云配置安全实践现状
云服务的使用在2022年呈指数级增长。网络安全中心的云配置安全实践调查发现,截至2021年11月,金融服务、医疗保健和通信等行业的企业平均在云中部署了29个应用程序,预计在未来12个月内将增长至接近144个应用程序,增幅达395%。
调查数据还显示,平均51%的安全团队每周只能执行三个应用程序审查。考虑到云中应用程序数量的预期增长,这是一个巨大的问题。这不仅是重大的安全风险,也意味着如果企业无法快速迁移应用程序,将无法获得云的全部业务效益。
云交付是自助服务,但安全不是
在网络安全中心云配置安全实践调查的受访者中,平均68%表示其组织的基础设施服务(即计算、存储或数据库)使用基础设施即代码(IaC)或类似的软件定义工具进行配置。
IaC是通过代码而非手动方式管理和配置数据中心的过程。这与云运营相关,因为它允许自动配置云基础设施服务,组织因此可以将流程编码化,使其既自动化又可重复。
Concourse Labs董事长兼联合创始人Don Duet解释说:“安全即代码是将安全要求和逻辑封装到软件中,IaC实际上是相同的事情,只是它更多关注执行某些业务功能所需的云服务。”
通过IaC配置云服务既节省时间又节省金钱。它最大限度地减少了人为错误,并减少了黄金镜像的重复使用。此外,所做的每个更改都有文档记录,这意味着配置更改具有完全的可追溯性。
Duet指出,IaC已经存在多年,现在已深深嵌入大多数公司的软件开发方法中。
云以代码形式交付,但安全不是
很明显,组织习惯于通过代码交付云服务,然而在云安全服务的交付中尚未看到这种情况。
“大多数人使用IaC的事实很好。这种做法现在似乎已经根深蒂固,这太棒了,“Duet说。“如今,预防性地提供安全将为这些公司管理风险创造更好的方式。”
在使用IaC开发云应用程序时,安全工具显然很重要,但云配置安全实践调查显示,安全工具的使用方式和时间存在混合方法。
虽然大多数服务确实通过IaC交付,但IaC的安全性和合规性并未得到广泛验证。
总共74%的受访者表示,他们的流水线没有在其云应用程序组合中广泛使用IaC安全工具。
在所有应用程序类型中广泛使用IaC安全工具的仅占受访者的26%。虽然IaC安全工具要么以酌情/有限的方式使用(33%),要么对高风险应用程序是强制性的(31%),但这些安全工具尚未广泛使用(见图1)。总体而言,使用IaC的组织数量很多,但与IaC相关的安全工具的使用方式仍然有限。
云服务配置错误是云数据泄露的主要原因。Duet评论说,组织必须在IaC漏洞在编排中无数次复制并部署到生产环境之前发现并修复它们。Paychex副总裁兼CISO Bradley J. Schaufenbuel在谈到IaC安全工具的重要性时表示,这家人力资源和薪资解决方案公司最近对IaC安全工具进行了广泛评估,但公司尚未购买。IaC安全工具可识别IaC脚本中的漏洞,例如嵌入式明文密码和密钥。
Schaufenbuel解释说:“如果IaC没有得到适当保护,攻击者可以利用IaC平台在其受害者的技术环境中横向移动,并未经授权访问连接的系统和数据存储库。”
Duet认为,通过安全即代码,组织可以实现与通过IaC开发云本身相同水平的自助服务,以治理和保护云。
组织未能足够快速地响应
很明显,在任何云应用程序领域之外的环境中都需要快速响应安全问题。云配置安全实践调查发现,许多检测和修复任务花费的时间对于可以在几秒钟内发生变化的云环境来说太长了。
Duet指出,组织已经习惯于接受坏事将会发生——意味着违规和事件将会发生,因此他们将大部分精力放在运行时检测和响应上——试图限制暴露于潜在风险的时间。
调查发现,超过70%的组织需要超过一周的时间来检测和修复单个云服务风险。
