在數(shù)據(jù)中心環(huán)境中,開(kāi)發(fā)人員構(gòu)建軟件應(yīng)用程序,IT團(tuán)隊(duì)構(gòu)建運(yùn)行這些應(yīng)用程序所需的基礎(chǔ)設(shè)施,而安全團(tuán)隊(duì)負(fù)責(zé)確保應(yīng)用程序和基礎(chǔ)設(shè)施的安全。開(kāi)發(fā)人員必須在底層基礎(chǔ)設(shè)施和操作系統(tǒng)的限制下構(gòu)建軟件,而安全流程決定了運(yùn)行業(yè)務(wù)的速度。當(dāng)安全部門(mén)在生產(chǎn)中發(fā)現(xiàn)漏洞時(shí),補(bǔ)救過(guò)程通常涉及所有利益相關(guān)者和大量返工。
通過(guò)讓團(tuán)隊(duì)擺脫數(shù)據(jù)中心的物理限制,云計(jì)算正在給IT行業(yè)帶來(lái)幾十年來(lái)最大的轉(zhuǎn)變。但是,企業(yè)花費(fèi)數(shù)年時(shí)間才開(kāi)始釋放云計(jì)算的真正潛力,將其作為構(gòu)建和運(yùn)行應(yīng)用程序的平臺(tái),而不是將其用作托管第三方應(yīng)用程序或從數(shù)據(jù)中心遷移過(guò)來(lái)的應(yīng)用程序的平臺(tái)。當(dāng)云平臺(tái)僅僅作為一個(gè)遠(yuǎn)程數(shù)據(jù)中心使用時(shí),傳統(tǒng)的勞動(dòng)分工就被保留了下來(lái),云計(jì)算的大部分潛力都沒(méi)有實(shí)現(xiàn)。
但是,使用云計(jì)算作為構(gòu)建和運(yùn)行應(yīng)用程序的平臺(tái)的轉(zhuǎn)變正在嚴(yán)重破壞安全性。從云客戶(hù)的角度來(lái)看,像AWS、MicrosoftAzure和谷歌云這樣的云平臺(tái)都是軟件,開(kāi)發(fā)人員現(xiàn)在正在對(duì)云計(jì)算基礎(chǔ)設(shè)施的創(chuàng)建和管理進(jìn)行編程,將其作為應(yīng)用程序一個(gè)組成部分。這意味著開(kāi)發(fā)人員正在設(shè)計(jì)他們的云計(jì)算架構(gòu),設(shè)置安全關(guān)鍵配置,然后不斷地進(jìn)行更改。
企業(yè)的機(jī)會(huì)
這一轉(zhuǎn)變?yōu)樵诟?jìng)爭(zhēng)激烈的行業(yè)中運(yùn)營(yíng)的企業(yè)提供了巨大的機(jī)會(huì),因?yàn)閼?yīng)用程序和云計(jì)算團(tuán)隊(duì)的創(chuàng)新速度比在數(shù)據(jù)中心中要快得多。但對(duì)于那些需要確保日益復(fù)雜和高度動(dòng)態(tài)的云計(jì)算環(huán)境的安全性的團(tuán)隊(duì)來(lái)說(shuō),這是一個(gè)嚴(yán)峻的挑戰(zhàn)。
目前,解決云安全問(wèn)題的唯一有效方法是使用工具授權(quán)開(kāi)發(fā)人員在云中構(gòu)建和操作,以幫助他們安全地進(jìn)行。如果做不到這一點(diǎn),安全就會(huì)成為團(tuán)隊(duì)在云計(jì)算中的速度和數(shù)字轉(zhuǎn)型成功程度的限制因素。
為了理解在云安全上授權(quán)開(kāi)發(fā)人員意味著什么,需要定義開(kāi)發(fā)人員的含義。這是一個(gè)涵蓋多個(gè)不同角色的廣泛的定義,其中包括:
開(kāi)發(fā)人員,他們?cè)谠浦袠?gòu)建并利用原生云服務(wù)作為應(yīng)用程序不可或缺的組件。在這個(gè)模型中,應(yīng)用程序和基礎(chǔ)設(shè)施之間的邊界是任意的和模糊的,如果不是完全消失的話(huà)。
云計(jì)算工程師,他們使用基礎(chǔ)設(shè)施即代碼(IaC)來(lái)規(guī)劃云計(jì)算基礎(chǔ)設(shè)施環(huán)境的配置、部署和管理,并將該基礎(chǔ)設(shè)施交付給應(yīng)用程序開(kāi)發(fā)人員。
云安全工程師,他們使用策略即代碼(PaC),以一種語(yǔ)言表達(dá)安全和遵從策略,其他應(yīng)用程序可以使用這種語(yǔ)言自動(dòng)驗(yàn)證安全性,并將這些策略即代碼(PaC)庫(kù)提供給企業(yè)的團(tuán)隊(duì)。
