安全左移是什么,如何为网络安全建设及运营带来更多可能性

长久以来,网络安全技术产品和市场需求都聚焦于在“右侧”防护,即在各种系统、业务已经投入使用的网络环境外围或边界,检测进出的流量、行为等是不是存在风险,并对其进行管控或调整。

然而事实上,安全风险不仅是“跑”起来之后才会产生,在业务流程的设计中、某个应用服务的编码中、内部数据的交换中等等早期阶段就可能出现缺陷,如果仅仅在后期查缺补漏围追堵截,成本、效率和效果都不够理想。

鉴于网络安全的木桶效应,“左侧”的安全短板逐渐引起安全行业和企业用户的共同关注,安全左移的思想迅速形成业界共识——人们需要将安全能力注入到业务流程的上游,并尽可能覆盖全生命周期,以便更早地发现并解决潜藏的风险点。这并不是一个新鲜名词,代码审计、软件测试包括近年来非常流行的DevSecOps体系,都是安全左移方向下的技术落地方案。

安全左移是一个相对的概念,我们认为,较之于传统的右侧防护,将安全能力前置的策略和措施都包含着安全左移的思想,考虑到网络安全体系的庞杂,需要保护的对象众多,其实远不止软件开发领域,针对安全左移的应用场景拥有非常广阔的空间。

软件开发及供应链使用场景

当然,要体会安全左移的价值首先离不开谈论DevSecOps。互联网云化与企业竞争压力改变了业务交付模式,敏捷开发DevOps日益活跃,DevSecOps也应运而生,它通过一套包含人文、流程、技术的框架和方法,强调在快速迭代中赋予整个IT团队(包括开发、测试、运维和安全所有角色)安全的能力。

近几年,SolarWinds供应链攻击、Log4j漏洞等事件的蝴蝶效应将软件供应链安全缺陷的问题暴露无遗。在国内,自2020年起,大量的甲方企业开始建设DevSecOps敏捷安全体系,其最明显的价值便是帮助企业在软件开发生命周期进行安全赋能,并且可以评估软件供应链的风险。有安全专家预判,DevSecOps未来或将由场景型技术转变为普适性技术。

除了安全文化的宣贯渗透和安全流程的制定应用,聚焦到具体技术能力上,DevOps的不同阶段需要进行相匹配的安全动作,比较核心的包括代码级检测分析能力(代码审计/SAST)、开源治理能力(SCA)、应用安全检测能力(IAST/DAST/Fuzzing)、运行时应用程序自保护能力(RASP)以及开发安全一体化管理平台。

云原生应用保护场景

更进一步,随着研发环境和部署环境整体向云端迁移,云原生的普及让研发体系和业务部署环境的差异慢慢减少,有效推动着安全左移在云原生环境中的落地。对于安全厂商来说,可以将更多精力投入到安全产品的研发中,对于企业IT团队来说,省去了很多配置操作让使用门槛大幅降低而适配性更优。

在云原生应用程序开发生产和运营的过程中,由于大量新的架构、组件、服务的使用,对安全能力提出的要求是比较复杂的,包括云资产的普查及风险感知、威胁响应、漏洞管理修复、容器安全、云工作负载安全、API安全、Web安全等等。

如今,集成整套安全性和合规性功能的云原生应用保护平台愈发受到市场重视,其整合了多种云原生安全工具和技术,如容器扫描、云安全态势管理(CSPM)、基础设施即代码扫描、云基础设施授权管理(CIEM)和运行时云工作负载保护平台(CWPP)。它可以保护从系统代码到业务开展的整个应用程序开发生命周期安全,提高对云工作负载的可见性,增强对云环境中安全性和合规性风险的控制。

容器安全能够很好集成到云原生复杂多变的环境中,如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案,德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。核心架构理念在于:

在开发阶段(Dev),遵循“安全左移”原则,做到上线即安全

在运行阶段(Ops),遵循“持续监控&响应”原则,做到完全自适应

主要从安全左移和运行时安全两个阶段,在云原生的全生命周期过程中,提供原生的、融合的安全能力。

一、资产清点

可以清晰地盘点工作负载本身的相关信息,此外,还能够实现不同工作负载之间的关系可视化,帮助运维和安全人员梳理业务及其复杂的关系,弥补安全与业务的鸿沟。

1.细粒度梳理关键资产

2.业务应用自动识别

3.资产实时上报

4.与风险和入侵全面关联

二、镜像扫描

镜像检查能力已经覆盖到开发、测试等多个环节中,可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。

1.覆盖容器全生命周期

2.全方位检测

3.镜像合规检查

4.X86、ARM 架构镜像全栈适配

三、微隔离

微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习,提供自适应、自迁移、自维护的网络隔离策略,帮助用户快速、安全地落地容器微隔离能力。

