云计算在增加部署的流动性和自动化方面带来了巨大的能力。随着云技术的采用,人们开始使用专门为该领域开发应用程序而构建的云原生工具。然而,云原生工具带有一些细微的安全问题,例如错误配置、已知漏洞和泄露的秘密。因此,根据Snyk公司最近发布的一份报告,83%的组织认为安全性对其云原生策略非常重要。
Snyk的云原生应用安全报告调查了数百名IT专业人员对云原生安全的担忧。下面,我们将从报告中找出最重要的要点,找出云原生应用程序安全性最常见的问题领域,并查看部署自动化与更高级别的应用程序安全性之间是否存在关联。
迁移到云原生
团队正在转向云原生技术,用软件驱动的架构和基础设施代码(IaC)来增强DevOps的能力。在这个新的云原生范例中,58%的生产工作负载部署为容器,21%现在是无服务器的,50%在部署过程中使用某种形式的IaC。
由于各种原因,组织正在转向云原生技术。研究发现,首先,集装箱化软件提供了更快的速度——68%的组织为了提高部署速度而转移到集装箱。其次是易于管理(67%)和降低成本(43%)。采用云原生工具也有安全的必要性;36%的受访者认为安全是将生产应用程序转移到容器的主要原因。
顶级云原生安全问题
虽然容器、Kubernetes、serverless和IaC等云原生技术能够实现更快速的发展,但它们也带来了独特的安全问题。报告发现,错误配置和已知的未修补漏洞是云原生环境中最常见的事件类型。事实上,45%的组织经历过由错误配置引起的事件,其次是38%的组织经历过由已知的未修补漏洞引起的事件。
其他常见的云原生安全事件包括机密泄漏、失败的审计和恶意软件。有趣的是,这项研究还发现,内部人员泄露数据的情况在云原生采用程度较高的组织中更为常见。根据这份报告,38%的采用云计算的组织遭遇了内部人员的数据泄露,而在采用云计算较少的组织中,这一数字减少了一半,为17%。像API密钥这样的秘密必须小心管理,尤其是在云原生工具强制使用更多依赖项的情况下。”对这类工件的有效管理是区别于更集中的前云时代的一个关键因素。
自动化安全测试
端到端部署自动化显示了希望,但对于大多数开发团队来说,它仍处于成熟的早期阶段。尽管95%的组织使用某种部署自动化,但只有大约三分之一的组织拥有完全自动化的部署管道。
部署自动化程度提高的组织也倾向于接受更高程度的安全测试。报告发现,高度自动化的管道在其整个开发生命周期中使用安全测试的可能性是原来的两倍。由于事件通常由错误配置和已知漏洞引起,因此自动扫描可以帮助识别许多云原生问题,将生产代码与已知漏洞的数据库进行比较。
那么,什么时候进行安全测试?通常,它发生在CI/CD管道中。超过60%的组织在CI系统中执行安全测试。这与在开发过程的早期测试源代码存储库或本地ide和CLI工具相反。就测试频率而言,执行的范围很广。对于部署自动化程度高的组,70%的组每天或更频繁地测试安全性。自动化安全测试似乎运行良好,72%的全自动化团队在一周内发现并修复关键漏洞。
该报告还揭示了一个有趣的脱节方面的安全测试所有权。只有一小部分安全工程师(不到10%)认为开发人员负责云原生环境和应用程序的安全,而36%的开发人员表示他们负责安全。这些数字可能表明安全责任向左转移到开发端。或者,随着全周期开发变得更加现实,它也可能突显出人们态度的变化。无论如何,团队必须明确角色,以避免一些困难的对话!
云原生安全
随着向云原生策略的转变,安全标准也在不断提高,以应对诸如错误配置之类的新问题。为了应对日益增长的应用程序威胁,提高自动化程度有助于改变安全性,本报告和其他报告清楚地表明了全自动化部署管道和提高安全性测试方案之间的相关性。
由于采用了云原生工具,58%的组织自采用云原生工具以来增加了安全顾虑。其中一部分涉及到在所有基础设施(无论是面向内部还是面向外部)中采用零信任方法。报告显示,58%的组织越来越担心配置错误,52%的组织越来越担心不安全的API,43%的组织越来越担心已知的未修补漏洞,41%的组织担心机密泄漏。希望这些基准能帮助您了解您的组织与其他组织相比的情况。