無(wú)論他們的工作描述如何,開(kāi)發(fā)人員控制云計(jì)算基礎(chǔ)設(shè)施本身,因?yàn)樵朴?jì)算是完全由軟件定義的。當(dāng)他們?cè)谠浦袠?gòu)建應(yīng)用程序時(shí),他們也在使用基礎(chǔ)設(shè)施即代碼(IaC)為應(yīng)用程序構(gòu)建基礎(chǔ)設(shè)施,開(kāi)發(fā)人員擁有這個(gè)過(guò)程。
安全性和合規(guī)性策略作為代碼
這意味著安全團(tuán)隊(duì)的角色已經(jīng)演變?yōu)橄蜷_(kāi)發(fā)人員傳授知識(shí)和規(guī)則的領(lǐng)域?qū)<遥源_保他們?cè)诎踩沫h(huán)境中工作。他們使用策略即代碼(PaC),而不是用人類(lèi)語(yǔ)言來(lái)表達(dá)這些規(guī)則以供他人理解和解釋?zhuān)呗约创a(PaC)檢查其他代碼和運(yùn)行環(huán)境中不需要的條件。策略即代碼(PaC)使所有的云計(jì)算相關(guān)者能夠安全地操作,而不會(huì)在規(guī)則和如何在軟件開(kāi)發(fā)生命周期(SDLC)的兩端應(yīng)用規(guī)則上產(chǎn)生歧義或分歧。
正確掌握云安全的企業(yè)擁護(hù)DevSecOps模型,并使開(kāi)發(fā)人員能夠在部署后確保應(yīng)用程序的安全性。IDC公司預(yù)測(cè),越來(lái)越多的開(kāi)發(fā)人員(到2025年將超過(guò)4300萬(wàn)人)將發(fā)現(xiàn),一旦代碼運(yùn)行,他們將完全負(fù)責(zé)其持續(xù)的性能和安全。
很長(zhǎng)一段時(shí)間以來(lái),應(yīng)用程序都涉及到軟件開(kāi)發(fā)生命周期(SDLC),其中包括創(chuàng)建、測(cè)試、部署和監(jiān)視階段。應(yīng)用程序安全性的“左移”運(yùn)動(dòng)在速度、生產(chǎn)力和安全性方面產(chǎn)生了顯著的投資回報(bào)率,因?yàn)樵谏芷诘脑缙谛迯?fù)問(wèn)題更容易、更快、更安全。隨著基礎(chǔ)設(shè)施即代碼(IaC)的采用,云計(jì)算基礎(chǔ)設(shè)施現(xiàn)在有了自己的軟件開(kāi)發(fā)生命周期(SDLC),這意味著云安全也可以在部署前階段解決。
云安全的主要問(wèn)題是配置錯(cuò)誤,但重要的是要認(rèn)識(shí)到配置錯(cuò)誤是云計(jì)算環(huán)境中任何被證明對(duì)阻止黑客無(wú)效的東西。人們最熟悉的是單一資源的錯(cuò)誤配置,這些錯(cuò)誤配置經(jīng)常在關(guān)于云計(jì)算服務(wù)遭到破壞的新聞報(bào)道中被強(qiáng)調(diào),例如讓危險(xiǎn)端口打開(kāi)或允許公眾訪(fǎng)問(wèn)對(duì)象存儲(chǔ)服務(wù)。但錯(cuò)誤配置還涉及整個(gè)運(yùn)營(yíng)環(huán)境的錯(cuò)誤配置,屆普中使攻擊者具有發(fā)現(xiàn)、移動(dòng)和數(shù)據(jù)提取能力的架構(gòu)漏洞。
每一次重大的云計(jì)算漏洞都涉及到對(duì)云計(jì)算環(huán)境中這些設(shè)計(jì)缺陷的利用或控制平臺(tái)的破壞。控制平臺(tái)是配置和操作云的API表面。例如,可以使用控制平臺(tái)構(gòu)建容器、修改網(wǎng)絡(luò)路由、訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)或數(shù)據(jù)庫(kù)快照。對(duì)于黑客來(lái)說(shuō),訪(fǎng)問(wèn)快照比訪(fǎng)問(wèn)實(shí)時(shí)生產(chǎn)數(shù)據(jù)庫(kù)更受歡迎。換句話(huà)說(shuō),API控制平臺(tái)是用于配置和操作云計(jì)算的API的集合。
API驅(qū)動(dòng)云計(jì)算。它們消除了集中式數(shù)據(jù)中心對(duì)固定IT架構(gòu)的需求。API還意味著網(wǎng)絡(luò)攻擊者不必遵守企業(yè)在其內(nèi)部數(shù)據(jù)中心中圍繞系統(tǒng)和數(shù)據(jù)存儲(chǔ)設(shè)置的任意邊界。雖然識(shí)別和糾正錯(cuò)誤配置是優(yōu)先事項(xiàng),但必須了解錯(cuò)誤配置只是網(wǎng)絡(luò)攻擊者達(dá)到最終目的的一種手段:控制平臺(tái)漏洞。這在迄今為止的每一次重大云泄漏中都都起到了關(guān)鍵作用。
