長久以來,網絡安全技術産品和市場需求都聚焦于在“右側”防護,即在各種系統、業務已經投入使用的網絡環境外圍或邊界,檢測進出的流量、行為等是不是存在風險,并對其進行管控或調整。
然而事實上,安全風險不僅是“跑”起來之後才會産生,在業務流程的設計中、某個應用服務的編碼中、内部資料的交換中等等早期階段就可能出現缺陷,如果僅僅在後期查缺補漏圍追堵截,成本、效率和效果都不夠理想。
鑒于網絡安全的木桶效應,“左側”的安全短闆逐漸引起安全行業和企業使用者的共同關注,安全左移的思想迅速形成業界共識——人們需要将安全能力注入到業務流程的上遊,并盡可能覆寫全生命周期,以便更早地發現并解決潛藏的風險點。這并不是一個新鮮名詞,代碼審計、軟體測試包括近年來非常流行的DevSecOps體系,都是安全左移方向下的技術落地方案。
安全左移是一個相對的概念,我們認為,較之于傳統的右側防護,将安全能力前置的政策和措施都包含着安全左移的思想,考慮到網絡安全體系的龐雜,需要保護的對象衆多,其實遠不止軟體開發領域,針對安全左移的應用場景擁有非常廣闊的空間。
軟體開發及供應鍊使用場景
當然,要體會安全左移的價值首先離不開談論DevSecOps。網際網路雲化與企業競争壓力改變了業務傳遞模式,靈活開發DevOps日益活躍,DevSecOps也應運而生,它通過一套包含人文、流程、技術的架構和方法,強調在快速疊代中賦予整個IT團隊(包括開發、測試、運維和安全所有角色)安全的能力。
近幾年,SolarWinds供應鍊攻擊、Log4j漏洞等事件的蝴蝶效應将軟體供應鍊安全缺陷的問題暴露無遺。在國内,自2020年起,大量的甲方企業開始建設DevSecOps靈活安全體系,其最明顯的價值便是幫助企業在軟體開發生命周期進行安全賦能,并且可以評估軟體供應鍊的風險。有安全專家預判,DevSecOps未來或将由場景型技術轉變為普适性技術。
除了安全文化的宣貫滲透和安全流程的制定應用,聚焦到具體技術能力上,DevOps的不同階段需要進行相比對的安全動作,比較核心的包括代碼級檢測分析能力(代碼審計/SAST)、開源治理能力(SCA)、應用安全檢測能力(IAST/DAST/Fuzzing)、運作時應用程式自保護能力(RASP)以及開發安全一體化管理平台。具體實踐可以參考Gartner的DevSecOps工具鍊和懸鏡安全的DevSecOps靈活安全工具金字塔(目前已疊代至2.0版本)。
雲原生應用保護場景
更進一步,随着研發環境和部署環境整體向雲端遷移,雲原生的普及讓研發體系和業務部署環境的差異慢慢減少,有效推動着安全左移在雲原生環境中的落地。對于安全廠商來說,可以将更多精力投入到安全産品的研發中,對于企業IT團隊來說,省去了很多配置操作讓使用門檻大幅降低而适配性更優。
在雲原生應用程式開發生産和營運的過程中,由于大量新的架構、元件、服務的使用,對安全能力提出的要求是比較複雜的,包括雲資産的普查及風險感覺、威脅響應、漏洞管理修複、容器安全、雲工作負載安全、API安全、Web安全等等。
如今,內建整套安全性和合規性功能的雲原生應用保護平台愈發受到市場重視,其整合了多種雲原生安全工具和技術,如容器掃描、雲安全态勢管理(CSPM)、基礎設施即代碼掃描、雲基礎設施授權管理(CIEM)和運作時雲工作負載保護平台(CWPP)。它可以保護從系統代碼到業務開展的整個應用程式開發生命周期安全,提高對雲工作負載的可見性,增強對雲環境中安全性和合規性風險的控制。
