随着越来越多的数据迁移到云端以及越来越多的组织采用云计算,我们越来越需要相应地响应改进网络安全策略。正在考虑的一项改进策略是安全即代码(SaC),这是Google一直在积极推动的。许多组织一直支持这种相对较新但很有前途的网络安全方法。2022年初,GoogleCloud副总裁兼首席信息安全官PhilVenable确定了推动云采用的大趋势以及增强安全性的需求。其中一个趋势是软件定义基础架构的兴起,这使得有必要将安全配置编码为可在应用程序开发和部署期间引入的代码。这意味着组织可以分析其安全配置并在必要时实施更改,更快地重新部署应用程序,同时持续监控其安全配置以确保它们符合组织的安全策略。安全即代码的兴起安全即代码作为资源工具集合于2020年推出,以帮助确保软件开发生命周期的安全。从那以后,它获得了一些吸引力。由于它能够生成具有持续可验证控制的可分析安全配置,它现在正慢慢被采纳为现代安全态势的一部分。SaC将安全性集成为DevOps的关键部分,通过确定开发过程中需要的位置来建立有效的安全控制。它通过要求开发人员在代码中指定基础设施平台和配置,而不是在代码完成后才处理它们来确保安全检查和测试的经济高效实施,这避免了代码和基础设施的延迟和不必要的工作。变化。正如谷歌副总裁PhilVenables所说,安全即代码的优势在于提供与组织确定满足独特安全要求所必需的安全配置相对应的安全配置。虽然许多安全漏洞的发生是由于意外和未知的风险,但其他安全漏洞是由于组织未能部署特定的安全控制措施造成的。如果他们仔细分析他们的需求并不断测试他们的安全态势的有效性,他们就可以部署这些安全控制。SaC与基础架构即代码战略相关联,该战略源于从手动流程转向更有效地保护软件定义网络和系统(尤其是虚拟机、容器及其相关软件)的需求。安全专家认为,随着组织继续转向云原生基础架构,他们将更加需要安全即代码。以基于边界的系统为主导的遗留系统被认为是不可持续的,并且在应对困扰软件定义的云网络的快速发展的威胁方面效率较低。因此,安全即代码也被称为未来应用程序安全的燃料。如何实现安全即代码并不难实现。一个基本的方法是在CI/CD管道和提交一段代码时需要自动测试的代码中设置安全规则、工具、策略、测试、扫描和代理。因此,开发者可以在必要时对安全测试结果进行评估和修正。SaC的主要目标是在开发团队编写代码的同时持续执行安全测试,以确保在代码准备期间解决问题并优化性能,而不是在代码完成之后。如果做得好,组织可以节省更多的时间、精力和资源。有些人错误地将SAC等同于DevSecOps,但这只是其中的一部分——在DevOps中集成安全性迈出了相当大的一步。它不是DevSecOps,但它涉及许多与DevSecOps框架保持一致的组件。这些组件分别是访问控制和策略管理、漏洞扫描和安全测试。访问控制和策略管理——SaC实施中关键的第一步是定义访问控制和策略管理。组织需要开发正式的治理决策和政策合规系统,为安全需求提供明确的参考。有了这个,开发团队可以专注于关键功能,因为他们可以将授权卸载到外部库(符合既定的安全策略)。这在不影响安全性的情况下加快了开发过程,建立了安全策略的中央存储库和开发人员可以监控和验证授权的通用平台。漏洞扫描——这是关于在应用程序的整个生命周期中验证应用程序的每个组件及其部署的安全性。用于识别漏洞的威胁情报不必由组织自己开发。它可以基于OWASP漏洞和其他威胁情报源或网络安全框架。然而,漏洞扫描必须是一个自动化和持续的过程才能持续和有效。例如,检测跨站点脚本和SQL注入可能是复杂、重复和乏味的。但SaC实施需要自动化和连续性。安全测试——最后,SaC需要有一个安全测试组件来检测可能导致应用程序的完整性、可用性以及它包含或处理的数据的隐私或机密性的问题。需要明确的是,安全测试对于漏洞测试并不是多余的。安全验证不仅仅是检测和堵塞可能被威胁行为者利用的安全漏洞。它还解决了错误配置、不安全数据、泄露公司机密的可能性、应用程序错误和不可接受的停机时间。重大变化和优势安全即代码并非旨在取代组织用于保护其IT资产的网络安全系统。它专注于提供更深入的信息以保护应用程序安全。一是能够快速、全面地适应安全需求的变化。随着对整个开发生命周期中安全性的日益重视,开发人员获得了更高的安全可见性,并通过确保及时、自动化的安全修复来降低与应用程序补丁和网络攻击破坏相关的成本。此外,SaC还开发了一个框架,以促进安全、开发和运营团队之间更好的协作。这与许多网络安全专家倡导的“左移”目标是一致的。最终,这些将导致更短的发布周期、更低的成本和无缝的运营,这不仅有利于组织,也有利于客户。更快的产品发布、安全补丁和其他应用程序更新以及更好的整体安全性创造了更好的客户体验。拥抱SaC也不是一个复杂的过程。希望避免处理太多技术细节以进行反复试验以实现最佳配置的组织可以求助于第三方安全即代码解决方案。领先的安全公司提供面向SAC或面向SAC的解决方案,这些解决方案与现有的开发人员工具无缝协作,以解决编码错误、配置问题、安全漏洞和泄露的秘密。这些解决方案全面扫描安全问题,实现强大的策略实施,执行实时验证,并呈现操作测试结果。结论同样,安全即代码并不能替代现有的综合安全态势管理系统。它强调需要更加重视应用程序开发过程中的安全性,以便在应用程序和整个企业IT的安全性中创造更多价值。虽然有些人可能认为这是额外的安全负担,但它带来的优势和好处肯定超过采用新的网络安全范式所带来的挑战。原标题:SecurityasCode:CreatingaNewCyber??securityParadigmAmidGrowingCloudUse,作者:EvanMorris
