在过去的一年中,人们看到越来越多的企业加快数字化转型,这反映了他们可能实施多年的技术路线图正在加速交付。调研机构麦肯锡公司表示,企业如今已经到了一个需要调整业务运营的临界点。使用基于微服务、容器和Kubernetes的多云环境和云原生架构是数字化转型的核心。虽然这些方法无疑有助于DevOps团队推动数字敏捷性和更快的上市时间,但它们也带来了新的应用程序安全挑战,并将面临严重的风险。

云平台是企业构建基于DevOps的数字化转型计划的基础层,云计算环境提高了成本效率和IT灵活性,并使企业能够快速响应不断变化的市场需求。随着各个行业对更快创新的需求不断增长,企业正在加大对云原生架构的投资。调研机构Gartner公司预测,到2022年,全球四分之三的企业将在生产中运行容器化应用程序,而在2020年这一比例不到30%。

容器和微服务将应用程序功能分解为更易于管理的部分,可以快速构建、测试和部署,这有助于团队加速创新。云原生架构还为企业提供了在不同平台之间移动工作负载的灵活性,以确保他们的环境始终适合他们的需求。然而,这个更具活力的云原生时代伴随着新的挑战。DevOps团队可能没有所需的工具或资源来管理额外的复杂层,并在代码中的漏洞暴露之前识别它们。

鉴于开源库的广泛使用,这是一个特殊的挑战。这些库无需DevOps团队从头开始编写每一行代码,从而有助于加快上市时间。然而,它们也包含无数需要不断识别和清除的漏洞。这在动态的云原生环境中并不容易实现,而在这种环境中,只有变化是唯一不变的。

传统工具会造成盲点

调研机构的研究发现了其他问题。例如在调查中,89%的首席信息安全官(CISO)承认微服务、容器、Kubernetes和多云环境已经造成盲点,因为他们的传统应用程序安全解决方案无法看到这些盲点。这些传统工具是为不同的时代而设计的,其特点是静态基础设施和单体应用程序。在这些环境中,每月一次的扫描就足以在大多数漏洞被利用之前识别它们。如今,容器的寿命却以小时和天为单位。这些工具根本无法跟上这种变化的步伐。他们通常也看不到容器化应用程序的内部,也无法发现其代码中的缺陷。因此,即使一些有据可查的漏洞,例如导致2017年Equifax漏洞的ApacheStruts库缺陷,也可能逃避检测数月甚至数年的时间。

与此同时,85%的首席信息安全官(CISO)表示,希望DevOps和应用程序团队对漏洞管理承担更直接的责任。这并没有错。事实上,许多人认为DevSecOps和安全性“左移”是降低风险的最佳和最具成本效益的方法。然而,现有的工具和流程让这些团队失望,因为并没有时间进行人工扫描,通常缺乏承担安全责任所需的技能,并且没有足够快地检测关键漏洞的能力。一些DevOps团队甚至完全绕过安全控制,而另一些团队则拒绝与安全团队合作,因为担心采取这些步骤会减缓上市时间。

因此,越来越多的漏洞正在进入生产环境。在调查中,令人震惊的71%的首席信息安全官(CISO)表示,在投入生产之前,他们并不完全相信代码中没有漏洞。

传统方法不再适用

此次调查强调了传统安全方法和人工评估在动态云原生环境中不再适用的结论。当容器在几秒钟内运行时,实时洞察至关重要,并且微服务之间的依赖关系在跨越云平台之间的边界时不断变化。传统漏洞扫描器只提供静态时间点视图,通常无法区分潜在风险和实际暴露之间的区别。这可能会导致应用程序安全和DevOps团队每个月都会收到数以千计的漏洞警报,而其中许多是误报。

毫不奇怪,四分之三(74%)的首席信息安全官(CISO)认为此类漏洞扫描工具无效。这些传统工具不仅无法跟上容器化环境中快速变化的步伐,而且还因为只关注软件交付生命周期的一个阶段而减缓了向DevSecOps的过渡。由于缺乏场景,团队很难找到和应用正确的补丁,并且一旦部署代码,安全团队就无法足够快地找到漏洞以将风险降至最低。将大量误报和警报与传统工具提供的场景缺乏结合起来,将会浪费大量时间,并增加应用程序安全风险的秘诀。

自动化是未来发展趋势

为了克服这些挑战并消除团队成员的负担,企业需要能够自动识别应用程序中的漏洞。如果他们能够在运行时自动化测试,而无需配置或DevOps团队的任何额外工作,那么这是可能的。

通过将漏洞数据与运行时环境的知识(例如相关代码是否暴露在互联网上)相结合,DevSecOps团队可以获得他们需要的所有场景,以实时了解问题的原因、性质和影响。这样做,团队可以有效地降低风险并以业务发展的速度加速创新。事实上,超过四分之三(77%)的首席信息安全官(CISO)表示,安全性跟上现代云原生应用程序环境的唯一方法是用这种更加自动化的方法取代人工部署、配置和管理。这不仅对于保护企业免受当今云原生世界面临的威胁至关重要,而且还使他们能够在后疫情时代推动以创新为主导的增长。