云原生基礎設施的“一切即代碼”方法使得在以前不可能的地方設置遙測變得更加容易,只要安全專家能夠適應原有的網絡監控機制可能不再適用于他們的事實。
云原生開發模式為網絡安全倡導者十多年來一直倡導的應用程序安全實現收益提供了機會,但向云原生安全的過渡需要新的工具和應用程序以及不同的安全運營心態,這將使許多網絡安全專業人士走出他們的舒適區。
以下是開發者、應用程序安全專家和云原生技術專家對云原生網絡安全與傳統方法的不同之處的一些見解。
(1)一切即代碼讓應用程序安全變得至關重要
以色列云原生安全提供商Wiz公司的首席安全研究員Scott Piper表示,在云原生架構中,微服務和API主導的交互不僅存在于應用程序組件之間,還存在于底層基礎設施之間,這意味著一切都變成了應用程序安全問題。
他說,“在傳統上,網絡安全在一定程度上涉及到知道網絡線路連接在哪里。人們知道與公共互聯網的連接點在哪里,因為可以親眼看到。在云中,配置的單個更改可能導致某些內容公開暴露在互聯網上,不需要在某處連接網絡線路。”
(2)網絡攻擊面更大
GuidePoint Security公司的應用安全工程總監Kristen Bell表示,云原生應用程序、基礎設施和數據流增加了企業的復雜性,從而引入了更多攻擊面。
Bell說,“隨著微服務和API的增加,數據流變得更加復雜。應用程序和系統之間有更多的集成,所有這些都導致了更大的網絡攻擊面,從安全角度來看,需要考慮更多的復雜性。與這些變化相結合,我們看到越來越多的新隱私法要求數據的地理位置。”
(3)新的架構需要新的專用安全工具
Avalara公司的首席應用安全工程師Rebecca Deck表示,雖然有傳統的應用程序安全掃描工具,例如靜態應用安全測試、動態應用安全測試和軟件組合分析仍然適用于云原生環境,但開發人員和網絡安全團隊現在需要大量的新功能和利基安全產品。
她說,“除了采用傳統工具之外,我們還必須添加云合規工具、漂移控制工具、可以監控云工作負載的入侵檢測和協調,以將其整合在一起。”她解釋說,為了跟上變化的速度,她的團隊的工作方式是使這些安全功能盡可能透明。她說,“安全工具應該是透明的,只有在發現安全漏洞時才會顯示出來。”
(4)內部部署安全工具可能會帶來巨大的成本
Deck還警告說,盡管傳統工具仍然可以在云原生安全中發揮重要的作用,但開發和安全團隊必須了解它們的架構方式以及運行它們需要什么條件。如果它們不是為云優先的容器化模型設計的內部部署工具,那么在這些環境中運行可能會花費很多成本。
Deck說:“在云中運行不是專門為云計算設計的工具可能會在計算、存儲和網絡流量方面產生巨大成本。許多供應商要求在內部部署成本相對較低的情況下運行成本非常高昂的系統。由于系統延遲要求,通過阻塞點路由網絡流量通常是不可行的,這需要與可能在云計算方面沒有豐富經驗的安全團隊有截然不同的想法。”
(5)變化是永恒的
云原生基礎設施和開發模式的動態性和短暫性意味著變化是唯一不變的。
Wiz公司的Piper說:“云平臺在一分鐘之內可能有10臺服務器運行,在一小時之內有1萬臺服務器運行,再過一小時,可以就只剩1臺服務器運行。”Piper解釋說,開發人員有權隨時做出這些改變,以適應創新的業務要求。他說,“開發人員也可以靈活地自行開發這些服務,并嘗試新的服務和功能。AWS公司目前擁有200多項服務,他們只是為數不多的云計算提供商之一。”
Insight Enterprises公司北美地區的首席技術官Juan Orlandini表示,環境中的這種不斷變化的狀態給安全專業人員帶來了巨大的挑戰,他們的任務是保持一致的安全態勢。
他說:“因為云原生環境是動態編排的,所以會有不斷的變化,包括擴大和縮小規模和升級軟件。”
(6)威脅建模勢在必行
Insight Enterprises公司的Orlandini說,考慮到不斷擴大的網絡攻擊面和云原生環境的動態條件,威脅建模成為管理軟件風險的一個越來越重要的部分。
他解釋說:“工具需要發展,以支持威脅建模作為云原生安全的核心組件。這意味著提供工具來識別潛在的漏洞和攻擊面,并自動評估以識別錯誤配置和其他問題。”
(7)以開發人員為中心的安全工具變得至關重要
Liberty Mutual公司的軟件交付主管Jeff Talon說,跟上開發工作流的速度和靈活性意味著人工審查和移交不再那么有效。他表示,安全工作需要在開發工作流程中被簡化,安全團隊必須找到一種方法來創建以開發人員為中心的工具和流程,以審查代碼和維護安全狀態。
Talon說,“工具必須無縫集成到核心開發工具IDE、GIT、CI/CD管道中,避免人工切換或場景切換。合規性和安全策略評估需要在整個開發過程和云平臺運行時保持一致。”
(8)安全應努力實現標準化
云原生環境的新興狀態孕育了一種“狂野西部”的氛圍,可能對以規則為導向的安全人員構成嚴重挑戰。安全團隊可以通過提出標準和以安全為重點的指導方針來幫助開發人員實現云計算的現代化。
GuidePoint公司的Bell說,“重要的是,隨著這一過程的開始形成,應用程序和云安全概念要經過深思熟慮,記錄在案,然后用于創建標準化,其示例可能包括基線容器映像、遺留應用程序被云原生應用程序取代時的退役標準、構建和實施指南以及管道配置的基線標準等。”
(9)安全即代碼幫助應用程序安全保持云原生的步伐
如果與安全即代碼的另一個關鍵概念相結合,這些標準的提出可以為可持續的云原生安全提供基礎。Talon表示,在以開發人員為中心的工具中,通過策略即代碼自動滿足需求是云原生安全的最終目標。
他說:“安全需求通過在持續集成/持續部署管道和云計算運行時中使用策略即代碼實現自動化,提供一致的開發體驗,確保在整個開發過程中符合安全性和合規性要求。有了這一點,開發人員可以在更早的過程中獲得安全反饋,并在一個能夠使他們自我糾正并繼續前進的環境中獲得反饋。”
(10)持續監測變得更容易
Orlandini表示,最好的云原生安全方法將包含持續監控,這可能與傳統的應用程序安全方法不同,后者更注重定期掃描而不是實時監控。
好消息是,云原生基礎設施的“一切即代碼”方法使得在以前不可能的地方設置遙測變得更加容易,只要安全專家能夠適應原有的網絡監控機制可能不再適用于他們的事實。
Piper說:“對于網絡安全人員來說,云中的一些事情變得更加困難,而另一些事情變得更容易,需要利用這些因素。在云中,不能像在物理服務器中那樣輕松地依賴網絡數據包監控,所以必須依賴其他概念,例如身份。在云端,一次性掃描服務器硬盤快照等事情變得容易得多。”