如何在云原生环境中实现安全左移？

在过去几年里，勒索软件一直是企业安全团队关心的头等大事，而当前软件漏洞问题数量也在逐渐抬头。基于云的应用程序和服务的爆发式增长以及数字化工作的增加，对黑客来说是一大利好，他们正在利用开发人员和 DevOps 团队快速迭代的工作来满足他们的企图。有人估计说，过去十年里 40%的零日攻击都发生在 2021 年。 

造成这一现象增长的原因有很多。开发人员重复使用代码，使得错误的配置和漏洞在不同的程序中反复出现，而且使用多云服务使得安全措施无法完整地实施，降低了代码的可见性。因此，开发人员和安全专家更倾向于在整个软件开发生命周期（SDLC）中更关注安全，特别是早期阶段。 

安全左移原则与挑战

零日攻击的激增导致人们对左移的兴趣愈发浓厚，认为这是一种使安全成为开发过程中优先级靠前的方式。左移文化将安全问题在软件生命周期的早期阶段（即软件部署之前）引入，而不是在用户报告错误之后再打补丁。这种先发制人的方法有助于消除那些可能影响应用程序安全状况的漏洞，而这些漏洞可能连防御者都很难检测出来。 

当开发者在云平台上构建应用程序时，如 AWS、Azure 等，左移原则也可能增强安全性，因为在这些平台上，对自研代码和平台安全工具的可见性可能有限。在左移文化中，DevOps 将最小权限原则应用到云工作负载的日常工作中，以保护网络基础设施，避免对这些工作流程授予过多权限。例如，在 Kubernetes 容器上设置基于身份的访问控制（RBAC）以增强集群上的最小权限模型并避免过多的权限，它们可能导致数据泄露。与此同时，从 CI/CD 工作站移除管理证书，阻止黑客利用流水线作为攻击媒介。 

安全左移是一个很好的概念，但在执行中常常会遇到障碍，主要是由于开发团队之间内部的矛盾——业务团队希望加快开发进度，但安全人员则更为谨慎。这就导致了摩擦，开发人员警告说拒绝访问会影响他们的工作并导致部署延误，而安全分析师则担心太多的用户拥有未经审核的管理权限会造成数据泄露。要解决这些摩擦需要转变观念，即 DevOps 需要将安全理解为开发流程的一部分，同时管理人员信任开发人员已经拥有了安全意识。同时还需要将现有工具和培训与安全左移实践相结合，例如，满足 CISO 安全需求（赋予网络基础设施代码更大的可见性）和 DevOps 敏捷性需求（自动化安全防护和授权）的平台。最终目标是构建 DevSecOps 模型，将开发、安全和运维集中到一个敏捷、安全、高效的工作流程中。 

如何在云端实现安全左移？

以下是 4 个最佳实践，帮助您在云端实现 DevSecOps： 

获取深度可见性

随着企业经常在多云环境及混合云环境中工作，对软件资产的可见性通常会受到影响，这会导致难以及时察觉风险。企业能够清晰地知道环境中的所有身份、权限、配置和资源，以及对特定资源的所有访问路径，有助于建立云资产的上下文清单，以更好地管理它们并进行策略分析。 

风险优先级排序

风险管理是所有安全项目的核心实践，但来自多个云厂商及系统的大量告警会让安全团队不堪重负。自动化工具可以在从开发到生产的整个云环境中帮助团队搜索并对风险进行优先级排序，发现关联问题并减轻跨多个环境和阶段对告警进行手动分类的工作量，从而使开发及安全人员能够腾出时间来处理更高优先级的风险修复任务。 

即时访问

零信任架构已经成为大多数安全防御的标准，但由于管理访问权限十分困难，因此零信任架构常常遭受挑战。即时访问（JIT），即授予限时、可撤销的访问权限，是一个有用的工具，可以建立一个零信任的安全架构，并且能够维护最小权限策略。积极管理和监控开发者访问云环境的技术工具，包括对特权活动的密切审计跟踪，为安全提供了一个执行 JIT 访问和零信任的手段。 

发现并阻止漏洞和错误配置

IaC 通过使用虚拟机、容器、微服务等，使软件在云中的部署更加灵活和高效。然而，在搭建云计算基础设施时，安全问题往往是事后才想到的，无论是否在生产环境中。企业应该扫描代码是否违反安全策略和存在其他风险，以便在它们进入生产之前进行修复。通过在开发工作流程中建立反馈和自动拦截机制，DevOps 和安全团队可以降低代码中的安全风险。 

与零信任一样，左移正在成为保障网络安全的标准做法。但是，建立一个 DevSecOps 模型需要的不仅仅只是一个愿望。它需要执行该模式的实践、工具和培训，以及整个企业和外部云及安全合作伙伴的共同合作。只有团体的努力才能提供敏捷企业所需的云安全保障。 

参考链接：https://devops.com/implementing-shift-left-security-in-the-cloud/