考虑到大多数组织同时管理数百或数千个开放的云安全工单,这显然不可扩展。结果显示,70%的受访者表示需要超过24小时来检测云服务内的违规行为;72%表示需要超过24小时来识别导致违规的应用程序;75%表示需要超过24小时将问题分配给开发人员进行修复;80%表示需要超过24小时来纠正违规行为;最后,72%表示需要超过24小时来验证修复(见图2)。
一个普遍存在的问题——不仅在IaC和云应用程序方面,而且是一个行业范围的问题——是安全团队资源紧张、资源不足,并且经常处理大量安全问题。
大量的安全工单积压已成为新常态;它们被接受是因为安全团队看不到替代方案,Duet指出。
此外,因为传统的网络安全不是以代码形式交付的,它没有前面提到的与IaC相关的生产力和风险降低 benefits。因此,它无法跟上云自助服务交付的步伐。
左移云安全势在必行
运行时检测和响应对于保护云环境是必须的,但云技术如此广泛且发展太快,组织不能仅仅追求被动的网络安全策略。
正如我们的调查结果所证明的那样,安全工单的数量继续堆积。云配置安全实践调查发现,平均62%的受访者同时管理数百个或更多特定于云配置错误的工单,近三分之一管理数千至数万个工单(见图3)。
“公共云带来了新的挑战,需要安全领导者调整其策略。纯粹被动的云安全姿态已经不够了。组织必须左移,在云配置错误被不良行为者利用之前预防它们,“Duet说。
风险水平很高,在使用公共云基础设施时,组织必须对其阻止可能暴露关键数据或使关键服务离线的云泄露的能力 extremely confident。
“对公共云安全的纯粹被动姿态已经不够了。” Don Duet Concourse Labs董事长兼联合创始人
调查还显示,79%的受访者表示,他们对其运行时安全工具足以保护其云数据和工作负载安全的信心不足 extremely confident(见图4)。
运行时工具能够发现和检测在生产环境中 actively 暴露组织于事件和泄露的风险。然而,在运行时,这是一场在不良行为者利用之前发现和修复威胁的竞赛。如今,仅凭运行时工具,我们正落后于威胁行为者。此外,运行时工具的假阴性和假阳性可能导致警报疲劳,这对组织快速响应的能力构成了巨大挑战。
“因此,谨慎的做法是用帮助您首先发现和消除漏洞的工具来补充运行时安全工具,这样就没有什么可以通过运行时安全工具来利用。预防是IaC安全工具通常关注的地方,“Schaufenbuel说。
那些使用IaC安全工具的组织以不同的方式这样做。IaC安全工具的使用方式均等分为:仅对IaC违规和暴露发出警报,基于预先建立的安全策略护栏,允许有风险的代码进入生产环境(29%);由于基础设施即代码违规和暴露,基于预先建立的安全策略门(修复是手动执行的)阻止代码发布到生产环境(30%);最后,基于预先建立的安全策略护栏和门自动修复基础设施即代码违规和暴露(29%)。
安全自动化对云创新至关重要
自动化流程是在网络安全和云计算领域之外的多种商业实践中保持效率的关键。然而,调查受访者在IaC安全审查方面的自动化水平参差不齐。
这也是跟上云环境变化速度的关键。
超过70%的组织表示需要超过一周的时间来发现和修复单个云安全风险,自动化成为安全团队跟上云应用程序交付步伐的必要工具。
云配置安全实践调查显示,接受某种类型安全审查的云应用程序发布的平均百分比为68。虽然这是一个积极的信号,但仍有大量云应用程序发布未经过其IaC的安全审查,这可能导致进一步的安全暴露。
总共发现38%的基础设施即代码安全审查由安全从业者完全手动执行。
“在敏捷、DevOps驱动的组织中,有数百个IaC端点,并且代码几乎不断更改。更改的速度对于手动安全审查来说实在太快,无法有效,“Schaufenbuel评论道。
