随着企业成为云原生,无服务器安全威胁迫在眉睫

2019-10-28 14:32:50 云杰通信 101


  由于提高了安全性以及对速度和更高运营效率的需求,企业正在迅速采用无服务器计算。但是,根据企业战略小组(ESG)的一项新研究,随着他们增加对无服务器功能的使用,公司必须了解这如何影响其威胁格局以及如何实施安全措施,例如运行时控制以及API发现和使用检查。研究组织如何保护云原生应用程序。

随着企业成为云原生,无服务器安全威胁迫在眉睫

  应用程序安全公司Data Theorem委托进行了研究,即DevOps的安全性:企业调查报告。在其中,ESG分析了组织中负责评估,购买和管理云安全技术产品和服务的371位IT和网络安全专业人员的反馈。

  就公共云服务而言,这些组织是成熟的云用户。换句话说,就云原生而言,它们不是新手。ESG网络安全高级分析师兼小组实践总监Doug Cahill解释说:“我们想确保我们的参与者精通该主题。”

  被调查者代表了广泛的行业,包括制造业,金融服务,医疗保健,通信和媒体,零售,政府和商业服务。

  研究发现,只有8%的公司通过DevSecOps实践来保护75%或更多的云原生应用程序,通过将安全控制和流程嵌入DevOps中来自动化核心安全任务。这个数字跃升至68%的公司,他们表示计划在两年内通过DevSecOps实践来保护其75%或更多的云原生应用程序。

  它还发现82%的受访者将不同的团队分配给安全的云原生应用程序。在这一组中,有50%的人计划在将来合并这些职责,而32%的受访者组织不打算将这些职责合并。

  安全即代码

  “我们在研究中发现,组织已开始实施DevSecOps流程,但它们尚未涵盖很多应用程序,” Cahill说。“当这个数字在两年内急剧上升时,我看到的是安全作为代码的可重复性。”

  这就是为什么需要发生的原因。首先,有据可查的缺乏熟练的安全专业人员。“而且,云安全技能的严重短缺,”卡希尔说。“然后的挑战是:如果我的公司有多个项目团队,那么安全团队如何跟上项目团队的发展速度?”

  公司没有足够的人来解决这个问题。因此,他们需要使用自动化或通过CI / CD集成自动化安全性。

  Cahill说:“这就是获得可重复性的方式,也是获得规模化,相对于安全性的方式,可以在多个项目中复制和重复这些代码。”

  无服务器安全威胁

  研究的另一个有趣的方面是使用无服务器的公司的兴起。超过一半的受访者(52%)表示其组织的软件开发人员已经在某种程度上使用了无服务器功能,另有44%的受访者评估或计划在未来两年内开始使用无服务器功能。

  近四分之三(73%)的人表示,使用无服务器的第一大原因是安全性得到提高,其次是构建新应用程序时的敏捷性和更快的上市时间(57%)和操作简便性(56%)。

  但是,随着公司开始使用包括无服务器功能的新云原生技术,他们还需要更新对安全威胁以及如何实施正确的安全控制的了解。研究发现,与组织内无服务器使用有关的与API相关的漏洞是最大的威胁问题(占受访者的63%)。

  这种威胁的一个例子是攻击者滥用特权帐户执行无服务器功能。“因此,即使我们正在谈论新事物,” Cahill谈到无服务器时也说,“攻击媒介和方法是应用于新技术的旧方法。因此,我们应该始终在考虑特权帐户的使用方式。我们要确保实现“最小特权模型”,以将帐户访问权限限制为仅执行常规合法活动所需的资源。

  他说,另一个例子很模糊,“基本上是在API调用的末尾添加参数,作为接管API调用的一种方式。”

  为了更好地理解无服务器威胁模型,报告称:“网络安全,开发人员和DevOps团队将通过更好地熟悉不同类型的API漏洞,以在部署前和运行时识别和补救它们,从而为他们提供良好的服务。”