蓝盟IT小贴士,来喽!
容器安全的新挑战“内部网式安全感”已经不存在了
与二战的情况类似,但目前企业所处的外部经济环境不断变化,要求企业在业务发展过程中必须灵活有效地应对。 这也是近年来容器应用日渐盛行的重要原因。 由于能够满足企业快速反应、敏捷开发的需要,集装箱已经成为企业APP提供的主流形式。
但是,与以往的APP相比,容器在隔离和安全性等方面存在“缺陷”。 这些“缺陷”和容器一起在所谓的企业内部网络中运行,如果不能很好地识别和修复,就会成为“马奇诺防线”上的鸿沟,给企业带来不可估量的损失。
面对这种情况,通过构筑“一堵墙”而拥有的安全感消失了。 换言之,企业必须重新审视和调整自己的安全战略。
首先,让我们来看看集装箱给企业带来了哪些安全挑战。
据了解,目前Kubernetes已经成为APP创新的标准平台,DevOps也成为支持云原生APP开发和运维的主要实践方法论。 在这种发展理念下,企业APP必须与本地数据中心在云中同步部署和交互。 也就是说,物理安全边界消失了,安全隐患无处不在。 在传统的安全策略中,通过构建“安全边界”,将不可靠域的东西阻止在“墙”之外当然是不合适的。
所以,企业推广和使用容器必须考虑几个问题。
第一,软件供应链的安全性。 由于容器APP中有许多代码、组件来自开源社区或第三方外包开发,如果无法有效识别其中的高危漏洞或被无意的人利用,则将有问题的代码提供给用户
第二,基础设施的安全性。 现在,许多公司仍然倾向于使用“DIY”kubernetes平台和安全扫描工具。 这样的基础架构很难真正满足和评估企业的安全合规性要求,从而使整个平台或整个业务面临风险。 另一方面,Kubernetes的安全责任相对分散,如果全部责任不明确,则管理不善,不利于安全战略的执行
三是APP负载的安全性。 容器改变了传统的APP部署模式,不仅大大缩短了APP的生命周期,而且部署密度也很高,传统的安全策略难以满足需求。 另外,APP,特别是第三方APP的集装箱化后,其工作是否正常,是否能满足安全标准,在过去的安全体系中也很难全面监控,如果有问题,会直接影响到业务。也就是说,企业需要改变的不仅仅是某种安全技术手段,还有整个安全战略。
从安全意识的“前进”、被动防御走向主动防护
如果吸取法国“马奇诺防线”安于防守的教训,企业首先应该做的就是,让“被动”成为“主动”,而不是在攻击发生后做出反应,优先采取主动权。 放在容器的安全这件事上,也就是说企业必须“前进”安全意识和手段。
相关调查显示,从APP开发、构建、部署到运营的各个阶段,期间产生的安全成本都在逐步增加。 例如,如果在研发阶段发现漏洞,则由开发人员直接修复即可,如果在低成本、高效的发布后检测到漏洞,则安全人员需要提出建议,与研发人员进行沟通,由测试人员进行验证。 不仅相对昂贵,还存在一定的在线风险。 如果在APP运行一段时间后发现漏洞,那不仅仅是修复问题。 企业一方面要支付额外的钱、沟通成本、修复时间,另一方面需要运输、公开、业务等多方人员的介入,给企业带来的风险和成本压力会增加几十、百倍。
因此,将安全理念渗透到DevOps的整个流程中,“整合开发、安全和运营理念来制定解决方案的新方法”日益成为行业共识。 ——这就是DevSecOps,其基础思想是“开发安全性的左移”。
“左移”其实可以理解为,安全意识从运营阶段提前到集装箱构建和CI/CD阶段,从而避免运营后不可挽回的损失和高昂的修复成本。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