資料風險評估及治理場景
市場上比較成熟的資料安全産品基本圍繞着傳統的資料庫安全建設而來,如資料的審計、脫敏、加密等,再結合資料防洩漏DLP、使用者行為分析UEBA等新一代技術,實作資料流經内外網邊界的安全控制,這是比較典型的右側防護。
随着資料資産量級、價值、流轉頻率的激增,安全防護逐漸從以網絡和系統為中心轉變到以資料為中心。着眼于資料本身,從資料的生産或采集之初,跟蹤監測資料處理、使用、變形的全過程,是資料安全左移的切入口。這種趨勢帶來的變化是,資料安全産品不再是一個個異構孤立的單點産品,而是面向資料全生命周期建構的安全管理與防護體系,以資料識别和分類分級為基礎,自動地評估動态的風險趨勢,自适應地做出響應動作,讓資料長期處于安全使用的狀态。
資料安全平台(DSP)、資料安全治理(DSG)、資料營運安全(DataSecOps)、資料隐私管理(DPM)等是目前比較有代表性的技術及産品,通過分析各類名詞的提出、闡述及實踐應用,其比較共通且核心的能力側重在對敏感資料的自動發現及大資料分析,對各場景業務與資料流轉進行全面梳理,注重平台與各安全能力單元的智能關聯。能夠滿足合規檢驗、風險評估、常态化治理的需求,市場潛力不可限量。
資源通路控制場景
不管是合法登入、無意誤操作還是惡意攻擊,通路請求是網絡中最頻繁的操作,涉及到人員身份,終端裝置,應用、接口、資料等資源。通路控制政策通過一系列技術和手段,防止對任何資源進行未授權的通路,進而使系統在合法的範圍内被使用。傳統通路控制模型中,通路主體通過角色屬性擷取相應權限,随着靜态封閉的網絡環境逐漸向開放式發展,通路主體身份不固定、裝置不固定、網絡環境不局限于内網,頻繁進行登入、計算、傳輸和退出操作,對于通路控制模型提出了更高要求。
零信任網絡通路(ZTNA)的提出颠覆了傳統的基于網絡邊界建立的信任模型,預設即使身處内網的人員也不可信,基于先驗證再通路的原則,對每一次通路請求都綜合使用者的身份、行為、狀态進行安全評估和認證,以解決所有角色對所有資源的可信通路。如此一來,安全能力不僅是左移,而是無處不移,形成了一個動态的邏輯邊界,持續評估提供對最小資源範圍内的最可控通路,無法通過信任鍊認證的流量、資料包等都無法進入系統,内部的資産也得到很好的收斂,天然對非授權使用者隐身。
零信任并不局限單一場景,作為一個相當普适的理念,其在網絡安全、身份安全、應用安全、資料安全等等層面都有其用武之地,是以在市場中,零信任的落地存在不同的技術路徑。
通過前文不難發現,安全左移快速發展的場景都面臨着網絡環境雲化、業務數字化、資産爆棚等特征,邊界模糊甚至不複存在,導緻安全盲點太多,是以才迫切需要在所有的系統、所有的業務流程中嵌入安全的能力。
這也引入了安全左移落地的最大挑戰——發展與安全的平衡,在技術之外需要依靠人文和制度将安全意識進行長期滲透;同時安全團隊需要解決安全能力如何無縫柔和地嵌入業務,不阻礙業務本身追求效率的目标;以及整體架構下各個安全能力單元的耦合關聯,達到按需收放自如,在多雲、雲地混合、移動、物聯網等新興環境中完成建構和适配。
總而言之,安全左移隻是一種概念,本身并無限制,除了以上我們展開讨論的幾個比較突出的場景,比如采用攻擊面管理提升資産可見性、運用機密計算保護使用中的資料等等新興技術的運用,都可窺見安全左移的身影。最終,安全不是為了左移而左移,安全應該移動到任何需要它的地方,成為業務發展戰略中本應存在的一部分。
#軟體開發##網絡安全#