安全“左移”是IT開發(fā)和DevOps人員使用的專業(yè)術語，用于描述將安全測試和安全技術向軟件開發(fā)周期上游移動。當前，安全“左移”已經(jīng)成為軟件行業(yè)的共識，因為在軟件開發(fā)生命周期早期修復漏洞遠比在后期進行補救更加省時省力。在云安全領域，安全“左移”需要把更多的自動化、安全和網(wǎng)絡功能直接融入到應用程序開發(fā)中，以便安全人員根據(jù)應用程序要求，編排和自動化基礎架構，包括安全性。這個概念在業(yè)內(nèi)又叫“X即代碼”模型(網(wǎng)絡即代碼和安全即代碼等)。

NetEvents專家組強調(diào)安全“左移”

日前，在舉行的NetEvents Interactive網(wǎng)絡研討會上，安全“左移”這個主題備受矚目，風險投資公司DNX Ventures執(zhí)行合伙人Hiro Rio Maeda表示：“當今網(wǎng)絡界的兩大主題是供應鏈風險以及如何在應用程序構建的早期階段確保安全——換句話說，我們稱之為網(wǎng)絡安全界中的‘左移’?！盢etFoundry創(chuàng)始人兼首席執(zhí)行官Galeal Zino贊同這一說法。他表示：“除非可以將網(wǎng)絡和安全移到開發(fā)交付生命周期的核心……否則事后添加安全為時已晚?！?/p>

Maeda提到的供應鏈風險在SolarWinds黑客事件中盡顯無遺，當時不法分子將惡意代碼插入到SolarWinds軟件更新中。SolarWinds是安裝在數(shù)千臺設備上的網(wǎng)絡管理系統(tǒng)。據(jù)估計，至少有18000人下載了惡意代碼，然后黑客利用這些代碼潛入到組織的網(wǎng)絡核心。SolarWinds首席執(zhí)行官Sudhakar Ramakrishna估計約100家公司和機構受到了影響，包括美國網(wǎng)絡安全與基礎設施安全局。

許多安全工具旨在事后檢測泄密或威脅，但這時壞人早已潛入系統(tǒng)，可能已經(jīng)造成了威脅。安全“左移”是可以在開發(fā)早期階段實施安全代碼和策略，比如零信任策略方法，可以驗證來自多個途徑的代碼和更改，在惡意程序添加進來之前就阻止威脅。在不斷倡導加速軟件開發(fā)流程的環(huán)境、尤其在云端——即所謂的持續(xù)集成和交付服務(CI/CD)中，非常需要這種方法。

安全“左移”的想法是，組織在開發(fā)代碼的同時測試代碼，并尋找漏洞，并作為DevOps過程的一部分。這個想法特別有效，因為云打破了安全“邊界”這一概念。由于幾乎每個人都普遍使用云及/或互聯(lián)網(wǎng)，企業(yè)系統(tǒng)沒有正門或大門要防御——攻擊者的活動可能就在代碼本身中。因此，越早使用安全策略，對企業(yè)安全越有利。

零信任和機密計算

2022年，在網(wǎng)絡安全領域，零信任和機密計算將獲得更多關注，兩者都將受益于安全“左移”。

零信任與其說是一項技術，不如說是一項原則，但它正應用于網(wǎng)絡安全的許多不同領域。其想法是，應用程序、網(wǎng)絡或服務不應該信任任何人、連接或設備。相反，它應該假設一切都是有危險的，針對多條途徑驗證連接和用戶(無論人還是機器)的身份，這包括驗證用戶、網(wǎng)絡、設備或應用程序的已簽名身份。Zino信奉零信任，零信任是其所在公司依賴的重要原則。

另一個新興領域是機密計算或機密云。機密計算滿足云安全一個更深層次的需求，即芯片本身的處理。云服務模式的挑戰(zhàn)之一是，客戶不確定所使用的各種云服務中的數(shù)據(jù)或應用程序在安全方面發(fā)生了什么，他們希望保證一切是安全的。機密計算力求在云基礎設施的內(nèi)存和硬件層面加密數(shù)據(jù)，同時將這種安全控制權交給運行應用程序的組織。如果云服務在內(nèi)存層面被加密和鎖定，那么客戶就可以劃分和保護其數(shù)據(jù)。因此，云基礎設施迫切需要這一功能，來保證其數(shù)據(jù)的安全性。

Anjuna Security首席執(zhí)行官兼聯(lián)合創(chuàng)始人Ayal Yogev表示，機密計算是安全“左移”潮流的一部分，旨在為云端應用程序提供更好的安全性。Yogev說：“云的一大挑戰(zhàn)是，為企業(yè)帶來便利的同時也帶來了巨大的安全問題。云實際上是由第三方管理企業(yè)的基礎設施，他們可以訪問企業(yè)的全部數(shù)據(jù)，這給企業(yè)帶來了一定的安全隱患?！?/p>

這個問題怎么解決?機密計算在云服務的內(nèi)存和芯片層面對特定應用程序進行加密和隔離，它注重芯片的操作系統(tǒng)內(nèi)存空間中數(shù)據(jù)和代碼的安全性。這也是安全的第三個領域——即確保使用中數(shù)據(jù)的安全性，這個領域不如傳輸中數(shù)據(jù)(網(wǎng)絡)或靜態(tài)數(shù)據(jù)(存儲)等領域來得成熟。

Yogev表示：“現(xiàn)在的挑戰(zhàn)是一切都在更新，但也是巨大的機會，因為企業(yè)可以劃分應用程序代碼，回到微隔離的時代?！卑踩白笠啤笔情_發(fā)安全運營(DevSecOps)的一部分，將對安全潮流產(chǎn)生重大影響。我們預料，未來，安全“左移”可能會對應用程序與基礎設施交互的方式產(chǎn)生重大影響。安全“左移”理念會滲入到云基礎設施的許多層，包括網(wǎng)絡、代碼、操作系統(tǒng)和硬件，一直到內(nèi)存層面。這一切都需要在云端運行的代碼中實施更好的安全策略和技術。

參考鏈接：

https://www.forbes.com/sites/rscottraynovich/2022/01/13/the-shift-left-is-a-growing-theme-for-cloud-cybersecurity-in-2022/