其乐融融的IT技术小站

安全即代码:在不断增长的云使用中创建新的网络安全范式

随着越来越多的数据迁移到云端,越来越多的组织采用云计算,我们也越来越需要相应地改进网络安全策略。正在考虑的一个改进策略就是谷歌一直在积极推广的安全即代码(SaC)。很多组织一直支持这种相对新生但很有前景的网络安全方法。

在 2022 年初,谷歌云副总裁兼首席信息安全官 Phil Venable 确定了推动云采用和增强安全性需求的大趋势。其中一个趋势是软件定义基础设施的兴起,这使得有必要将安全配置编码为可在应用程序开发和部署期间引入的代码。

这意味着组织可以分析其安全配置并在必要时实施更改,并更快地重新部署应用,同时持续监视其安全配置以确保它们符合组织的安全策略。

安全即代码的兴起

安全即代码于 2020 年作为资源工具集引入,旨在帮助保护软件开发生命周期。此后,它获得了一定程度的牵引力。由于它能产生具有持续可验证控件的可分析安全配置,现在正慢慢被采纳为现代安全态势的一部分。

SaC 将安全性作为 DevOps 的关键部分进行集成,通过确定开发过程中需要安全控制的地方来建立有效的安全控制。它要求开发人员在代码中指定基础架构平台和配置,而不是在代码完成后对其进行处理,从而确保经济高效地实施安全检查和测试,这样就可以避免延迟和对代码和基础结构进行不必要的更改。

正如谷歌副总裁Phil Venables所言,安全即代码的优势在于提供与组织确定满足独特安全要求所必需的安全配置相对应的安全配置。虽然许多安全漏洞是由于意外和未知风险而发生的,但也有些安全漏洞是由于组织未能部署特定的安全控制引起的,如果他们仔细分析其需求并不断测试其安全态势有效性,他们就可以部署这些安全控制。

SaC 与基础架构即代码策略相关联,该策略源于从手动流程转向更有效地保护软件定义的网络和系统(尤其是虚拟机、容器及其相关软件)的需求。

安全专家认为,随着组织继续转向云原生基础设施,他们将更需要安全即代码。以基于边界系统为首的传统系统被认为不可持续,并且对困扰软件定义云网络的快速演变的威胁效率较低。所以安全即代码也被称为未来应用程序安全的燃料。

如何实施

安全即代码并不难实现。执行此操作的一种基本方法是在 CI/CD 管道和代码中设置安全规则、工具、策略、测试、扫描和代理,这需要在提交一段代码时自动进行测试。因此,必要时,开发人员可以对安全测试结果进行评估和纠正。

SaC的主要目标是在开发团队编写代码时持续执行安全测试,以确保在准备代码时(而不是在完成后)修复问题并优化性能。如果做得好,组织可以节省更多的时间、精力和资源。

有些人错误地将 SaC 等同于 DevSecOps,但它只是其中的一部分——朝着 DevOps 中集成安全性迈出了相当大的一步。它不是DevSecOps,但它涉及许多与DevSecOps框架一致的组件。这些组件分别是访问控制和策略管理、漏洞扫描和安全测试。

访问控制和策略管理——SaC 实施的第一步关键是定义访问控制和策略管理。组织需要制定正式的治理决策和策略遵守系统,为安全需求提供明确的参考。有了这个,开发团队可以专注于关键功能,因为他们可以将授权卸载到外部库(符合既定的安全策略)。

这既加快了开发过程,也不会影响安全性,从而建立安全策略的中央存储库和开发人员可以通过该平台监控和验证授权的通用平台。

漏洞扫描——这是关于验证应用程序每个组件的安全性及其在应用程序的整个生命周期中的部署。用于确定漏洞的威胁情报不必由组织本身开发。它可以基于 OWASP 漏洞和其他威胁情报源或网络安全框架。

但是,漏洞扫描必须是一个自动且持续的过程,才能具有可持续性和有效性。例如,跨站点脚本和 SQL 注入的检测可能很复杂、重复且乏味。但是SaC 实施需要自动化和连续性。

安全测试——最后,SaC 需要有一个安全测试组件来检测可能导致应用程序完整性、可用性以及其包含或处理的数据的隐私或机密性的问题。需要明确的是,安全测试不是漏洞测试的冗余。安全验证不仅仅是检测和堵塞可能被威胁参与者利用的安全漏洞。它还解决了配置错误、数据不安全、暴露公司机密的可能性、应用程序错误和不可接受的停机时间。

重大变化和优势

安全即代码并非旨在取代组织用于保护其 IT 资产的网络安全系统。它侧重于提供更深入的信息去保护应用程序安全性。首先,它能够快速、全面地适应安全要求的变化。随着安全性在整个开发生命周期中不断得到重视,开发人员可以获得更高的安全可见性,并通过确保及时的自动安全修复来降低与应用程序修补和网络攻击损害相关的成本。

此外,SaC 还制定了一个框架,可促进安全、开发和运营团队之间更好的协作。它与许多网络安全专家倡导的“左移”目标一致。最终,这些将缩短发布周期、降低成本和无缝操作,不仅使组织受益,还能使客户受益。更快的产品发布、安全补丁和其他应用更新以及更好的整体安全性可以创造更好的客户体验。

拥抱SaC也不是一个复杂的过程。想要避免处理太多技术细节去进行试错运行以实现最佳配置的组织可以转向第三方安全即代码解决方案。领先的安全公司提供面向 SaC 或 SaC 的解决方案,这些解决方案可与现有开发人员工具无缝运行,以解决编码错误、配置问题、安全漏洞和泄露的机密。这些解决方案可以全面扫描安全问题,实现可靠的策略实施,进行实时验证,并呈现操作测试结果。

总结

同样,安全即代码不能替代现有的全面安全状况管理系统。它强调了在应用程序开发过程中更加重视安全性的必要性,以便在应用程序和整体企业 IT 的安全性方面创造更多价值。虽然部分人可能将其视为额外的安全负担,但它创造的优势和好处肯定超过了采用新的网络安全范式的挑战。

原文标题:​​Security as Code: Creating a New Cybersecurity Paradigm Amid Growing Cloud Use​​,作者:Evan Morris 

赞 ()
分享到:更多 ()

相关推荐

内容页底部广告位3
留言与评论(共有 0 条评论)
   
验证码: