而安全流程決定了運行業務的速度。當安全部門在生產中發現漏洞時,補救過程通常涉及所有利益相關者和大量返工。
通過讓團隊擺脫數據中心的物理限制,云計算正在給IT行業帶來幾十年來最大的轉變。但是,企業花費數年時間才開始釋放云計算的真正潛力,將其作為構建和運行應用程序的平臺,而不是將其用作托管第三方應用程序或從數據中心遷移過來的應用程序的平臺。當云平臺僅僅作為一個遠程數據中心使用時,傳統的勞動分工就被保留了下來,云計算的大部分潛力都沒有實現。
但是,使用云計算作為構建和運行應用程序的平臺的轉變正在嚴重破壞安全性。從云客戶的角度來看,像AWS、MicrosoftAzure和谷歌云這樣的云平臺都是軟件,開發人員現在正在對云計算基礎設施的創建和管理進行編程,將其作為應用程序一個組成部分。這意味著開發人員正在設計他們的云計算架構,設置安全關鍵配置,然后不斷地進行更改。
企業的機會
這一轉變為在競爭激烈的行業中運營的企業提供了巨大的機會,因為應用程序和云計算團隊的創新速度比在數據中心中要快得多。但對于那些需要確保日益復雜和高度動態的云計算環境的安全性的團隊來說,這是一個嚴峻的挑戰。
目前,解決云安全問題的唯一有效方法是使用工具授權開發人員在云中構建和操作,以幫助他們安全地進行。如果做不到這一點,安全就會成為團隊在云計算中的速度和數字轉型成功程度的限制因素。
為了理解在云安全上授權開發人員意味著什么,需要定義開發人員的含義。這是一個涵蓋多個不同角色的廣泛的定義,其中包括:
開發人員,他們在云中構建并利用原生云服務作為應用程序不可或缺的組件。在這個模型中,應用程序和基礎設施之間的邊界是任意的和模糊的,如果不是完全消失的話。
云計算工程師,他們使用基礎設施即代碼(IaC)來規劃云計算基礎設施環境的配置、部署和管理,并將該基礎設施交付給應用程序開發人員。
云安全工程師,他們使用策略即代碼(PaC),以一種語言表達安全和遵從策略,其他應用程序可以使用這種語言自動驗證安全性,并將這些策略即代碼(PaC)庫提供給企業的團隊。
無論他們的工作描述如何,開發人員控制云計算基礎設施本身,因為云計算是完全由軟件定義的。當他們在云中構建應用程序時,他們也在使用基礎設施即代碼(IaC)為應用程序構建基礎設施,開發人員擁有這個過程。
安全性和合規性策略作為代碼
這意味著安全團隊的角色已經演變為向開發人員傳授知識和規則的領域專家,以確保他們在安全的環境中工作。他們使用策略即代碼(PaC),而不是用人類語言來表達這些規則以供他人理解和解釋,策略即代碼(PaC)檢查其他代碼和運行環境中不需要的條件。策略即代碼(PaC)使所有的云計算相關者能夠安全地操作,而不會在規則和如何在軟件開發生命周期(SDLC)的兩端應用規則上產生歧義或分歧。
正確掌握云安全的企業擁護DevSecOps模型,并使開發人員能夠在部署后確保應用程序的安全性。IDC公司預測,越來越多的開發人員(到2025年將超過4300萬人)將發現,一旦代碼運行,他們將完全負責其持續的性能和安全。
很長一段時間以來,應用程序都涉及到軟件開發生命周期(SDLC),其中包括創建、測試、部署和監視階段。應用程序安全性的“左移”運動在速度、生產力和安全性方面產生了顯著的投資回報率,因為在生命周期的早期修復問題更容易、更快、更安全。隨著基礎設施即代碼(IaC)的采用,云計算基礎設施現在有了自己的軟件開發生命周期(SDLC),這意味著云安全也可以在部署前階段解決。
