为什么自动化是在云原生时代保持应用程序安全的关键。据研究公司麦肯锡公司称,企业现在已经到了需要调整业务运营的关键点。使用基于微服务、容器和Kubernetes的多云环境和云原生架构是数字化转型的核心。虽然这些方法无疑有助于DevOps团队推动数字敏捷性和更快的上市时间,但它们也带来了新的应用程序安全挑战并带来了严重的风险。云平台是企业构建基于DevOps的数字化转型计划的基础层。云计算环境提高了成本效率和IT灵活性,使企业能够快速响应不断变化的市场需求。随着各行业对更快创新的需求不断增长,企业正在加大对云原生架构的投资。研究公司Gartner预测,到2022年,全球四分之三的企业将在生产中运行容器化应用程序,高于2020年的不到30%。容器和微服务通过将应用程序功能分解为更易于管理的部分来帮助团队更快地创新快速构建、测试和部署。云原生架构还为企业提供了在平台之间移动工作负载的灵活性,以确保他们的环境始终适合他们的需求。然而,这个更具活力的云原生时代也带来了新的挑战。DevOps团队可能没有所需的工具或资源来管理额外的复杂层并在代码中的漏洞暴露之前识别它们。鉴于开源库的广泛使用,这是一个特殊的挑战。这些库消除了DevOps团队从头开始编写每一行代码的需要,从而有助于加快上市时间。然而,它们也包含无数需要不断识别和清理的漏洞。在变化是唯一不变的动态云原生环境中,这并不容易实现。传统工具会产生盲点研究机构的研究发现了其他问题。例如,在调查中,89%的首席信息安全官(CISO)承认微服务、容器、Kubernetes和多云环境造成了传统应用程序安全解决方案看不到的盲点。这些遗留工具是为不同的时代设计的,其特点是静态基础设施和单体应用程序。在这些环境中,每月扫描一次足以在大多数漏洞被利用之前识别它们。今天,容器的寿命以小时和天来衡量。这些工具根本跟不上这种变化的步伐。他们通常也无法查看容器化应用程序的内部结构并发现其代码中的缺陷。因此,即使是一些有据可查的漏洞,例如导致2017年Equifax漏洞的ApacheStruts库缺陷,也可以逃避检测数月甚至数年。与此同时,85%的首席信息安全官(CISO)表示,他们希望DevOps和应用程序团队对漏洞管理承担更直接的责任。没有什么不妥。事实上,许多人认为DevSecOps和安全“左移”是降低风险的最佳且最具成本效益的方法。然而,现有的工具和流程让这些团队失望,因为他们没有时间进行手动扫描,通常缺乏承担安全责任所需的技能,并且无法足够快地检测到关键漏洞。一些DevOps团队甚至完全绕过安全控制,而其他团队则拒绝与安全团队合作,因为担心采取这些步骤会延缓上市时间。结果,越来越多的漏洞进入了生产环境。调查中有71%的首席信息安全官(CISO)表示,他们并不完全相信自己的代码在投入生产之前没有漏洞。传统方法不再有效该调查强调了传统安全方法和手动评估在动态云原生环境中不再有效的结论。当容器在几秒钟内运行时,实时洞察力至关重要,并且微服务之间的依赖关系随着它们跨越云平台之间的边界而不断变化。传统的漏洞扫描器仅提供静态的时间点视图,通常无法区分潜在暴露和实际暴露之间的区别。这可能导致应用程序安全和DevOps团队每个月收到数以千计的漏洞警报,其中许多是误报。毫不奇怪,四分之三(74%)的首席信息安全官(CISO)发现此类漏洞扫描工具无效。这些遗留工具不仅无法跟上容器化环境中快速变化的步伐,而且它们还因为只关注软件交付生命周期的一个阶段而减缓了向DevSecOps的过渡。场景的缺乏使得团队很难找到并应用正确的补丁,一旦部署了代码,安全团队就无法足够快地找到漏洞以将风险降至最低。将大量误报和警报与传统工具提供的场景的缺乏相结合,会浪费时间并增加应用程序安全风险。自动化是未来为了克服这些挑战并减轻团队成员的负担,组织需要能够自动识别应用程序中的漏洞。如果他们可以在运行时自动测试而无需配置或DevOps团队的任何额外工作,这是可能的。通过将漏洞数据与对运行时环境的了解(例如相关代码是否暴露在互联网上)相结合,DevSecOps团队拥有了实时了解问题的原因、性质和影响所需的所有场景。这样做,团队可以有效地降低风险并以业务速度加速创新。事实上,超过四分之三(77%)的首席信息安全官(CISO)表示,要让安全跟上现代云原生应用程序环境的步伐,唯一方法就是用这种更加自动化的方法取代手动部署、配置和管理.这不仅对于保护企业免受当今云原生世界所面临的威胁至关重要,而且还使他们能够在大流行后世界推动以创新为主导的增长。
