如何在运行时和构建时保护云计算基础设施

对于云原生环境，企业仅在运行时采取安全措施已经不够了。在当今的云原生世界中，随着基础设施的快速发展，大规模构建云计算环境需要可重复性和弹性，因此需要从一开始就优先考虑快速改变和扩展基础设施的能力。有趣的是，对于许多人来说，云计算安全只是关于运行时发生的错误配置和破坏。如果不关注构建时的流程和代码，就无法识别基础架构问题，这与企业设计和构建现代云计算基础架构的方式不一致。如果您构建不可变的基础架构，您需要开始考虑如何保护您的不可变基础架构，并且孤立地提高运行时安全性是不够的。另一方面，如果只在构建时解决云计算安全风险，而缺乏完整的生产基础设施环境，也可能在云计算环境中留下漏洞。下面将重点介绍通过在构建时和运行云计算基础架构时进行扫描来检测安全问题，概述它们的价值和缺陷，以说明利用这两者的重要性。运行时的云安全状态管理为应对日益复杂的云计算环境，云计算提供商围绕云计算资源的管理提供了丰富的元数据和遥测技术。构建可持续的云安全计划需要对这些数据进行一致且可扩展的收集和分析。由技术社区主导的项目（如AWS的Prowler和GoogleCloud的Forseti）应运而生。这两个项目都率先使用公共API来收集配置数据和检查配置错误，从而能够在部署后检测配置错误。大多数云计算提供商现在都在其控制平面管理服务中包含此类功能。使用AWSProvisioning、AzurePolicies和GoogleAssetInventory等原生工具，比以往任何时候都更容易获得对云的基本可见性。Runtime云安全当然是一种最佳实践，但它有其自身的优点和缺点：(1)ChangeTrackingRuntime扫描遵循配置的实际状态。虽然以多种方式管理配置，但运行时扫描仍然是识别和评估配置随时间变化的主要技术。(2)符合监管要求大多数受监管的行业现在都需要持续的变更控制审计和跟踪。为了满足这些需求，大多数扫描仪将他们的发现映射到行业基准。一旦将控制映射到基线部分，组织就可以使用扫描报告作为大多数行业特定要求和审计的基线证据。(3)接近实时的结果根据扫描频率，运行时扫描可以快速识别和分类正在进行的问题。将扫描仪连接到票务或监控工具可以帮助确保更快的响应和缓解。(4)低信噪比大多数扫描仪仍然严重依赖缺乏场景的确定性检测逻辑，导致一堆不相关的发现，特别是对于资源生命周期短的动态环境。例如，在使用自动缩放的环境中，运行时扫描将在扫描之间返回不一致的结果，并产生不代表最新资源状态的输出。此外，扫描多方面的IAM权限或完整的网络拓扑可能会错误地警告配置更改。(5)不切实际的发现在标记错误配置后，最直接的问题通常是“我们如何修复它？”如果修复单个云配置错误需要更多手动步骤，或者无法恢复配置，那么其升级最终会浪费开发人员宝贵的时间。(6)重复的错误配置对于使用基础设施代码框架来编排云计算资源的团队来说，简单地在运行时修复错误配置存在再次发生的风险。为确保不发生云计算错误配置，必须在源头进行补救。构建时云安全状态管理在构建时扫描云计算基础设施的配置并不是什么新鲜事。识别编码错误已经存在了一段时间，尤其是在应用程序安全方面。然而，随着用于大规模配置云计算资源的基础设施即代码的兴起，这种方法的应用在过去几年中得到了极大的扩展。代码管理的扫描配置使用与运行时扫描器相同的高级策略并搜索相同的资源及其配置状态。通过使用开源工具Checkov等基础设施即代码(IaC)扫描器，配置文件被视为独立的清单，描述如何配置资源和设置属性。通过应用在运行时解决云计算安全性方面的许多经验教训，构建时扫描可用于发现其他有价值的方面和弱点：(1)可操作的发现通过在代码中列出和管理配置，您可以更容易地找到确切的导致错误配置的属性和参数。(2)协同解决通过跨所有代码的检测和响应，每个开发人员可以帮助解决持续存在的问题。通过在同一个工具中统一检测和补救，从一开始就将云安全构建到日常工作流程中变得更加容易。(3)自动响应通过识别和修复机器可读语言的问题，开发自动化功能变得更加容易，可以在零或几乎没有人工干预的情况下查找和修复配置。自动化是大规模构建和维护安全的云计算基础设施的关键。(4)不相关的发现仅在构建时检测到的配置问题可能仅代表更完整的配置环境的一部分。例如，假设一个组织在运行时管理网络组件并在构建时管理计算资源，那么可以很容易地抑制将面向EC2的身份暴露给全球互联网，因为知道强化的VPC或安全组将确保外部人员无法访问它。(5)完全依赖构建时发现而不归因于运行时实际配置状态的缺失场景会导致配置冲突。例如，尝试加密以前未加密的数据库实例可能不会进行更改，因为大多数托管数据库服务不允许事后加密。(6)部分覆盖尽管在增长，基础架构即代码框架无法支持所有公开可用的云计算服务。在围绕它开发错误配置检测策略时，对构建的有限支持也转化为限制。两全其美随着云服务和配置框架比以往任何时候都多，安全挑战需要一种统一的方法来管理整个运营和开发生命周期的云安全。这就是为什么行业专家认为在构建时和运行时扫描云计算基础设施不是一种竞争策略而是一种行之有效的策略。运行时扫描提供了对当前配置状态的近乎实时的准确描述，但添加构建时扫描使团队能够响应和修复错误。【责任编辑：赵宁宁电话：（010）68476606】