写点什么

理清逻辑,确保云原生时代应用开发的全生命周期安全

  • 2022 年 1 月 14 日
  • 本文字数:3035 字

    阅读完需:约 10 分钟

摘要:正所谓“道高一尺魔高一丈”,不断的攻防对抗中,安全设计者也面临很大的挑战。华为云 MVP 毛哲文是一个偏向于安全防守的安全工程师,他认为,“攻防之间要做到平衡,知己知彼才能做一个好的安全解决方案。”

 

本文分享自华为云社区《华为云MVP毛哲文:理清逻辑,确保云原生时代应用开发的全生命周期安全》,作者: 我们都是云专家。

 

网络安全猛于虎,一个小的漏洞可能会导致业务系统全线崩溃,损失上千万。另一方面,网络安全又相对非常复杂,既有形形色色的安全技术,又有各式各样的安全工程能力。

 

正所谓“道高一尺魔高一丈”,不断的攻防对抗中,安全设计者也面临很大的挑战。华为云 MVP 毛哲文是一个偏向于安全防守的安全工程师,他认为,“攻防之间要做到平衡,知己知彼才能做一个好的安全解决方案。”

 

 

下面一起跟随这位在安全领域耕耘多年的技术老兵,看如何根据业务构建安全方案,将安全技术系统性的落地。

网络安全问题千差万别,但核心是相似的

 

从大学到工作,毛哲文一直和安全打交道,从操作系统安全、应用层的安全、移动应用安全到云计算安全、web 应用安全,毛哲文一点点体会到了安全的趣味性,以及蕴藏在其中的安全架构之美。

在一系列与安全相关的工作中,毛哲文总结:

“虽然研究的领域不一样,但最基本的安全原理、安全访问控制模型不会有太大差异。当你从安全的本质、安全架构的视角去解决各种安全问题,即便这些问题在系统中的层级不同,但各个层级之间的关联性、依赖性都会非常强。安全架构与安全能力的抽象,会让复杂的问题变得简单。”

 

也就是说,不同领域的网络安全问题表面看起来千差万别,大相径庭,但往往要解决的核心问题又是高度相似。

 

目前,业界广泛应用的安全目标是 CIA,即机密性、完整性、可用性。但不同领域和不同行业对具体的“机密性”解读会略有不同。比如对一个企业级应用来说,机密性更多的指应用的业务数据只能被该访问的人/应用/服务访问;而对一个移动终端系统应用来讲,机密性往往更侧重于对终端用户数据、个人隐私的保护能力。

从业务、架构看安全解决方案的实施

 

基于多年经验,毛哲文也摸索出了构建安全解决方案的通用路径。他强调:“安全解决方案不能脱离具体的业务,同样也离不开安全架构及软件架构。

 

做安全,首先需要知道具体的业务特征,据此来制定相应的、具体的安全目标。因为只有清楚具体的业务场景、业务的核心资产,才能明确安全“机密性”保护的目标对象。在此基础之上,更好地做安全威胁分析,“用安全的语言来讲,做安全设计要清晰地知道系统中的主体是谁,客体是谁,确保正确的主体正确地访问客体资源。”

 

毛哲文提到的另一个关键是安全架构。

 

安全要解决的从来都不是局部性的问题,但往往一个局部性的问题会导致整个安全防守系统的失效。所以攻和防的对抗会处于不对称的地位。从防守方来看,如何将一个复杂的系统做到系统性安全,安全架构就显得非常重要。

 

安全架构可以帮助我们系统性地看待和解决安全问题。一个系统无论有多复杂,都能从安全架构的层面进行抽象、建模,然后实施具体的安全策略,做到系统性的安全完备。即便有局部的漏洞发生,也是可以通过漏洞的修复来弥补,从容应对持续的攻防对抗。另外,如果系统同时还配备安全感知、安全检测、安全恢复能力,系统也能更好地应对局部的风险,让防守变得更加积极。

 

相反,如果一个系统没有完备的安全架构设计,只是试图从局部解决安全问题,它就无法应对持续的攻防对抗过程,系统的安全也无法进行完备性证明。

 

综上,设计、开发、交付、运维一个高安全质量的系统是个复杂的系统工程。毛哲文强调,“安全技术能力和安全工程能力是融合是至关重要的。”

 

在互联网时代,应用现代化的目标就是让开发者更多的聚焦业务逻辑,让应用快速迭代,从而满足企业的竞争力要求。这便对基础平台以及配套应用生产工具提出更高的安全要求,更加注重安全技术和安全工程能力的完美融合。

 

也即应用生产和运行的基础平台要具备完备的安全技术能力,如隔离与访问控制技术、机密性保护技术、完整性保护技术、安全韧性技术等。同时,平台也要有一套完备的安全工程能力,让应用在生产和运行过程中能快速敏捷的落地,并满足高安全的质量要求。

 

毛哲文以云原生安全为例,详细谈了谈如何保证应用的全生命周期安全。

云原生下,如何确保应用开发的全生命周期安全?