1.业务视角展示网络拓扑关系

2.云原生场景的隔离策略

3.适配多种网络架构

4.告警模式业务0影响

四、入侵检测

通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意行为、异常事件,监测到入侵事件后,对失陷容器快速安全响应,把损失降到最低。

1.威胁建模适配容器环境

2.持续地监控和分析

3.威胁告警快速响应处置

4.提供多种异常处理方式

五、合规基线

构建基于CIS Benchmark的最佳安全操作实践检查,帮助企业实施和完善容器合规规范,可实现一键自动化检测,并提供可视化基线检查结果和代码级修复建议。

1.CIS标准

2.一键自动化检测

3.基线定制开发

4.代码级修复建议


数据风险评估及治理场景

市场上比较成熟的数据安全产品基本围绕着传统的数据库安全建设而来,如数据的审计、脱敏、加密等,再结合数据防泄漏DLP、用户行为分析UEBA等新一代技术,实现数据流经内外网边界的安全控制,这是比较典型的右侧防护。

随着数据资产量级、价值、流转频率的激增,安全防护逐渐从以网络和系统为中心转变到以数据为中心。着眼于数据本身,从数据的生产或采集之初,跟踪监测数据处理、使用、变形的全过程,是数据安全左移的切入口。这种趋势带来的变化是,数据安全产品不再是一个个异构孤立的单点产品,而是面向数据全生命周期构建的安全管理与防护体系,以数据识别和分类分级为基础,自动地评估动态的风险趋势,自适应地做出响应动作,让数据长期处于安全使用的状态。


资源访问控制场景

不管是合法登录、无意误操作还是恶意攻击,访问请求是网络中最频繁的操作,涉及到人员身份,终端设备,应用、接口、数据等资源。访问控制策略通过一系列技术和手段,防止对任何资源进行未授权的访问,从而使系统在合法的范围内被使用。传统访问控制模型中,访问主体通过角色属性获取相应权限,随着静态封闭的网络环境逐步向开放式发展,访问主体身份不固定、设备不固定、网络环境不局限于内网,频繁进行登录、计算、传输和退出操作,对于访问控制模型提出了更高要求。

零信任网络访问(ZTNA)的提出颠覆了传统的基于网络边界建立的信任模型,默认即使身处内网的人员也不可信,基于先验证再访问的原则,对每一次访问请求都综合用户的身份、行为、状态进行安全评估和认证,以解决所有角色对所有资源的可信访问。如此一来,安全能力不仅是左移,而是无处不移,形成了一个动态的逻辑边界,持续评估提供对最小资源范围内的最可控访问,无法通过信任链认证的流量、数据包等都无法进入系统,内部的资产也得到很好的收敛,天然对非授权用户隐身。

零信任并不局限单一场景,作为一个相当普适的理念,其在网络安全、身份安全、应用安全、数据安全等等层面都有其用武之地,因此在市场中,零信任的落地存在不同的技术路径。


通过前文不难发现,安全左移快速发展的场景都面临着网络环境云化、业务数字化、资产爆棚等特征,边界模糊甚至不复存在,导致安全盲点太多,因此才迫切需要在所有的系统、所有的业务流程中嵌入安全的能力。

这也引入了安全左移落地的最大挑战——发展与安全的平衡,在技术之外需要依靠人文和制度将安全意识进行长期渗透;同时安全团队需要解决安全能力如何无缝柔和地嵌入业务,不阻碍业务本身追求效率的目标;以及整体框架下各个安全能力单元的耦合联动,达到按需收放自如,在多云、云地混合、移动、物联网等新兴环境中完成构建和适配。

总而言之,安全左移只是一种概念,本身并无限制,除了以上我们展开讨论的几个比较突出的场景,比如采用攻击面管理提升资产可见性、运用机密计算保护使用中的数据等等新兴技术的运用,都可窥见安全左移的身影。最终,安全不是为了左移而左移,安全应该移动到任何需要它的地方,成为业务发展战略中本应存在的一部分
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/302629.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Jackson 各种注解使用示例

