譯者 | 布加迪

審校 | 孫淑娟

安全左移(shift security left)這股熱潮使開(kāi)發(fā)人員能夠及早發(fā)現(xiàn)并修復(fù)缺陷。當(dāng)應(yīng)用程序部署到生產(chǎn)環(huán)境后，它可以盡可能擺脫當(dāng)時(shí)已知的漏洞……但安全左移只是一個(gè)開(kāi)端。漏洞出現(xiàn)在已經(jīng)部署和運(yùn)行的軟件組件中。從開(kāi)發(fā)環(huán)境到生產(chǎn)環(huán)境，組織需要一套綜合全面的方法來(lái)規(guī)避。雖然沒(méi)有通用的方法實(shí)現(xiàn)端到端安全性，但有幾個(gè)寶貴的策略可以幫助您實(shí)現(xiàn)這個(gè)目標(biāo)。

全面的端到端云原生安全策略有三個(gè)“P”，有助于全面彌補(bǔ)安全缺口。

• 堅(jiān)持不懈(Persistence)
• 以生產(chǎn)環(huán)境為中心(Production-centric)
• 確定優(yōu)先級(jí)(Prioritization)

堅(jiān)持不懈

新的漏洞層出不窮，隨時(shí)可能冒出來(lái)。發(fā)現(xiàn)漏洞所需的時(shí)間從數(shù)小時(shí)到數(shù)年不等。GitHub發(fā)現(xiàn)軟件包中的安全漏洞平均需要4年的時(shí)間，而開(kāi)發(fā)和分發(fā)修復(fù)程序另需要14周的時(shí)間。漏洞被發(fā)現(xiàn)的時(shí)間跨度非常長(zhǎng)，需要持續(xù)的掃描、監(jiān)控和分析，這需要保持警惕和堅(jiān)持不懈。

哪怕使用最好的漏洞掃描工具，您也應(yīng)該明白：左移掃描無(wú)法檢測(cè)一切，因?yàn)樗荒芏床焯囟〞r(shí)間點(diǎn)的安全性。即使相同的代碼現(xiàn)在被認(rèn)為是安全的也無(wú)法保證將來(lái)不出現(xiàn)漏洞。在整個(gè)CI/CD生命周期中堅(jiān)持掃描和檢測(cè)工作的安全團(tuán)隊(duì)才有能力有效地修復(fù)威脅。

以生產(chǎn)環(huán)境為中心

左移可以幫助組織在開(kāi)發(fā)應(yīng)用程序時(shí)心系安全。但是無(wú)論應(yīng)用程序離開(kāi)開(kāi)發(fā)環(huán)境后，您對(duì)其安全性有多大信心，都無(wú)法保證它在生產(chǎn)環(huán)境中依然安全。

我們經(jīng)常看到，漏洞常常在部署到生產(chǎn)環(huán)境后暴露無(wú)遺。Apache Struts、Heartbleed以及最近的Log4j就是幾個(gè)典型例子，后者于2013年首次發(fā)布，但直到去年才被發(fā)現(xiàn)。

此外，生產(chǎn)環(huán)境不僅包含您部署的代碼，還包括以下內(nèi)容：

• 從外部存儲(chǔ)庫(kù)提取的容器鏡像。
• 部署軟件時(shí)，安裝的運(yùn)行時(shí)Sidecar和集成工具。
• 沒(méi)有像您的代碼那樣經(jīng)過(guò)嚴(yán)格檢查就部署的第三方應(yīng)用程序，比如應(yīng)用程序服務(wù)器、儀表板、代理和防火墻。
• 不受DevOps團(tuán)隊(duì)控制且無(wú)法通過(guò)左移工具掃描的基礎(chǔ)架構(gòu)。

確定生產(chǎn)環(huán)境中應(yīng)用程序的上下文是保護(hù)云原生應(yīng)用程序的一個(gè)重要部分。還有哪些其他組件、代碼和基礎(chǔ)架構(gòu)與該應(yīng)用程序進(jìn)行交互?您需要不同的理念和額外的工具集來(lái)全面彌補(bǔ)安全缺口。

確定優(yōu)先級(jí)

掃描生產(chǎn)系統(tǒng)中的漏洞可能會(huì)發(fā)現(xiàn)成百上千個(gè)易受攻擊的組件，但檢測(cè)到的漏洞不一定就與高風(fēng)險(xiǎn)威脅有關(guān)，這是由于脆弱性不等同于可利用性。

為了更好地了解漏洞帶來(lái)的風(fēng)險(xiǎn)，有必要了解漏洞在應(yīng)用程序上下文中的位置。是否可以通過(guò)特定方式使用應(yīng)用程序來(lái)利用漏洞?是否可以從外部攻擊面訪問(wèn)易受攻擊的應(yīng)用程序，或者潛在的攻擊者是否需要先獲得一定程度的內(nèi)部控制權(quán)才能訪問(wèn)它?

通過(guò)確定最嚴(yán)重的漏洞，您可以為修復(fù)工作確定優(yōu)先級(jí)。團(tuán)隊(duì)可以從成百上千個(gè)潛在漏洞中過(guò)濾掉良性問(wèn)題(以及它們引發(fā)的所有警報(bào))，優(yōu)先考慮極少數(shù)破壞很嚴(yán)重的漏洞，因?yàn)樗鼈儸F(xiàn)在就對(duì)您的安全構(gòu)成了最大風(fēng)險(xiǎn)。如果專注于被利用的風(fēng)險(xiǎn)，并按嚴(yán)重程度為修復(fù)工作確定優(yōu)先級(jí)，連人手不足的小團(tuán)隊(duì)都能有效地保護(hù)大批的云原生應(yīng)用程序。

結(jié)論

綜上所述，安全左移是一種非常值得采用的做法，但光靠它還不夠。只有堅(jiān)持不懈、關(guān)注生產(chǎn)環(huán)境以及優(yōu)先考慮對(duì)貴組織真正構(gòu)成風(fēng)險(xiǎn)的小部分漏洞，您才能以更大的把握管理貴組織的安全狀況。

原文標(biāo)題：??Understand the 3 P’s of Cloud Native Security??，作者：Owen Garrett