在受访者中,80%的组织表示需要超过24小时来手动审查单个云应用程序的基础设施即代码,其中47%需要超过一周(见图5)。
自动化测试比手动处理呈指数级更快,Schaufenbuel指出,它也往往更准确,因为手动安全审查中的人为错误可能导致漏洞被遗漏。
47%的受访者表示,手动审查应用程序的基础设施即代码需要超过一周时间。
阻止部署错误配置的云服务的最大挑战是什么
“用于审查和纠正服务的知识和工作人员。” 调查受访者
阻止部署错误配置的云服务对于确保组织的网络安全保持完好无损至关重要。手动部署、缺乏技能和人力减少都被调查受访者强调为挑战。
打破瓶颈
安全审查仍然是安全地将云应用程序迁移到公共云的瓶颈。二分之一的调查受访者表示,平均而言,他们的安全团队每周最多可以执行三个云应用程序安全审查。
如引言中所述,调查受访者表示,在未来12个月内,他们(平均)将在云中部署144个应用程序。基于关于安全审查的调查结果,51%的安全团队需要48周来审查其云应用程序。
这仅适用于初始应用程序审查,并未考虑可能每月轻松发生的持续更新。
“任何你要用人做的事情都是不切实际的,“Duet指出。“很难找到既懂安全、懂法规、懂业务又懂云应用程序的人。在大多数公司中,没有人知道所有这些。
“其次,知识变化如此之快。安全形势在变化,云使用在变化,云服务本身也在变化。纯粹用人来完成几乎是不可能的。构建框架或拥有安全即代码类型程序的整个方面允许将这些类型的专业知识封装到软件中。维护软件仍然是一个人的过程,但它给了你规模,使得实际支持它变得合理,“Duet指出。
Schaufenbuel补充说,员工(在安全团队内或开发团队内)缺乏云安全专业知识是当今云安全面临的最大挑战之一。
调查受访者反复证实了这一说法,他们说阻止部署错误配置的云服务的一个问题是缺乏了解如何正确开发云服务的可用资源。
此外,许多调查受访者表示,他们不完全相信云安全要求正在被正确和一致地实施。很明显,随着预期的云应用程序呈指数级增长,许多安全团队将根本无法跟上步伐。
云的信心问题
在网络安全领域,对策略和控制措施得到正确实施的高度信心至关重要,30%的受访者表示,他们非常有信心云应用程序开发人员正在正确和一致地实施安全要求,22%表示他们 extremely confident(见图6)。
尽管如此,48%的受访者承认信心不足,20%表示他们只有中等信心,22%表示只有有些信心。6%完全没有信心。
组织的安全要求与云应用程序开发人员实际正确和一致实施的要求之间仍然存在明显差距。这可能意味着一些安全要求正在被正确实施,但不一致,或者它们可能正在被实施,但并不总是正确。
云配置安全实践的结论性影响
我们的调查结果表明,云采用正在大量进行,许多组织计划在不久的将来增加云中的应用程序数量。然而,仍然存在大量的安全差距和挑战。许多组织以有限的能力使用IaC安全工具,但使用范围远非理想,使组织对构成高事件或泄露风险的安全威胁视而不见。
虽然存在零散的工具,但确保云配置错误不会使组织面临增加的风险仍然存在许多障碍。
云配置安全实践调查的受访者指出,他们在阻止部署错误配置的云服务方面的问题包括数据量、成本、缺乏知识、缺乏自动化以及所需的大量安全检查。一位受访者甚至表示,管理层"轻率"对待这些问题是一个"大错误”。显然,组织需要以与其配置公共云服务一致的方式实施云安全——以代码形式。
预计未来12个月内将出现云应用程序的雪崩,安全即代码对于企业获取公共云的全部 benefits 至关重要。为了让创新继续呈上升轨迹,云安全必须跟上云开发和交付的步伐。
否则,企业将不得不要么限制云创新,要么盲目接受将应用程序移动到公共云的风险。这两者对业务都不利。
通过安全即代码,公司能够实现与公共云的开发和使用相同水平的自助服务,以治理和保护公共云。