安全意识前移,从被动防御到主动防护
时间:2022-04-04 11:57:01 | 来源:行业动态
时间:2022-04-04 11:57:01 来源:行业动态
如果吸取法国马奇诺防线安于防守的教训,这意味着,企业首先要做的就是化被动为主动,优先占据主动权,而不是等着攻击发生后才做出反应。放在容器安全这件事上,也就是说,企业必须把安全意识和手段前移。
有相关调查显示,从应用研发、构建、部署到运行的不同阶段,期间产生的安全成本是逐级递增的。举例来说:如果在研发阶段发现漏洞,只要由开发人员直接修复即可,成本低而且效率高;如果等到发布后才检测出漏洞,那就需要安全人员给出方案,与研发人员沟通,再由测试人员验证,不仅相对成本高,而且还存在一定的线上风险;而如果等到应用运行了一段时间后漏洞才被发现,那就不只是补救的问题了,一方面企业需要付出额外的金钱、沟通成本和修复时间,另一方面还需要运维、发布、业务等大量人员的介入,给企业带来的风险和成本压力是数十上百倍的。
正因如此,把安全理念贯穿到DevOps 全流程中,糅合开发、安全及运营理念以创建解决方案的全新方法,越来越成为业界共识这就是DevSecOps,它的基础思想,即是开发安全左移(SHIFTLEFT)。
可以这么理解,所谓左移实际上就是把安全意识从运行阶段,前置到容器构建和CI/CD阶段,从而避免造成运行后不可挽回的损失以及高昂的补救成本。
举个例子,比如在过去的应用开发过程中,一般是由编程人员写好代码放到源代码库,然后通过CI工具把代码打包成镜像,同时调用静态扫描工具进行安全扫描,确认无误后通过CD工具推向测试云,最后再交付到生产云进行上线。可以看到,这整个过程依赖的实际上还是静态扫描。但是,如今很多网络恶意行为都是动态的,静态扫描存在明显短板。而解决办法就是,在已有的CI/CD流水线中,增加一个安全合规测试云环节也就是说,在完成功能测试之后,先部署到安全合规的测试云中进行动态和静态的安全合规测试,最后再推向生产云运行。
尤其是针对第三方外包厂家提供的应用,这样的思路尤为受用,因为越来越多的厂家都在用容器方式打包应用,但这些应用的开发流程对于企业来说就是一个黑盒子,如果还采用传统的镜像文件静态扫描,那就很难保障容器平台安全。
但是,换个角度再来看这个问题。我们知道,大多数企业选择使用开源技术或者容器应用,都是为了避免重复造车,加快敏捷开发,如果为此令企业处处担心安全漏洞,要求企业自己能够配备非常复杂的安全监管机制,这并不现实。对于企业而言,需要的是开箱即用的安全策略,并且,希望能够为实际运行的容器环境自定义多因素策略。
在线咨询
