在云中实现左移安全性

虽然勒索软件在过去几年中一直是企业安全团队的关注重点，但软件漏洞问题正在紧随其后。基于云的应用程序和服务的蓬勃发展以及工作数字化程度的提高对网络攻击者来说是一个可利用的点，他们正在利用开发人员和DevOps团队试图更快，更智能地工作以满足需求。据估计，仅在过去十年中，每10次0day攻击中就有 4次发生在 2021 年。

很多因素导致了这种增长。重用代码使得错误配置和漏洞在不同的程序中重新出现，并且使用多个云服务会分散安全措施并降低运行许多企业功能的代码的可见性。这就是为什么开发人员和安全专业人员都更加关注整个软件开发生命周期(SDLC)的安全性，尤其是在早期阶段。

左移安全原则和挑战

0 day激增导致人们对左移实践投入更多关注，这是将安全作为发展过程中优先事项的一种方式。左移文化在软件生命周期的更早阶段，即在软件部署之前，将安全性引入到开发中，而不是在用户报告错误后才进行修补。这种先发制人的方法有助于防止那些不为防御所知的漏洞。

当开发人员为云平台(如Amazon Web Services、Microsoft的Azure或谷歌cloud)构建应用程序时，左移原则还可以增强安全性，因为这些平台的专有代码和安全工具的可见性可能受到限制。在左移文化中，DevOps将最低特权策略嵌入到云工作负载的日常工作中，以保护网络基础架构并避免对这些工作流授予过多的权限。

例如，在Kubernetes容器上设置基于角色的访问控制(RBAC)可以在这些集群上实施最小权限模型，并避免可能导致攻击的过多权限，而从持续集成/持续交付(CI/CD)工作站中删除管理凭据可以阻止网络攻击者使用这些管道作为攻击载体。

左移安全性是一个很好的概念，但在执行中容易产生阻碍，主要是开发团队之间的内部冲突，他们希望按照业务速度移动，而安全人员采取更谨慎的方法。

解决这种摩擦需要转变思维方式，DevOps中安全是开发过程的一部分，管理层可以相信开发人员已经掌握了安全。除了团队人员都掌握安全开发信息，也需要工具和培训来集成左移实践，如静态代码检测等一系列安全测试工具。最终目标是创建DevSecOps模型，将开发、安全和运营整合到一个敏捷、安全、高效的工作流程中。

如何在云上采用左移安全性

以下几个实践可以提供帮助：

获得深度可见性：由于企业经常在多个云环境中工作，并将公共和私有云混合到混合基础设施中，资产的可见性通常会受到影响，这使得难以清楚地了解风险。能够发现环境中的所有身份、权限、配置和资源以及对特定资源的所有访问路径，有助于构建云资产的上下文目录，以便更好地管理它们并进行策略分析。

确定风险优先级：风险管理是任何安全计划的关键实践，但来自多个云提供商和系统的大量警报可能会使安全运营中心不堪重负。自动化工具现在可以在整个云环境中搜索风险并确定其优先级，从开发到生产，发现问题组合并减轻跨多个孤岛手动对警报进行排序的工作量，从而让员工腾出时间处理更高优先级的缓解和修复任务。

查找并防止漏洞和错误配置：基础架构即代码 (IaC) 使软件部署在云中(通过使用虚拟机、容器、微服务等，更加敏捷和高效。但是，在建立云基础架构时，安全性通常是事后才想到的。组织应扫描违反安全策略的代码和其他风险，以便在缺陷进入生产环境之前修复缺陷，并检测和修复生产环境中的问题。借助开发工作流中内置的反馈和自动化工具，DevOps 和安全团队可以降低代码中的安全风险。

在Gartner2023年网络安全八大关键预测中，DevSecOps将成为业务关键。但是构建DevSecOps模型需要的不仅仅是良好的意愿。它需要实践、工具和培训来执行该模型，以及整个企业以及与外部云和安全合作伙伴的合作心态。团队合作为敏捷业务需求提供云安全的基础保证。

文章来源：

https://devops.com/implementing-shift-left-security-in-the-cloud/