安全“左移”是IT开发和DevOps人员使用的专业术语,用于描述将安全测试和安全技术向软件开发周期上游移动。当前,安全“左移”已经成为软件行业的共识,因为在软件开发生命周期早期修复漏洞远比在后期进行补救更加省时省力。在云安全领域,安全“左移”需要把更多的自动化、安全和网络功能直接融入到应用程序开发中,以便安全人员根据应用程序要求,编排和自动化基础架构,包括安全性。这个概念在业内又叫“X即代码”模型(网络即代码和安全即代码等)。
NetEvents专家组强调安全“左移”
日前,在举行的NetEvents Interactive网络研讨会上,安全“左移”这个主题备受瞩目,风险投资公司DNX Ventures执行合伙人Hiro Rio Maeda表示:“当今网络界的两大主题是供应链风险以及如何在应用程序构建的早期阶段确保安全——换句话说,我们称之为网络安全界中的‘左移’。”NetFoundry创始人兼首席执行官Galeal Zino赞同这一说法。他表示:“除非可以将网络和安全移到开发交付生命周期的核心……否则事后添加安全为时已晚。”
Maeda提到的供应链风险在SolarWinds黑客事件中尽显无遗,当时不法分子将恶意代码插入到SolarWinds软件更新中。SolarWinds是安装在数千台设备上的网络管理系统。据估计,至少有18000人下载了恶意代码,然后黑客利用这些代码潜入到组织的网络核心。SolarWinds首席执行官Sudhakar Ramakrishna估计约100家公司和机构受到了影响,包括美国网络安全与基础设施安全局。
许多安全工具旨在事后检测泄密或威胁,但这时坏人早已潜入系统,可能已经造成了威胁。安全“左移”是可以在开发早期阶段实施安全代码和策略,比如零信任策略方法,可以验证来自多个途径的代码和更改,在恶意程序添加进来之前就阻止威胁。在不断倡导加速软件开发流程的环境、尤其在云端——即所谓的持续集成和交付服务(CI/CD)中,非常需要这种方法。
安全“左移”的想法是,组织在开发代码的同时测试代码,并寻找漏洞,并作为DevOps过程的一部分。这个想法特别有效,因为云打破了安全“边界”这一概念。由于几乎每个人都普遍使用云及/或互联网,企业系统没有正门或大门要防御——攻击者的活动可能就在代码本身中。因此,越早使用安全策略,对企业安全越有利。
零信任和机密计算
2022年,在网络安全领域,零信任和机密计算将获得更多关注,两者都将受益于安全“左移”。
零信任与其说是一项技术,不如说是一项原则,但它正应用于网络安全的许多不同领域。其想法是,应用程序、网络或服务不应该信任任何人、连接或设备。相反,它应该假设一切都是有危险的,针对多条途径验证连接和用户(无论人还是机器)的身份,这包括验证用户、网络、设备或应用程序的已签名身份。Zino信奉零信任,零信任是其所在公司依赖的重要原则。
另一个新兴领域是机密计算或机密云。机密计算满足云安全一个更深层次的需求,即芯片本身的处理。云服务模式的挑战之一是,客户不确定所使用的各种云服务中的数据或应用程序在安全方面发生了什么,他们希望保证一切是安全的。机密计算力求在云基础设施的内存和硬件层面加密数据,同时将这种安全控制权交给运行应用程序的组织。如果云服务在内存层面被加密和锁定,那么客户就可以划分和保护其数据。因此,云基础设施迫切需要这一功能,来保证其数据的安全性。
Anjuna Security首席执行官兼联合创始人Ayal Yogev表示,机密计算是安全“左移”潮流的一部分,旨在为云端应用程序提供更好的安全性。Yogev说:“云的一大挑战是,为企业带来便利的同时也带来了巨大的安全问题。云实际上是由第三方管理企业的基础设施,他们可以访问企业的全部数据,这给企业带来了一定的安全隐患。”
这个问题怎么解决?机密计算在云服务的内存和芯片层面对特定应用程序进行加密和隔离,它注重芯片的操作系统内存空间中数据和代码的安全性。这也是安全的第三个领域——即确保使用中数据的安全性,这个领域不如传输中数据(网络)或静态数据(存储)等领域来得成熟。
Yogev表示:“现在的挑战是一切都在更新,但也是巨大的机会,因为企业可以划分应用程序代码,回到微隔离的时代。”安全“左移”是开发安全运营(DevSecOps)的一部分,将对安全潮流产生重大影响。我们预料,未来,安全“左移”可能会对应用程序与基础设施交互的方式产生重大影响。安全“左移”理念会渗入到云基础设施的许多层,包括网络、代码、操作系统和硬件,一直到内存层面。这一切都需要在云端运行的代码中实施更好的安全策略和技术。
参考链接:
https://www.forbes.com/sites/rscottraynovich/2022/01/13/the-shift-left-is-a-growing-theme-for-cloud-cybersecurity-in-2022/