在云原生生态系统中,人们越来越关注“安全速度”正在沿用“巨型虾”的矛盾。
每天在云中开发出许多令人印象深刻的事物,并且可以以闪电般的速度创建许多事物。但是也可以很快地犯下很多错误,这也增加了安全性受到损害的可能性。
迈克菲有限责任公司(McAfee LLC)在1月份的一份报告中指出,有25%的公司具有从云平台下载的不安全个人设备的敏感数据,而52%的云服务用户已窃取了数据。诸如此类的指标已对云的“分担责任模型”进行了审查。
在此模型中,云提供商负责访问数据中心,核心文件和操作系统,而客户负责可配置的所有其他内容。然后有一个替代模型。
Lacework Inc.首席执行官Lacework Inc.首席执行官Dan Hubbard(如图)说:“有很多事情没有被谈论,这是公司内部正在发生的“共享不负责任的模型” 。“开发人员说他们对此不负责任,安全性则表示他们发展得太快了。我们的口头禅之一就是要以速度和安全性奔跑,但是用剪刀很难奔跑并且同时要安全。”
Hubbard在Cloud Native Insights的第五集中采访了SiliconANGLE Media的实时流媒体工作室CUBE的主持人Stu Miniman,该系列着重于市场过渡以及公司如何进行现代化和利用云原生技术的旅程。他们讨论了安全解决方案的实施方式与DevOps文化之间的冲突,在云原生世界中实现现代安全性的关键,导航分散的多云环境以及在企业内部创建更安全的生态系统方面取得积极进展的积极迹象。
洗云
哈伯德所说的“共同的不负责任”强调了许多企业内部的开发人员之间的冲突,开发人员的工作通常与公司的成败息息相关,而负责保护工作成果的安全专业人员也是如此。甲骨文公司和毕马威会计师事务所进行的一项研究发现,近三分之二的企业首席信息安全官仅在安全事件发生后才参与云项目,而只有不到10%的人完全了解共享责任模型。
Hubbard说:“不幸的是,安全人员和许多安全解决方案,如果有的话,现任运营商都试图以云的方式交付其当前解决方案,” Hubbard说。“他们正在做我所谓的“云构建”或“云清洗”,并且正在不适合现代基础架构和开发人员正在构建的现代方式的系统中进行。如果要在云中构建,则必须以现代方式以与构建云相同的方式对其进行保护。”
在云原生世界中,现代安全性应该是什么样?据哈伯德说,第一步是接受不可避免的现实,即网络分子不会消失,他们将继续以速度和敏捷性进行创新。
第二个步骤用一个词概括:自动化。
哈伯德说:“自动化至关重要。” “云提供商几乎每周都会发布新的API和缩写词。自动化和适应这一能力是我们从客户那里听到的关键信息。”
协助执法
许多组织面临的挑战将是如何选择自动化途径,以便在不增加风险的情况下将技术正确地用于生产用途。布鲁金斯学会(Brookings Institution)上个月发布了一份报告,内容涉及通过AI改善网络安全性,该警告警告说,对技术的依赖可能会诱使攻击者针对具有特定破坏性结果的特定算法进行攻击。
人们还担心,创新本身的速度会很快超过任何可以应用的自动化安全规则。
哈伯德说:“在这个世界上,人们编写和制定规则的想法非常困难,因为事情发展得如此之快。” “过去,要在一个亚洲数据中心内安装10,000台服务器进行四个小时的研究确实非常困难,安全人员可能会知道这是否正在发生。如今,这就像三行代码。”
对于云原生世界而言,更可能的模型将遵循指导性强制执行的原则,即在另一端通过人工检查自动执行对企业结果的响应。
在这种情况下,哈伯德(Hubbard)承认尚处于起步阶段,一些Lacework客户将公司的自动警报发送到内部的Slack渠道,询问特定员工是否有权在特定区域打开S3存储桶。
“如果否,则程序将运行无服务器功能并关闭它,”哈伯德解释说。“我相信,我们将进入一个与编排和自动化有关的世界,那里有一组参数,您可以编排某些东西,或者也许是“运维协助”模式。”
适合现代工作流程
现代化安全性的另一个重要元素涉及在多云世界中进行有效导航的能力。云安全性已经远远超出了Kubernetes和容器,它涵盖了对基础架构即代码,无服务器,虚拟机和高度复杂的工作负载的保护。
哈伯德说:“您的世界非常零散,所有这些都需要得到保护。” “我们听到的最一致的主题是必须参与DevOps,因为他们知道堆栈的应用比安全性要好得多,它必须适合您的现代DevOps工作流程。这意味着与Jira,Slack,PagerDuty,New Relic和Datadog的深度集成比集成到Palo Alto Networks防火墙,Cisco IDS系统和端点防病毒软件更为重要。”
Hubbard说,随着公司努力应对日益严重的攻击,今天的安全领域充满阳光。一个涉及向最小特权的运动,该过程用于将访问权限限制为仅具有绕过安全限制授权的访问权限。
上周,当Twitter Inc.的系统遭到破坏并且130个知名帐户被黑客入侵时,人们强调了当太多人在公司网络中拥有访问权限时可能发生的危险。在最近的更新中,Twitter承认使用社会工程学从几名员工那里获取凭据,从而使攻击者可以绕过两因素身份验证并访问关键的内部数据库。
Hubbard表示:“最让我们兴奋的是,朝着最低特权的方向前进,从而最大程度地减少了开发人员内部的攻击面及其对基础架构的访问。” “我们离那里很远。这很容易说,而且很难做。”
根据Hubbard的说法,另一项积极的进展集中在满足合规性标准的进展上,从遵循审核标准的团队每六个月进入数据中心到一个Lacework可以在一分钟内告诉客户如何应对特定要求的过程。 。
这种进步预示着云原生世界中安全性的积极发展。关键将是企业也在云环境内部建立保护。
哈伯德说:“这与我如何拿走现有的安全堆栈并将其移开无关。” “我对迁移到云中的人们的建议实际上是首先考虑合规性和配置最佳实践。能够实时查看配置并了解您是否符合要求或遵循最佳实践的能力是真正的。这是爬,走,跑的好时机。”