雲端原生應用程式結構
雲端原生應用程式具有一種新的、獨特的結構,它會影響攻擊者處理這些應用程式的方式,從而改變威脅格局。 隨著攻擊者改變方法並轉向第六代攻擊,安全從業者和開發人員必須相應地調整他們保護雲端原生應用程式的方式。
他們需要為這些新威脅分配更多的時間和資源,以便最好地為組織預防這些威脅。 資源必須進行策略性分配,但必須先了解在這種新的威脅格局中哪些威脅最有可能出現。
雲端原生應用程式威脅的類型
雲端原生應用程式中的運算服務被設計為短暫的,而且壽命往往很短。 這是使雲端原生應用程式本質上更安全的眾多屬性之一。 攻擊者無法輕鬆地在您的系統中長期存在,因此必須改變策略。 由此產生的一種策略是「土撥鼠日攻擊」 ,其中攻擊者會設計一個較短的攻擊,例如僅竊取一些信用卡號碼,然後重複。 攻擊者利用雲端原生應用程式的自動擴展來利用其短暫性。
另一種方法是上游攻擊,或毒井,攻擊者的目的是在您的應用程式中獲得更長期的持久性。 雲端原生應用程式往往包含許多模組和函式庫。 單一無伺服器函數可能包含來自開發人員工作以外的各種來源的數萬行程式碼。 攻擊者致力於在常見項目中包含惡意程式碼。 然後,在井中毒後,雲端應用程式中的惡意程式碼可以打電話回家,獲取指令並造成嚴重破壞。
如何保護雲端原生應用程式
幸運的是,雲端原生應用程式往往更難受到攻擊。 但作為一種新型架構,它們提出了新的安全挑戰,開發人員必須採取行動降低風險。 以下是保護雲端原生應用程式的一些最佳實踐:
- 在功能層級應用外圍安全性將應用程式碎片化為可調用的較小元件,再加上使用來自不同來源(例如儲存、訊息佇列和資料庫)的基於事件的觸發器,意味著攻擊者有更多的目標和更多的攻擊向量。
除了確保您的Web 應用程式開發介面和應用程式保護 (WAAP)服務先進以滿足下一代需求之外,另一個雲端原生安全最佳實踐是在功能層級應用外圍安全。 請特別注意由不同來源類型觸發的函數。
- 為每個功能設計合適的、最少的角色您必須為雲端原生資源之間的許多互動建立角色。 為每個無伺服器功能分配一組唯一的權限的能力為進一步增強 AppSec 提供了絕佳的機會。
當您在功能粒度上執行IAM時,IAM 就成為一個 AppSec 工具。 花時間為你的每個職能設計合適的、最小的角色。 此外,請確保每個函數都以最小的可行權限集執行,以便任何漏洞造成的損害最小。
- 安全應用程式依賴項功能通常包括從 npm (Node.js) 拉入的依賴項, PyPI (Python)、Maven (Java) 或其他相關儲存庫。 確保應用程式依賴關係的安全性需要存取良好的資料庫和自動化工具,包括本機編排工具,以在開發過程中觸發應用程式安全性。 持續運行這些工具可以防止新的易受攻擊的軟體包被使用,並收到新披露的問題警報。
- 讓安全成為每個人的問題
在開發人員、開發營運和應用程式安全團隊之間建立密切的合作夥伴關係。 在開發人員不擁有安全性的情況下找到平衡點,但他們也不能免除責任-以安全編碼為例。 彭博社的一篇文章引用了OpenStack基金會首席營運長 Mark Collier 的話說:「從單一/瀑布式到敏捷/開發營運的轉變更多地與流程和組織心理有關,而不是與採用哪些技術有關。
這個話題已經被討論了好幾年,而且不會很快消失。 這是企業必須解決的一個大問題,而且需要數年時間才能實現這一目標,因為這是理念的代際轉變。”
對於團隊來說,儘早彌合差距非常重要,即使這感覺違背了公司 DNA 的正常行為,因為雲端原生需要組織在如何管理安全和開發方面採用不同的方法。 這為各部門促進這項變革並產生真正的影響創造了真正的機會。
使用 Check Point 保護雲端原生應用程式
維運人員必須創建管道,使開發人員能夠以無伺服器的速度工作,同時仍以現實且安全的方式部署應用程式。
這些只是有關安全性的眾多問題中的一小部分,在遷移到雲端本機應用程式和微型伺服器時必須考慮這些問題。 每天都有新的工具被設計來幫助優化這一轉變並創造更好的可見性、可觀察性、安全性和威脅防護。 有關如何解決雲端原生安全問題的更多信息,請參閱 Check Point Software 的雲端資安解決方案指南。
反映意見