對(duì)安全軟件開發(fā)生命周期的日益增長(zhǎng)的需求引發(fā)了圍繞“安全左移”概念的討論。幾十年來，安全性一直處于軟件開發(fā)周期的末端，軟件開發(fā)基本上是線性規(guī)劃的。隨著云原生應(yīng)用程序的發(fā)展，以及用戶對(duì)實(shí)時(shí)和全天候軟件服務(wù)的需求，這種在開發(fā)周期結(jié)束時(shí)安排安全性和測(cè)試的線性方法可能會(huì)產(chǎn)生重大的開發(fā)、運(yùn)營(yíng)和成本影響。

 

因此，需要的不僅僅是保護(hù)外圍。開發(fā)商從開發(fā)生命周期的開始，從編寫第一行代碼并在整個(gè)過程中運(yùn)行開始，到應(yīng)用程序在生產(chǎn)環(huán)境中運(yùn)行，企業(yè)必須采取更廣泛的視角來關(guān)注安全性。

 

安全性應(yīng)該被視為基礎(chǔ)設(shè)施元素，就像網(wǎng)絡(luò)和存儲(chǔ)一樣。然而，與網(wǎng)絡(luò)和存儲(chǔ)不同的是，安全性出現(xiàn)問題意味著應(yīng)用程序的停機(jī)和隨之而來的損失，而破壞安全性可能導(dǎo)致敏感信息的丟失，這可能會(huì)造成更大的損失，并且在許多情況下是無法挽回的。

 

 

企業(yè)的安全涉及多個(gè)方面，包括企業(yè)資產(chǎn)、設(shè)備、工具、文檔和其他內(nèi)部信息的安全。隨著企業(yè)實(shí)施數(shù)字化轉(zhuǎn)型，他們依靠軟件來提供所尋求的敏捷性、性能和可擴(kuò)展性優(yōu)勢(shì)。但是，怎樣才能在生產(chǎn)環(huán)境中安全地運(yùn)行應(yīng)用程序呢?

 

如果企業(yè)希望改善其安全狀況，則需要在流程、人員和產(chǎn)品上進(jìn)行大量投資。僅僅在這些領(lǐng)域中的一個(gè)方面進(jìn)行改進(jìn)可能不會(huì)改善整體的安全狀況，其缺點(diǎn)可能導(dǎo)致整體的軟件安全風(fēng)險(xiǎn)，這就是為什么這些投資應(yīng)該攜手并進(jìn)的原因。

 

例如，如果安全團(tuán)隊(duì)不能有效地與開發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行溝通和協(xié)作，那么網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)安全漏洞只是時(shí)間問題。

 

 

現(xiàn)代應(yīng)用程序基于云原生技術(shù)和微服務(wù)架構(gòu)。容器已經(jīng)成為打包微服務(wù)的默認(rèn)方式，因?yàn)樗鼈兲峁┝艘恢滦浴⒖蛇w移性和可重復(fù)性。隨著越來越多的企業(yè)轉(zhuǎn)向云原生應(yīng)用程序，Kubernetes已經(jīng)成為事實(shí)上的容器編排器，使得部署、發(fā)現(xiàn)和擴(kuò)展這些微服務(wù)變得更加容易。

 

Kubernetes和容器在將新代碼交付到生產(chǎn)環(huán)境時(shí)提供了急需的業(yè)務(wù)敏捷性。然而，這使得安全環(huán)境更具挑戰(zhàn)性。Kubernetes使用熟悉的概念，例如authZ和authN、證書和加密。同時(shí)，它引入了新的概念，如部署、pod、入口、名稱空間、基于角色的訪問控制、服務(wù)帳戶、秘密、網(wǎng)絡(luò)策略、資源限制和配額，這些概念不僅對(duì)開發(fā)人員和運(yùn)營(yíng)團(tuán)隊(duì)來說是陡峭的學(xué)習(xí)曲線，對(duì)安全團(tuán)隊(duì)來說也是如此。

 

 

Kubernetes打破了DevOps和安全團(tuán)隊(duì)之間的界限，并鼓勵(lì)了DevSecOps的概念，進(jìn)一步推動(dòng)了安全向左轉(zhuǎn)移的趨勢(shì)。DevSecOps可以優(yōu)化DevOps實(shí)踐，將軟件開發(fā)周期縮短到幾周甚至幾天的時(shí)間，從而滿足企業(yè)和用戶的多樣化需求。

 

許多企業(yè)在嘗試在生產(chǎn)環(huán)境中保護(hù)Kubernetes環(huán)境時(shí)發(fā)現(xiàn)了采用DevSecOps的挑戰(zhàn)。DevSecOps和左移的概念要求開發(fā)人員具備更豐富的安全知識(shí)，他們還需要管理設(shè)計(jì)、開發(fā)、架構(gòu)、基礎(chǔ)設(shè)施和測(cè)試。額外的安全職責(zé)會(huì)給已經(jīng)承受壓力的DevOps團(tuán)隊(duì)帶來更大的壓力，這為處理Kubernetes問題打開了一個(gè)新的窗口。

 

 

在大多數(shù)情況下，要求開發(fā)人員也成為遇到上述挑戰(zhàn)的安全專家是不切實(shí)際的期望。企業(yè)的最佳選擇是采用默認(rèn)安全的工具和技術(shù)，并將安全專家作為平臺(tái)團(tuán)隊(duì)的一部分，他們可以了解安全結(jié)構(gòu)并構(gòu)建護(hù)欄，并將安全最佳實(shí)踐應(yīng)用于該平臺(tái)。

 

另外，企業(yè)可以開始關(guān)注軟件物料清單(SBOM)。就像材料的詳細(xì)菜單一樣，軟件物料清單(SBOM)列出了代碼庫(kù)中的開源和第三方組件，幫助團(tuán)隊(duì)更好地理解開發(fā)周期中單個(gè)項(xiàng)目和特定代碼之間的關(guān)系。

 

SBOM還包含組件許可信息，這可以幫助企業(yè)理解許可和法規(guī)信息，從而更容易自動(dòng)化遵從性檢查。詳細(xì)的軟件文檔還提高了開發(fā)人員和安全團(tuán)隊(duì)的代碼審查效率，減少了開發(fā)人員的負(fù)擔(dān)。

 

 

提高安全性并不一定是孤注一擲。隨著企業(yè)團(tuán)隊(duì)獲得了運(yùn)行安全生產(chǎn)環(huán)境的信心，這通常是一個(gè)緩慢提高企業(yè)安全狀況的過程。這個(gè)過程可以從保護(hù)來自集集群外部的訪問和網(wǎng)絡(luò)流量(南北流量)開始，然后保護(hù)來自集群內(nèi)部的訪問和網(wǎng)絡(luò)流量(東西向流量)，最后應(yīng)用安全性最佳實(shí)踐。

 

然后，安全團(tuán)隊(duì)可以專注于實(shí)現(xiàn)安全合規(guī)性、構(gòu)建零信任架構(gòu)和改進(jìn)供應(yīng)鏈安全性。每個(gè)階段都需要培訓(xùn)，包括學(xué)習(xí)如何部署和管理Kubernetes。成功在很大程度上取決于團(tuán)隊(duì)實(shí)現(xiàn)這些能力的速度有多快。將流程分解并以這種方式進(jìn)行將使企業(yè)能夠朝著實(shí)現(xiàn)更好的應(yīng)用程序安全性穩(wěn)步前進(jìn)。

 

 

國(guó)內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。