云计算在提高部署的流动性和自动化方面带来了巨大的能力。随着云技术的采用,人们开始使用专门为开发该领域的应用程序而构建的云原生工具。然而,云原生工具伴随着微妙的安全问题,例如错误配置、已知漏洞和泄露的秘密。因此,根据SnykCorporation最近的一份报告,83%的组织认为安全性对其云原生战略非常重要。Snyk的云原生应用程序安全报告就云原生安全问题对数百名IT专业人员进行了调查。下面,我们将从报告中提取最重要的内容,确定云原生应用程序安全性最常见的问题领域,并查看部署自动化与更高级别的应用程序安全性之间是否存在关联。迁移到云原生团队正在转向云原生技术,以通过软件驱动的架构和基础架构即代码(IaC)增强DevOps功能。在这种新的云原生范例中,58%的生产工作负载部署为容器,21%现在是无服务器的,50%在部署期间使用某种形式的IaC。出于各种原因,组织正在转向云原生技术。首先,容器化软件提供了更快的速度——研究发现,68%的组织转向容器以提高部署速度。其次是易于管理(67%)和降低成本(43%)。采用云原生工具也需要安全保障;36%的受访者将安全性作为将生产应用程序迁移到容器的主要原因。主要的云原生安全问题虽然容器、Kubernetes、无服务器和IaC等云原生技术能够加快开发速度,但它们也带来了独特的安全问题。该报告发现,错误配置和已知的未修补漏洞是云原生环境中最常见的事件类型。事实上,45%的组织经历过由错误配置引起的事件,其次是38%的组织经历过由已知的未修补漏洞引起的事件。其他常见的云原生安全事件包括机密泄露、审核失败和恶意软件。有趣的是,该研究还发现,内部数据泄露在云原生采用率较高的组织中更为常见。根据该报告,38%的云采用组织经历了内部人员的数据泄露,而在云采用率较低的组织中,这一数字减半至17%。必须谨慎管理像API密钥这样的秘密,尤其是当云原生工具强制使用更多依赖项时。“对此类工件的有效管理是与更集中的前云时代的关键区别。自动化安全测试端到端部署自动化显示出希望,但对于大多数开发团队而言,它仍处于成熟的早期阶段。虽然95%的组织使用某种部署自动化,但只有大约三分之一的组织拥有完全自动化的部署管道。部署自动化程度更高的组织也倾向于接受更高程度的安全测试。该报告发现,高度自动化的管道在其整个开发生命周期中使用安全测试的可能性是其他管道的两倍。由于事件通常是由错误配置和已知漏洞引起的,因此自动扫描可以帮助识别许多云原生问题,将生产代码与已知漏洞数据库进行比较。那么,什么时候进行安全测试?通常,它发生在CI/CD管道中。超过60%的组织在CI系统中执行安全测试。这与在开发过程的早期测试源代码存储库或本机IDE和CLI工具形成对比。就测试频率而言,执行范围很广。对于部署自动化程度较高的团队,70%的团队每天或更频繁地测试安全性。自动化安全测试似乎运行良好,72%的全自动团队在一周内发现并修复了关键漏洞。该报告还揭示了安全测试所有权方面的有趣脱节。只有一小部分安全工程师(不到10%)认为开发人员对云原生环境和应用程序的安全负责,而36%的开发人员表示他们对安全负责。这些数字可能表明安全责任向开发方左移。或者,随着全周期开发变得更加现实,它也可能突出态度的变化。无论如何,团队必须明确角色以避免一些困难的对话!云原生安全随着向云原生策略的转变,安全标准也在不断改进,以应对配置错误等新问题。增加的自动化可以帮助转变安全性以应对不断增长的应用程序威胁,并且这份报告和其他报告清楚地证明了完全自动化的部署管道和改进的安全测试方案之间的相关性。由于采用云原生工具,58%的组织在采用云原生工具后增加了安全担忧。其中一部分涉及在所有基础设施(无论是内部还是外部)中采用零信任方法。根据该报告,58%的组织越来越担心配置错误,52%越来越担心不安全的API,43%越来越担心已知的未修补漏洞,41%担心泄露机密。希望这些基准可以帮助您了解您的组织与其他组织相比如何。Snyk的云原生应用程序安全状态报告就云原生采用和安全实践询问了600名开发、安全和运营专家。
