譯者 | 布加迪

審校 | 孫淑娟

安全左移(shift security left)這股熱潮使開發(fā)人員能夠及早發(fā)現(xiàn)并修復(fù)缺陷。當(dāng)應(yīng)用程序部署到生產(chǎn)環(huán)境后，它可以盡可能擺脫當(dāng)時已知的漏洞……但安全左移只是一個開端。漏洞出現(xiàn)在已經(jīng)部署和運行的軟件組件中。從開發(fā)環(huán)境到生產(chǎn)環(huán)境，組織需要一套綜合全面的方法來規(guī)避。雖然沒有通用的方法實現(xiàn)端到端安全性，但有幾個寶貴的策略可以幫助您實現(xiàn)這個目標(biāo)。

全面的端到端云原生安全策略有三個“P”，有助于全面彌補安全缺口。

• 堅持不懈(Persistence)
• 以生產(chǎn)環(huán)境為中心(Production-centric)
• 確定優(yōu)先級(Prioritization)

堅持不懈

新的漏洞層出不窮，隨時可能冒出來。發(fā)現(xiàn)漏洞所需的時間從數(shù)小時到數(shù)年不等。GitHub發(fā)現(xiàn)軟件包中的安全漏洞平均需要4年的時間，而開發(fā)和分發(fā)修復(fù)程序另需要14周的時間。漏洞被發(fā)現(xiàn)的時間跨度非常長，需要持續(xù)的掃描、監(jiān)控和分析，這需要保持警惕和堅持不懈。

哪怕使用最好的漏洞掃描工具，您也應(yīng)該明白：左移掃描無法檢測一切，因為它只能洞察特定時間點的安全性。即使相同的代碼現(xiàn)在被認為是安全的也無法保證將來不出現(xiàn)漏洞。在整個CI/CD生命周期中堅持掃描和檢測工作的安全團隊才有能力有效地修復(fù)威脅。

以生產(chǎn)環(huán)境為中心

左移可以幫助組織在開發(fā)應(yīng)用程序時心系安全。但是無論應(yīng)用程序離開開發(fā)環(huán)境后，您對其安全性有多大信心，都無法保證它在生產(chǎn)環(huán)境中依然安全。

我們經(jīng)常看到，漏洞常常在部署到生產(chǎn)環(huán)境后暴露無遺。Apache Struts、Heartbleed以及最近的Log4j就是幾個典型例子，后者于2013年首次發(fā)布，但直到去年才被發(fā)現(xiàn)。

此外，生產(chǎn)環(huán)境不僅包含您部署的代碼，還包括以下內(nèi)容：

• 從外部存儲庫提取的容器鏡像。
• 部署軟件時，安裝的運行時Sidecar和集成工具。
• 沒有像您的代碼那樣經(jīng)過嚴格檢查就部署的第三方應(yīng)用程序，比如應(yīng)用程序服務(wù)器、儀表板、代理和防火墻。
• 不受DevOps團隊控制且無法通過左移工具掃描的基礎(chǔ)架構(gòu)。

確定生產(chǎn)環(huán)境中應(yīng)用程序的上下文是保護云原生應(yīng)用程序的一個重要部分。還有哪些其他組件、代碼和基礎(chǔ)架構(gòu)與該應(yīng)用程序進行交互?您需要不同的理念和額外的工具集來全面彌補安全缺口。

確定優(yōu)先級

掃描生產(chǎn)系統(tǒng)中的漏洞可能會發(fā)現(xiàn)成百上千個易受攻擊的組件，但檢測到的漏洞不一定就與高風(fēng)險威脅有關(guān)，這是由于脆弱性不等同于可利用性。

為了更好地了解漏洞帶來的風(fēng)險，有必要了解漏洞在應(yīng)用程序上下文中的位置。是否可以通過特定方式使用應(yīng)用程序來利用漏洞?是否可以從外部攻擊面訪問易受攻擊的應(yīng)用程序，或者潛在的攻擊者是否需要先獲得一定程度的內(nèi)部控制權(quán)才能訪問它?

通過確定最嚴重的漏洞，您可以為修復(fù)工作確定優(yōu)先級。團隊可以從成百上千個潛在漏洞中過濾掉良性問題(以及它們引發(fā)的所有警報)，優(yōu)先考慮極少數(shù)破壞很嚴重的漏洞，因為它們現(xiàn)在就對您的安全構(gòu)成了最大風(fēng)險。如果專注于被利用的風(fēng)險，并按嚴重程度為修復(fù)工作確定優(yōu)先級，連人手不足的小團隊都能有效地保護大批的云原生應(yīng)用程序。

結(jié)論

綜上所述，安全左移是一種非常值得采用的做法，但光靠它還不夠。只有堅持不懈、關(guān)注生產(chǎn)環(huán)境以及優(yōu)先考慮對貴組織真正構(gòu)成風(fēng)險的小部分漏洞，您才能以更大的把握管理貴組織的安全狀況。

原文標(biāo)題：??Understand the 3 P’s of Cloud Native Security??，作者：Owen Garrett