许多经验丰富的安全专家都知道,即??使不是大多数,许多正在运行的容器都存在高危或严重漏洞。更令人费解的是,其中许多漏洞已经有了可用的补丁,因此它们可以(但还没有)被修复。但是云不应该更安全吗?坏习惯上云延续本地信息系统迁移到云端,并不意味着原来的工作环境或流程要瞬间变得高效易用,尤其是安全方面。事实上,安全往往是人们最不想解决的问题,因为它往往会减慢或影响业务。以多因素身份验证(MFA)为例。太多人知道??,或者至少听说过,应该实施MFA以安全访问信息系统。根据安全公司Falcon的Sysdig数据,48%的组织没有为根特权帐户启用MFA。此外,27%的组织使用根帐户执行管理任务,这显然违反了所有安全基准建议。身份和访问管理(IAM)是最关键的云安全控制之一,我们应该围绕它开发新的云原生流程。云团队应该创建特定于任务的IAM角色,禁止额外的权限,并对用户进行角色培训。无论如何,启用MFA!不完整的SafeShiftLeft复杂的流程转换需要时间,而且通常是分阶段完成的。数据显示,48%的图像首次漏洞扫描是在CI/CD管道或容器注册表中完成的,即在部署运行之前。这一数据意味着不少企业开始“左移”。但另一方面,这意味着更多的企业(52%)在镜像运行时进行了第一次扫描,这延迟了潜在关键漏洞的发现。部分原因是我们仍然倾向于推迟安全评估以节省时间。另一种可能的解释是工作量的一个子集未包含在“左移”任务中。具体来说,许多不包含组织创建的自定义代码的第三方应用程序都属于此类。例如,Kubernetes组件、Web服务器和负载平衡可能不会在软件测试阶段完成后很长时间内配置。在这两种情况下,“左移”都在发生,但不完全是。最先进的团队正在使用他们的CI/CD管道来测试所有工作负载的安全性,包括主机、集群、容器等基础设施组件。部署清单。风险也应该左移。当我们谈论接受风险时,它通常被认为是最后的手段。”在这一点上我无能为力,所以我要把它记录下来,交给上帝。“然而,越早发现风险源,就越有能力为其制定有效的缓解措施。我们最终可能仍会运行具有严重高危漏洞的容器,但如果我们积极考虑与这些漏洞相关的风险并实施控制措施来缓解它们,安全状况可能不会那么糟糕。当人们越来越关注软件供应链的安全性时,有必要考虑那些第三方组件存在多少运行时漏洞,即使这些第三方组件可能不会被我们的软件使用。在软件交付过程的早期识别易受攻击的依赖项可以节省大量时间并大大降低风险暴露。我们无法修复所有漏洞,但可以通过额外的安全控制来管理许多漏洞。至少,它应该被记录下来以便于审查。评论今天,数十亿个容器在云中运行。这个数字在未来只会增加,攻击面和潜在风险也会增加。事实上,新工具、新环境不仅是创新的机会,也往往成为“技术债”的开端。但是,既然我们已经从过去的教训中认识到了这个问题,为什么我们就不能在开始的时候放慢脚步,早点把安全搞好呢?这是云原生安全的核心推动力。
