正如許多 CISO 所發現的那樣,保護雲原生環境需要從根本上轉變思維方式來阻止威脅。技術棧的巨大變化、軟件更新的快速交付以及開源的自由使用,都提出了舊式安全工具無法解決的新挑戰。
與其使用不同的點解決方案,只解決特定的安全問題,需要手動拼接,Gartner 建議採用統一的端到端完整生命週期解決方案,從開發開始並擴展以提供全面的運行時保護。換句話說,雲原生應用程序保護平台 (CNAPP)。
問題是,並非所有 CNAPP 都是“真正的交易”,這解釋了為什麼許多組織會發現自己正在努力應對越來越多的漏洞流一方面來自他們的 CI/CD 管道。與此同時,他們的 SecOps 團隊正被生產環境產生的警報和配置問題所困擾。
要了解真正構成完整的端到端雲原生安全平台的要素,讓我們首先從更廣泛的企業安全角度來看一下云原生的含義。
掌握雲原生安全性——基礎知識
雲原生已經使當今現代應用程序的構建方式發生巨大轉變。一個已經看到組織採用新的敏捷方法並越來越依賴開源代碼的人。他們還利用每個應用程序具有多個端口的微服務,這被證明是網絡犯罪分子的首要目標。但這還不是全部。
他們還使用 Kubernetes 等工具來自動化部署、擴展和管理越來越多的基於容器的應用程序。問題是傳統的基於網絡的安全工具在設計時從未考慮過雲原生流量,並且在這些新的動態編排環境中功能有限。在分佈式微服務環境中進行快速高效的端點監控和事件響應時,它們也被證明是無效的。
正如 IT 和信息安全領導者所發現的那樣,雲原生改變了遊戲規則涉及管理企業的整體風險敞口。除了深入了解所有開源組件以確保在將應用程序發佈到生產環境之前識別安全漏洞外,他們現在還需要確保安全控制遵循工作負載,無論這些工作負載在哪裡運行,以確保在任何地方都受到保護。
不幸的是,依賴主要雲計算超大規模提供商提供的安全產品並不是解決問題的辦法,因為這些服務不會在每個企業環境中提供單一的管理平台視圖。對於尋求採用多雲戰略的組織而言,這尤其具有挑戰性。
我們需要一種端到端的安全解決方案,使企業能夠安全地構建、交付和運行其云原生應用程序並在每個環境中啟用全面的運行時保護。而這正是 CNAPP 發揮作用的地方。
隨時隨地保護一切
並非所有 CNAPP 解決方案都是真正的解決方案提供當今企業所需的統一端到端保護。例如,掃描容器漏洞但忽略與雲原生相關的其他安全方面的解決方案不是 CNAPP。
在確定 CNAPP 應具備的基本屬性時,CISO 和 IT 領導者應該尋找能夠:
分析、跟踪、監控和控制所有類型的雲原生工作負載(容器、無服務器功能和虛擬機)的解決方案。使用完整的雲原生基礎架構堆棧:Kubernetes、基礎架構-即代碼 (IaC) 工具、雲提供商等。支持多雲和混合雲安全性,無需為每個環境重新配置控製或策略:一次安全,隨處運行,工作量最小。提供完整的生命週期安全性:如果解決方案無法在構建階段掃描代碼並保持從構建到部署的完整性,它不是真正的 CNAPP 解決方案。
力爭金牌——一流 CNAPP 解決方案與其他解決方案的區別
要轉變雲原生安全態勢,組織需要部署企業級雲原生安全解決方案專門用於阻止從開發到生產的雲原生攻擊,同時保護底層基礎設施。
一流的解決方案將具有跨多個雲安全類別的統一功能。從左移工件掃描、CSPM 和 Kubernetes 安全態勢管理,到運行時雲工作負載保護,應有盡有。
最強大和最全面的 CNAPP 還具有集成的供應鏈安全解決方案,可防止暴露於潛在的軟件安全風險可以通過第三方包和工具引入。
最後,最好的解決方案還將提供漂移預防功能等功能,以確保運行時工作負載的不變性,以及主動工作負載監控,使其成為無需停機或重啟即可阻止任何可疑的容器活動。所有這些使組織能夠檢測並阻止攻擊,無論應用程序部署在何處——本地、公共雲或混合環境。
圖片來源: allepu/Shutterstock
Rani Osnat 是 Aqua 安全。