很多資深的安全專(zhuān)業(yè)人士都知道，許多甚至是大多數(shù)正在運(yùn)行的容器具有高危或嚴(yán)重漏洞。令人更為不解的是，這些漏洞很多都已經(jīng)有了可用的補(bǔ)丁，因此可以(但尚未)修復(fù)。但云不應(yīng)該是更安全嗎？

編輯搜圖

壞習(xí)慣在云上延續(xù)

把本地的信息系統(tǒng)遷移到云端，并不可意味著原來(lái)的工作環(huán)境或流程瞬間就得變得高效易用，安全更是如此。事實(shí)上，安全往往是人們最不想解決的問(wèn)題，因?yàn)樗鶗?huì)拖慢或影響業(yè)務(wù)。

以多因素身份驗(yàn)證(MFA)為例。太多的人都知道，或者至少聽(tīng)說(shuō)過(guò)，信息系統(tǒng)的安全訪問(wèn)應(yīng)該實(shí)施MFA。安全公司Falcon的Sysdig數(shù)據(jù)顯示，48%的機(jī)構(gòu)沒(méi)有對(duì)root權(quán)限的賬戶啟用MFA。此外，27%的機(jī)構(gòu)使用root帳戶做管理任務(wù)，這明顯違反了所有的安全基準(zhǔn)的建議。

身份和訪問(wèn)管理(IAM)是最關(guān)鍵的云安全控制之一，我們應(yīng)該圍繞它開(kāi)發(fā)新的、云原生的流程。云團(tuán)隊(duì)?wèi)?yīng)該創(chuàng)建適用于特定任務(wù)的IAM角色，禁止額外的權(quán)限，以及對(duì)使用人進(jìn)行角色培訓(xùn)。不管怎樣，啟用MFA吧！

不完整的安全左移

復(fù)雜的流程轉(zhuǎn)換需要時(shí)間，而且通常要分階段進(jìn)行。數(shù)據(jù)顯示，48%的鏡像首次漏洞掃描是在CI/CD管道中或容器注冊(cè)表中進(jìn)行，也就是說(shuō)，在部署運(yùn)行之前。

這個(gè)數(shù)據(jù)意味著許多企業(yè)已經(jīng)開(kāi)始“安全左移”。但另一方面，意味著更多的企業(yè)(52%)是在鏡像運(yùn)行時(shí)才做第一次掃描，耽誤了潛在關(guān)鍵漏洞的發(fā)現(xiàn)。

部分原因是我們?nèi)匀粌A向于推遲安全評(píng)估以節(jié)省時(shí)間。另一種可能的解釋是，工作負(fù)載的一個(gè)子集并未包括在“左移”任務(wù)中。具體來(lái)說(shuō)，許多不包含組織創(chuàng)建的自定義代碼的第三方應(yīng)用程序，都屬于這一類(lèi)。例如，Kubernetes組件、Web服務(wù)器和負(fù)載均衡可能要在軟件測(cè)試階段完成后很久才能配置。

這兩種情況，雖然 左移”都在發(fā)生，但并不完全。最先進(jìn)的團(tuán)隊(duì)正在使用他們的CI/CD管道測(cè)試所有工作負(fù)載的安全性，包括基礎(chǔ)設(shè)施組件，如主機(jī)、集群、容器等的部署清單。

風(fēng)險(xiǎn)也應(yīng)該左移

當(dāng)我們談?wù)搶?duì)風(fēng)險(xiǎn)的接受時(shí)，通常會(huì)認(rèn)為這是最后的手段。“在這一點(diǎn)上我無(wú)能為力，所以我將其記錄下來(lái)，然后一切交給上帝。”

然而，越早發(fā)現(xiàn)風(fēng)險(xiǎn)來(lái)源，就越有能力為其制定有效的緩解措施。我們可能最終仍會(huì)運(yùn)行有著關(guān)鍵高危漏洞的容器，但如果我們積極考慮與這些漏洞相關(guān)的風(fēng)險(xiǎn)，并實(shí)施控制措施來(lái)降低風(fēng)險(xiǎn)，安全態(tài)勢(shì)可能就不會(huì)那么糟糕。

當(dāng)大家越來(lái)越擔(dān)心軟件供應(yīng)鏈的安全性時(shí)，有必要考慮一下，那些第三方組件中有多少運(yùn)行時(shí)漏洞，即使這些三方組件我們的軟件可能都沒(méi)有使用。

在軟件交付過(guò)程的早期，識(shí)別易受攻擊的依賴關(guān)系可以節(jié)省大量時(shí)間，并極大的降低風(fēng)險(xiǎn)暴露。我們無(wú)法修復(fù)所有的漏洞，但許多漏洞可以通過(guò)額外的安全控制進(jìn)行管理。至少，應(yīng)該記錄在案，以便于查看。

點(diǎn)評(píng)

如今，數(shù)以十億計(jì)的容器在云中運(yùn)行。未來(lái)這個(gè)數(shù)字只會(huì)增加，同理，攻擊面和潛在風(fēng)險(xiǎn)也一樣會(huì)增加。事實(shí)上，新的工具和新的環(huán)境既是創(chuàng)新的機(jī)會(huì)，也往往會(huì)成為“技術(shù)欠債”的開(kāi)始。但既然，我們已經(jīng)從過(guò)去的經(jīng)驗(yàn)教訓(xùn)中認(rèn)識(shí)到了這個(gè)問(wèn)題，為什么我們不能在一開(kāi)始就放慢速度，把安全做好，做早？這就是云原生安全的核心推動(dòng)力。