授權(quán)開(kāi)發(fā)人員保護(hù)云平臺(tái)
授權(quán)開(kāi)發(fā)人員在開(kāi)發(fā)基礎(chǔ)設(shè)施即代碼(IaC)來(lái)時(shí)發(fā)現(xiàn)和修復(fù)云計(jì)算錯(cuò)誤配置是至關(guān)重要的,但為他們提供所需的工具,以設(shè)計(jì)能夠抵御當(dāng)今控制平臺(tái)漏洞攻擊的云架構(gòu),也是同樣重要的。
任何企業(yè)都可以采取五個(gè)步驟有效地授權(quán)開(kāi)發(fā)人員在云中安全操作:
(1)了解云計(jì)算環(huán)境和軟件開(kāi)發(fā)生命周期(SDLC)。安全團(tuán)隊(duì)?wèi)?yīng)該將工程師嵌入到應(yīng)用程序和開(kāi)發(fā)團(tuán)隊(duì)中,以了解正在運(yùn)行的一切,如何配置,如何開(kāi)發(fā)和部署,以及發(fā)生更改時(shí)的情況。還應(yīng)該知道哪些應(yīng)用程序與云計(jì)算資源關(guān)聯(lián),以及任何數(shù)據(jù)及其使用方式。像黑客一樣去識(shí)別控制平臺(tái)的漏洞風(fēng)險(xiǎn)。
(2)優(yōu)先考慮安全設(shè)計(jì),防止錯(cuò)誤配置。一旦控制平臺(tái)漏洞開(kāi)始攻擊,通常已經(jīng)來(lái)不及阻止。有效的云安全需要防止可能發(fā)生這些攻擊的條件。將安全性嵌入到到整個(gè)云計(jì)算軟件開(kāi)發(fā)生命周期(SDLC)中,以便在部署錯(cuò)誤配置之前捕獲錯(cuò)誤配置,并專(zhuān)注于設(shè)計(jì)固有的安全環(huán)境體系結(jié)構(gòu)。
(3)為開(kāi)發(fā)人員提供安全指導(dǎo)工具。開(kāi)發(fā)人員的行動(dòng)非常迅速,如果希望在不影響速度的情況下采用任何安全工具,都需要按照它們的工作方式工作。云安全工具應(yīng)該為開(kāi)發(fā)人員提供有用的、可操作的關(guān)于安全問(wèn)題的反饋,以及如何快速糾正這些問(wèn)題,以便他們能夠繼續(xù)工作。
(4)采用策略作為云安全的代碼。策略即代碼(PaC)通過(guò)授權(quán)所有云計(jì)算利益相關(guān)方安全操作,從而幫助安全團(tuán)隊(duì)利用他們所擁有的資源擴(kuò)展他們的工作,在規(guī)則是什么以及應(yīng)該如何應(yīng)用規(guī)則方面沒(méi)有任何歧義或分歧。它的作用是使所有團(tuán)隊(duì)在策略的單一真實(shí)來(lái)源下保持一致,消除解釋和應(yīng)用策略時(shí)的人為錯(cuò)誤,并在軟件開(kāi)發(fā)生命周期(SDLC)的每個(gè)階段實(shí)現(xiàn)安全自動(dòng)化(評(píng)估和執(zhí)行等)。
(5)專(zhuān)注于測(cè)量和過(guò)程改進(jìn)。云安全與入侵檢測(cè)和監(jiān)控網(wǎng)絡(luò)的惡意活動(dòng)無(wú)關(guān),更多的是關(guān)于改進(jìn)云安全流程以防止攻擊的發(fā)生。成功的云計(jì)算團(tuán)隊(duì)會(huì)持續(xù)對(duì)其環(huán)境的風(fēng)險(xiǎn)以及開(kāi)發(fā)人員和安全團(tuán)隊(duì)的生產(chǎn)力進(jìn)行評(píng)分,隨著容易出錯(cuò)的人工任務(wù)被自動(dòng)化,這些工作應(yīng)該會(huì)得到提高。
開(kāi)發(fā)人員是在部署前保護(hù)代碼的最佳(通常也是唯一)位置,在運(yùn)行時(shí)維護(hù)代碼的安全完整性,并更好地理解在代碼中提供修復(fù)的特定位置。但他們也是人類(lèi),在一個(gè)不斷試驗(yàn)和失敗的世界中容易犯錯(cuò)。建立在策略即代碼(PaC)上的自動(dòng)化通過(guò)在部署錯(cuò)誤之前對(duì)不斷搜索和捕獲錯(cuò)誤的過(guò)程進(jìn)行自動(dòng)化來(lái)消除人為錯(cuò)誤的風(fēng)險(xiǎn)。
而采用開(kāi)發(fā)人員優(yōu)先的云安全方法的企業(yè)將比競(jìng)爭(zhēng)對(duì)手創(chuàng)新得更快、更安全。?
