為什么自動化是在云原生時代保持應(yīng)用程序安全的關(guān)鍵

作者：Ben Todd 2021-07-27 10:55:47

安全

云安全

自動化

云原生 云平臺是企業(yè)構(gòu)建基于DevOps的數(shù)字化轉(zhuǎn)型計劃的基礎(chǔ)層，云計算環(huán)境提高了成本效率和IT靈活性，并使企業(yè)能夠快速響應(yīng)不斷變化的市場需求

成都創(chuàng)新互聯(lián)主要從事網(wǎng)站設(shè)計、成都做網(wǎng)站、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)邱縣,10余年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18982081108

在過去的一年中，人們看到越來越多的企業(yè)加快數(shù)字化轉(zhuǎn)型，這反映了他們可能實(shí)施多年的技術(shù)路線圖正在加速交付。調(diào)研機(jī)構(gòu)麥肯錫公司表示，企業(yè)如今已經(jīng)到了一個需要調(diào)整業(yè)務(wù)運(yùn)營的臨界點(diǎn)。使用基于微服務(wù)、容器和Kubernetes的多云環(huán)境和云原生架構(gòu)是數(shù)字化轉(zhuǎn)型的核心。雖然這些方法無疑有助于DevOps團(tuán)隊推動數(shù)字敏捷性和更快的上市時間，但它們也帶來了新的應(yīng)用程序安全挑戰(zhàn)，并將面臨嚴(yán)重的風(fēng)險。

云平臺是企業(yè)構(gòu)建基于DevOps的數(shù)字化轉(zhuǎn)型計劃的基礎(chǔ)層，云計算環(huán)境提高了成本效率和IT靈活性，并使企業(yè)能夠快速響應(yīng)不斷變化的市場需求。隨著各個行業(yè)對更快創(chuàng)新的需求不斷增長，企業(yè)正在加大對云原生架構(gòu)的投資。調(diào)研機(jī)構(gòu)Gartner公司預(yù)測，到2022年，全球四分之三的企業(yè)將在生產(chǎn)中運(yùn)行容器化應(yīng)用程序，而在2020年這一比例不到30%。

容器和微服務(wù)將應(yīng)用程序功能分解為更易于管理的部分，可以快速構(gòu)建、測試和部署，這有助于團(tuán)隊加速創(chuàng)新。云原生架構(gòu)還為企業(yè)提供了在不同平臺之間移動工作負(fù)載的靈活性，以確保他們的環(huán)境始終適合他們的需求。然而，這個更具活力的云原生時代伴隨著新的挑戰(zhàn)。DevOps團(tuán)隊可能沒有所需的工具或資源來管理額外的復(fù)雜層，并在代碼中的漏洞暴露之前識別它們。

鑒于開源庫的廣泛使用，這是一個特殊的挑戰(zhàn)。這些庫無需DevOps團(tuán)隊從頭開始編寫每一行代碼，從而有助于加快上市時間。然而，它們也包含無數(shù)需要不斷識別和清除的漏洞。這在動態(tài)的云原生環(huán)境中并不容易實(shí)現(xiàn)，而在這種環(huán)境中，只有變化是唯一不變的。

傳統(tǒng)工具會造成盲點(diǎn)

調(diào)研機(jī)構(gòu)的研究發(fā)現(xiàn)了其他問題。例如在調(diào)查中，89%的首席信息安全官(CISO)承認(rèn)微服務(wù)、容器、Kubernetes和多云環(huán)境已經(jīng)造成盲點(diǎn)，因為他們的傳統(tǒng)應(yīng)用程序安全解決方案無法看到這些盲點(diǎn)。這些傳統(tǒng)工具是為不同的時代而設(shè)計的，其特點(diǎn)是靜態(tài)基礎(chǔ)設(shè)施和單體應(yīng)用程序。在這些環(huán)境中，每月一次的掃描就足以在大多數(shù)漏洞被利用之前識別它們。如今，容器的壽命卻以小時和天為單位。這些工具根本無法跟上這種變化的步伐。他們通常也看不到容器化應(yīng)用程序的內(nèi)部，也無法發(fā)現(xiàn)其代碼中的缺陷。因此，即使一些有據(jù)可查的漏洞，例如導(dǎo)致2017年Equifax漏洞的ApacheStruts庫缺陷，也可能逃避檢測數(shù)月甚至數(shù)年的時間。

與此同時，85%的首席信息安全官(CISO)表示，希望DevOps和應(yīng)用程序團(tuán)隊對漏洞管理承擔(dān)更直接的責(zé)任。這并沒有錯。事實(shí)上，許多人認(rèn)為DevSecOps和安全性“左移”是降低風(fēng)險的最佳和最具成本效益的方法。然而，現(xiàn)有的工具和流程讓這些團(tuán)隊失望，因為并沒有時間進(jìn)行人工掃描，通常缺乏承擔(dān)安全責(zé)任所需的技能，并且沒有足夠快地檢測關(guān)鍵漏洞的能力。一些DevOps團(tuán)隊甚至完全繞過安全控制，而另一些團(tuán)隊則拒絕與安全團(tuán)隊合作，因為擔(dān)心采取這些步驟會減緩上市時間。

因此，越來越多的漏洞正在進(jìn)入生產(chǎn)環(huán)境。在調(diào)查中，令人震驚的71%的首席信息安全官(CISO)表示，在投入生產(chǎn)之前，他們并不完全相信代碼中沒有漏洞。

傳統(tǒng)方法不再適用

此次調(diào)查強(qiáng)調(diào)了傳統(tǒng)安全方法和人工評估在動態(tài)云原生環(huán)境中不再適用的結(jié)論。當(dāng)容器在幾秒鐘內(nèi)運(yùn)行時，實(shí)時洞察至關(guān)重要，并且微服務(wù)之間的依賴關(guān)系在跨越云平臺之間的邊界時不斷變化。傳統(tǒng)漏洞掃描器只提供靜態(tài)時間點(diǎn)視圖，通常無法區(qū)分潛在風(fēng)險和實(shí)際暴露之間的區(qū)別。這可能會導(dǎo)致應(yīng)用程序安全和DevOps團(tuán)隊每個月都會收到數(shù)以千計的漏洞警報，而其中許多是誤報。

毫不奇怪，四分之三(74%)的首席信息安全官(CISO)認(rèn)為此類漏洞掃描工具無效。這些傳統(tǒng)工具不僅無法跟上容器化環(huán)境中快速變化的步伐，而且還因為只關(guān)注軟件交付生命周期的一個階段而減緩了向DevSecOps的過渡。由于缺乏場景，團(tuán)隊很難找到和應(yīng)用正確的補(bǔ)丁，并且一旦部署代碼，安全團(tuán)隊就無法足夠快地找到漏洞以將風(fēng)險降至最低。將大量誤報和警報與傳統(tǒng)工具提供的場景缺乏結(jié)合起來，將會浪費(fèi)大量時間，并增加應(yīng)用程序安全風(fēng)險的秘訣。

自動化是未來發(fā)展趨勢

為了克服這些挑戰(zhàn)并消除團(tuán)隊成員的負(fù)擔(dān)，企業(yè)需要能夠自動識別應(yīng)用程序中的漏洞。如果他們能夠在運(yùn)行時自動化測試，而無需配置或DevOps團(tuán)隊的任何額外工作，那么這是可能的。

通過將漏洞數(shù)據(jù)與運(yùn)行時環(huán)境的知識(例如相關(guān)代碼是否暴露在互聯(lián)網(wǎng)上)相結(jié)合，DevSecOps團(tuán)隊可以獲得他們需要的所有場景，以實(shí)時了解問題的原因、性質(zhì)和影響。這樣做，團(tuán)隊可以有效地降低風(fēng)險并以業(yè)務(wù)發(fā)展的速度加速創(chuàng)新。事實(shí)上，超過四分之三(77%)的首席信息安全官(CISO)表示，安全性跟上現(xiàn)代云原生應(yīng)用程序環(huán)境的唯一方法是用這種更加自動化的方法取代人工部署、配置和管理。這不僅對于保護(hù)企業(yè)免受當(dāng)今云原生世界面臨的威脅至關(guān)重要，而且還使他們能夠在后疫情時代推動以創(chuàng)新為主導(dǎo)的增長。

文章名稱：為什么自動化是在云原生時代保持應(yīng)用程序安全的關(guān)鍵
標(biāo)題鏈接：http://m.5511xx.com/article/ccseded.html