 

当下云原生正在改变每个行业中的各种组织,因为它能使这些组织运行的更加快速、更灵活、更加智能化。华为云也一直致力于应用云原生的现代化能力,为云原生应用开发的高效和安全打造竞争力,确保开发者快速生产和部署安全、合规的云应用。

 

在如何支持云原生安全方面,可以先从目标切入。云原生安全的目标依旧是应用的机密性、完整性,以及服务的可用性。要确保应用的整个生命周期安全可控,以及应用的合规性,例如,个人隐私数据的合规使用等。

 

云应用安全逻辑视图

 

应用的安全可以从三个维度展开,分别是应用安全,应用的运行安全,应用的安全运维。

 

其中,应用安全通常包含正确的认证、鉴权机制以及最小的权限管理,即正确的访问控制,确保正确的人、正确的服务才能访问该应用的数据,或者享用本应用提供的服务。应用运行环境安全囊括了网络安全、OS 安全、容器安全、中间件安全、基础设施安全等。安全运维则包括安全感知、安全响应、安全恢复。

 

应用的安全贯穿应用整个生命周期,以华为云 DevSecOps 解决方案 Devcloud 为例,它包含了软件的安全工程能力,通过解决方案让安全顺利左移(指应用在出生的过程中就是安全的,而不是安全后补),降低安全门槛,让安全能够敏捷落地于应用的生产、交付、运行过程。

 

 

下面,从应用的安全开发、编译构建、测试、交付到运行,详细解读如何进行安全能力的设计。

安全开发

在应用的开发过程中,提供对应的安全开发框架,框架包含统一的认证能力、数据安全管理能力、接口安全能力等,降低开发中的安全成本和安全质量。在代码提交的过程中,可以设置代码提交门禁,确保提交代码的质量。

安全编译构建

编译构建阶段可以承载比较多的安全活动,包括构建前的代码检查、开源相关的漏洞检测、隐私合规扫描、安全编译参数等。

安全测试

安全测试可以融入到应用生产的整个过程:从安全测试的设计、安全测试用例的生成、安全用例的执行,包含独立的代码测试、漏洞测试等,都可以融入应用的生产和交付过程中。

 

比如提供代码级的安全测试工具,既能检查代码的安全,并能给出对应的修复建议。

 

另一个要关注的是接口安全,对接口的设计到运行进行安全监控。例如:在设计阶段进行接口认证、鉴权、参数安全、协议安全等设计。测试用例和测试执行便与之配套展开。还可基于 API 级,辅助生成完备的接口测试用例,提升接口级安全。

安全交付

应用的交付应该有基本的安全检查,以及完整性保护机制,确保交付的软件在存储和传输的过程中完整性没有被破坏。

安全运行

安全运行阶段需要具备安全的运行环境,以及安全感知响应和事后的恢复能力。

安全可视化

应用的生命周期能够以看板的形式进行安全过程的可视化,以及运行状态的可视化。

 

最后,毛哲文强调了工具链的安全问题。他指出,云原生安全对软件工具链本身的安全提出了要求,确保软件制品在整个生产的过程中是安全的、可信的、可追溯的。尤其是很多应用基于大量的开源软件,不仅要保证自研代码的安全性,同样要保证应用依赖的开源的安全性。

 

虽然安全问题的解决道阻且长,但毛哲文也相信行则将至,在不断的攻防对抗中,安全工程师也能够更加从容自得。

 

点击关注,第一时间了解华为云新鲜技术~

发布于: 刚刚阅读数: 2
用户头像

提供全面深入的云计算技术干货 2020.07.14 加入

华为云开发者社区,提供全面深入的云计算前景分析、丰富的技术干货、程序样例,分享华为云前沿资讯动态,方便开发者快速成长与发展,欢迎提问、互动,多方位了解云计算! 传送门:https://bbs.huaweicloud.com/

评论

发布
暂无评论
理清逻辑,确保云原生时代应用开发的全生命周期安全