目录
云原生正变得越来越流行,在2020年,Cloud Native Computing Foundation(CNCF)统计发现91%的受访公司正在使用Kubernetes,其中83%的组织也在生产环境中使用kubernetes。由于云原生,团队可以轻松地构建和使用容器,微服务,不变的基础设施,以及声明的API管理服务,而不必担心底层的服务器。但是,云原生安全性仍然是一个真正的挑战。
奇怪的是,云原生安全性的最大问题与所有新技术无关。Palo Alto Networks首席安全官Matthew Chiodi表示,如果组织希望以更好地开始新的一年,则应着手解决五个主要的云原生安全性问题。有些是容易解决的难题,而有些则需要进行较大的组织改革。让我们一一介绍。
关注点1:没有使用多因素身份验证
在Palo Alto Networks的《2020年上半年云威胁报告》中,发现简单单一的身份和访问管理(IAM)配置错误,使黑客能够入侵基于Amazon Web Services的云环境,并从根本上绕过所有安全控制。是的,与你的PC用户坚持使用“密码”作为Windows密码时相比,在云原生环境中,我们如何管理用户ID,密码和身份验证更是一个真正需要重视的问题。
云原生身份和访问管理应成为组织关注的第一领域。你会听到很多关于“确保已启用多因素身份验证(MFA)”--这是最佳做法,但是,它仍然做得不够频繁。
正如Palo Alto Networks首席安全官Matthew Chiodi所言,“部署MFA将使你的服务更加安全。云原生身份访问管理,如果现在不是你的头等大事,应该将MFA放在首位”。
在Palo Alto Networks的最新云威胁报告中,“我们发现大约66%的组织没有按其应有的频率变更其访问密钥。而,最佳实践应该是每90天进行一次,但是66%的组织没有这样做。因此,只要注意基本的安全问题,你就可以减少很多被攻击的次数。”
关注点二:特权访问
我们正在慢慢意识到,以root用户身份运行程序只是在自找麻烦。
最常见的安全问题是,以root用户运行基于Docker的容器,这不是一个好主意。正如Fair Financial 平台工程总监Cat Cai所说,你应该使用最小特权原则。也就是说,“你的应用程序以及开发人员访问集群都应该只能访问他们所需的资源。”
关注点3:配置错误
Chiodi指出,另一个常见的安全漏洞是“对外开放的云存储和数据库。这些配置错误在任何组织的云环境中都不应该存在。”
假如创建的云存储未使用任何形式的加密,没有使用身份验证或访问凭据。结果可想而知,机密数据将会被泄露。
Chiodi说,“但如果你查看诸如加州消费者隐私法(CCPA)和欧盟GDPR之类的法规,则都有严格的个人数据保护标准,罚款也非常高。” 这些罚款,比因保护云存储和数据库安全性费用要昂贵得多。
关注点四:忽略构建安全性
Chiodi还是"Shifting left on security(向左转移安全性)"的坚定信徒,这个短语意味着将安全性移至开发过程中的最早点。
通过向左转移安全性,你不仅可以降低安全风险,还可以降低开发成本。IBM的系统科学研究所发现,解决设计中的安全问题比代码开发期间能节省6倍左右的成本,比测试期间能节省15倍左右的成本。
Chiodi说:“首先需要了解组织中软件的创建方式和位置。大型组织可能会花几个月的时间进行挖掘。这是因为,开发工作外包给多个供应商,这将需要额外的工作,有时还需要合同审查,并且每个业务部门将拥有自己的软件开发过程和工具。”
你还必须将基础结构视为代码模板,尽量减少安全性错误配置。
在"Shifting left on security(向左转移安全性)"这项工作时,有些公司还将考虑其构建环境。如果你的构建环境不安全,则会使所有软件和贯穿其中的每一行代码同样处于危险之中。
解决方案是使用verified reproducible builds(经过验证的可重现构建)。也就是,在给定相同输入的情况下始终产生相同输出的构建,因此可以验证构建结果。经过验证的可重现构建是一个过程,组织根据源代码生成构建,并验证构建结果是否来自声明的源代码。
实现此目的的工具仍在开发中。Linux Foundation和Civil Infrastructure Platform正在资助Reproducible Builds project,以使经过验证的可重现构建成为可能。
Chiodi表示,在这一天到来之前,你应该使用他已经提出的基本安全建议来尽可能地优化完善构建环境。
关注点五:没有警报
最后,Chiodi表示,“你的组织应该关注的最后一个安全问题是风险指标和警报。警报会告诉你某些地方可能出了问题。风险指标侧重于有效性和效率,因此你可以在出现问题之前发现漏洞。”
公司应该更主动地应对安全问题。如果你只想查看警报,那么问题已经发生了。但是,如果你要监视风险,则可以提前发现漏洞,以修复错误的服务。监视这些指标很大程度上取决于开发团队在所有部署中具有可见性,这也可能有其缺点。
“随着公司迁移到云或扩展其云业务,安全团队需要对公司数据具有更高的可见性。” 幸运的是,云环境使基于云的工具之间的集成更加容易,应该利用它来实现警报合并,数据丰富和自动化。
Chiodi继续说道:“关注有效性和效率的风险指标实际上可以帮助你发现开发中的漏洞。他们还可以帮助你确定DevOps团队在发现漏洞的效率。”
最后,正如Palo Alto Networks的首席执行官兼董事长Nikesh Arora时所说的那样:“ 对于始终试图破环我们的黑客来说,安全性必须更具主动性,并且必须面向未来:如果你无法实时阻止攻击,则需要进行实时监控。“
译文链接:https://thenewstack.io/five-cloud-native-security-concerns-in-2021/
