安全意識(shí)前移，從被動(dòng)防御到主動(dòng)防護(hù)

時(shí)間：2022-04-04 11:57:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-04-04 11:57:01 來源：行業(yè)動(dòng)態(tài)

如果吸取法國(guó)馬奇諾防線安于防守的教訓(xùn)，這意味著，企業(yè)首先要做的就是化被動(dòng)為主動(dòng)，優(yōu)先占據(jù)主動(dòng)權(quán)，而不是等著攻擊發(fā)生后才做出反應(yīng)。放在容器安全這件事上，也就是說，企業(yè)必須把安全意識(shí)和手段前移。

有相關(guān)調(diào)查顯示，從應(yīng)用研發(fā)、構(gòu)建、部署到運(yùn)行的不同階段，期間產(chǎn)生的安全成本是逐級(jí)遞增的。舉例來說：如果在研發(fā)階段發(fā)現(xiàn)漏洞，只要由開發(fā)人員直接修復(fù)即可，成本低而且效率高；如果等到發(fā)布后才檢測(cè)出漏洞，那就需要安全人員給出方案，與研發(fā)人員溝通，再由測(cè)試人員驗(yàn)證，不僅相對(duì)成本高，而且還存在一定的線上風(fēng)險(xiǎn)；而如果等到應(yīng)用運(yùn)行了一段時(shí)間后漏洞才被發(fā)現(xiàn)，那就不只是補(bǔ)救的問題了，一方面企業(yè)需要付出額外的金錢、溝通成本和修復(fù)時(shí)間，另一方面還需要運(yùn)維、發(fā)布、業(yè)務(wù)等大量人員的介入，給企業(yè)帶來的風(fēng)險(xiǎn)和成本壓力是數(shù)十上百倍的。

正因如此，把安全理念貫穿到DevOps 全流程中，糅合開發(fā)、安全及運(yùn)營(yíng)理念以創(chuàng)建解決方案的全新方法，越來越成為業(yè)界共識(shí)這就是DevSecOps，它的基礎(chǔ)思想，即是開發(fā)安全左移（SHIFTLEFT）。

可以這么理解，所謂左移實(shí)際上就是把安全意識(shí)從運(yùn)行階段，前置到容器構(gòu)建和CI/CD階段，從而避免造成運(yùn)行后不可挽回的損失以及高昂的補(bǔ)救成本。

舉個(gè)例子，比如在過去的應(yīng)用開發(fā)過程中，一般是由編程人員寫好代碼放到源代碼庫，然后通過CI工具把代碼打包成鏡像，同時(shí)調(diào)用靜態(tài)掃描工具進(jìn)行安全掃描，確認(rèn)無誤后通過CD工具推向測(cè)試云，最后再交付到生產(chǎn)云進(jìn)行上線。可以看到，這整個(gè)過程依賴的實(shí)際上還是靜態(tài)掃描。但是，如今很多網(wǎng)絡(luò)惡意行為都是動(dòng)態(tài)的，靜態(tài)掃描存在明顯短板。而解決辦法就是，在已有的CI/CD流水線中，增加一個(gè)安全合規(guī)測(cè)試云環(huán)節(jié)也就是說，在完成功能測(cè)試之后，先部署到安全合規(guī)的測(cè)試云中進(jìn)行動(dòng)態(tài)和靜態(tài)的安全合規(guī)測(cè)試，最后再推向生產(chǎn)云運(yùn)行。

尤其是針對(duì)第三方外包廠家提供的應(yīng)用，這樣的思路尤為受用，因?yàn)樵絹碓蕉嗟膹S家都在用容器方式打包應(yīng)用，但這些應(yīng)用的開發(fā)流程對(duì)于企業(yè)來說就是一個(gè)黑盒子，如果還采用傳統(tǒng)的鏡像文件靜態(tài)掃描，那就很難保障容器平臺(tái)安全。

但是，換個(gè)角度再來看這個(gè)問題。我們知道，大多數(shù)企業(yè)選擇使用開源技術(shù)或者容器應(yīng)用，都是為了避免重復(fù)造車，加快敏捷開發(fā)，如果為此令企業(yè)處處擔(dān)心安全漏洞，要求企業(yè)自己能夠配備非常復(fù)雜的安全監(jiān)管機(jī)制，這并不現(xiàn)實(shí)。對(duì)于企業(yè)而言，需要的是開箱即用的安全策略，并且，希望能夠?yàn)閷?shí)際運(yùn)行的容器環(huán)境自定義多因素策略。