云安全的主要問題是配置錯誤,但重要的是要認識到配置錯誤是云計算環境中任何被證明對阻止黑客無效的東西。人們最熟悉的是單一資源的錯誤配置,這些錯誤配置經常在關于云計算服務遭到破壞的新聞報道中被強調,例如讓危險端口打開或允許公眾訪問對象存儲服務。但錯誤配置還涉及整個運營環境的錯誤配置,屆普中使攻擊者具有發現、移動和數據提取能力的架構漏洞。
每一次重大的云計算漏洞都涉及到對云計算環境中這些設計缺陷的利用或控制平臺的破壞。控制平臺是配置和操作云的API表面。例如,可以使用控制平臺構建容器、修改網絡路由、訪問數據庫中的數據或數據庫快照。對于黑客來說,訪問快照比訪問實時生產數據庫更受歡迎。換句話說,API控制平臺是用于配置和操作云計算的API的集合。
API驅動云計算。它們消除了集中式數據中心對固定IT架構的需求。API還意味著網絡攻擊者不必遵守企業在其內部數據中心中圍繞系統和數據存儲設置的任意邊界。雖然識別和糾正錯誤配置是優先事項,但必須了解錯誤配置只是網絡攻擊者達到最終目的的一種手段:控制平臺漏洞。這在迄今為止的每一次重大云泄漏中都都起到了關鍵作用。
授權開發人員保護云平臺
授權開發人員在開發基礎設施即代碼(IaC)來時發現和修復云計算錯誤配置是至關重要的,但為他們提供所需的工具,以設計能夠抵御當今控制平臺漏洞攻擊的云架構,也是同樣重要的。
任何企業都可以采取五個步驟有效地授權開發人員在云中安全操作:
(1)了解云計算環境和軟件開發生命周期(SDLC)。安全團隊應該將工程師嵌入到應用程序和開發團隊中,以了解正在運行的一切,如何配置,如何開發和部署,以及發生更改時的情況。還應該知道哪些應用程序與云計算資源關聯,以及任何數據及其使用方式。像黑客一樣去識別控制平臺的漏洞風險。
(2)優先考慮安全設計,防止錯誤配置。一旦控制平臺漏洞開始攻擊,通常已經來不及阻止。有效的云安全需要防止可能發生這些攻擊的條件。將安全性嵌入到到整個云計算軟件開發生命周期(SDLC)中,以便在部署錯誤配置之前捕獲錯誤配置,并專注于設計固有的安全環境體系結構。
(3)為開發人員提供安全指導工具。開發人員的行動非常迅速,如果希望在不影響速度的情況下采用任何安全工具,都需要按照它們的工作方式工作。云安全工具應該為開發人員提供有用的、可操作的關于安全問題的反饋,以及如何快速糾正這些問題,以便他們能夠繼續工作。
(4)采用策略作為云安全的代碼。策略即代碼(PaC)通過授權所有云計算利益相關方安全操作,從而幫助安全團隊利用他們所擁有的資源擴展他們的工作,在規則是什么以及應該如何應用規則方面沒有任何歧義或分歧。它的作用是使所有團隊在策略的單一真實來源下保持一致,消除解釋和應用策略時的人為錯誤,并在軟件開發生命周期(SDLC)的每個階段實現安全自動化(評估和執行等)。
(5)專注于測量和過程改進。云安全與入侵檢測和監控網絡的惡意活動無關,更多的是關于改進云安全流程以防止攻擊的發生。成功的云計算團隊會持續對其環境的風險以及開發人員和安全團隊的生產力進行評分,隨著容易出錯的人工任務被自動化,這些工作應該會得到提高。
開發人員是在部署前保護代碼的最佳(通常也是唯一)位置,在運行時維護代碼的安全完整性,并更好地理解在代碼中提供修復的特定位置。但他們也是人類,在一個不斷試驗和失敗的世界中容易犯錯。建立在策略即代碼(PaC)上的自動化通過在部署錯誤之前對不斷搜索和捕獲錯誤的過程進行自動化來消除人為錯誤的風險。
而采用開發人員優先的云安全方法的企業將比競爭對手創新得更快、更安全。?