参考资料 Jackson使い方メモ 目录 一. JsonIgnore二. JsonIgnoreProperties三. JsonProperty3.1 作用于entity属性上,指定json对象属性名3.2 作用于entity方法上,指定json对象属性名 四. JsonFormat4.1 日期格式化4.2 数字格式化4.3 枚举类返回code 五.…

记录一次hss不能防护主机的问题

场景:hss的控制台显示不在防护中,其他云主机并没有这个情况。 故障发生的时间是昨天下午15点半左右,运维同事做了重启网卡的操作。service network restart 排查分析: 于是仔细的查看日志,发现报错如下&#xff1a…

MySQL-用户与权限管理:用户管理、权限管理、角色管理

用户与权限管理 用户与权限管理1.用户管理1.1 登录MySQL服务器1.2 创建用户1.3 修改用户1.4 删除用户1.5 设置当前用户密码1.6 修改其它用户密码 2. 权限管理2.1 权限列表2.2 授予权限的原则2.3 授予权限2.4 查看权限2.5 收回权限 访问控制连接核实阶段请求核实阶段 3. 角色管理…

iOS App Store审核要求与Flutter应用的兼容性分析

本文探讨了使用Flutter开发的iOS应用能否上架,以及上架的具体流程。苹果提供了App Store作为正式上架渠道,同时也有TestFlight供开发者进行内测。合规并通过审核后,Flutter应用可以顺利上架。但上架过程可能存在一些挑战,因此可能…

扫描IP开放端口该脚本用于对特定目标主机进行常见端口扫描(加载端口字典)或者指定端口扫描,判断目标主机开

扫描IP开放端口该脚本用于对特定目标主机进行常见端口扫描(加载端口字典)或者指定端口扫描,判断目标主机开 #/bin/bash #该脚本用于对特定目标主机进行常见端口扫描(加载端口字典)或者指定端口扫描,判断目标主机开放来哪些端口 #用telnet方式 IP$1 #IP119.254.3.28 #获得IP的前…

基于遗传优化的SVD水印嵌入提取算法matlab仿真

目录 1.程序功能描述 2.测试软件版本以及运行结果展示 3.核心程序 4.本算法原理 5.完整程序 1.程序功能描述 基于遗传优化的的SVD水印嵌入提取算法。对比遗传优化前后SVD水印提取性能,并分析不同干扰情况下水印提取效果。 2.测试软件版本以及运行结果展示 MA…

Set及其实现类与常用方法

1.Set及其常用实现类 Set接口是java.util.Collection接口的子接口.用来存储一个一个的数据.后面学习到的Map接口则用来存储key-value键值对. Set : 存储无序的,不可重复的数据|----->HashSet : 主要实现类 : 底层使用的是HashMap,即使用数组单向链表红黑树来存储。|-----&…

[C语言]——柔性数组

目录 一.柔性数组的特点 二.柔性数组的使用 三.柔性数组的优势 C99中,结构体中的最后⼀个元素允许是未知大小的数组,这就叫做『柔性数组』成员。 typedef struct st_type //typedef可以不写 { int i;int a[0];//柔性数组成员 }type_a; 有些编译器会…

机器学习模型——K—Means算法

目录 无监督学习概念: 有监督学习与无监督学习: 无监督学习 - 聚类分析 : 聚类算法应用场景: 常用聚类算法介绍: 对不同的聚类算法应用选择原则: 基于原型聚类: K-Means聚类算法概念及步…

访问网站时你的电脑都做了什么

电脑在访问百度时 首先在本地hosts文件里面查看本地有无域名对应的IP地址,若有就直接返回。若无,则本地DNS服务器当DNS的客户,向其它根域服务器发送报文查询IP地址,简单来说就是帮助主机查找IP,所以递归查询就在客户端…

秋招复习笔记——八股文部分:操作系统

笔试得刷算法题,那面试就离不开八股文,所以特地对着小林coding的图解八股文系列记一下笔记。 这一篇笔记是图解系统的内容。 硬件结构 CPU执行程序 计算机基本结构为 5 个部分,分别是运算器、控制器、存储器、输入设备、输出设备&#xf…

Go 实战|使用 Wails 构建轻量级的桌面应用:仿微信登录界面 Demo

概述 本文探讨 Wails 框架的使用,从搭建环境到开发,再到最终的构建打包,本项目源码 GitHub 地址:https://github.com/mazeyqian/go-run-wechat-demo 前言 Wails 是一个跨平台桌面应用开发框架,他允许开发者利用 Go …

5.网络编程-socker(golang版)

目录 一、什么是socket? 二、Golang中使用TCP TCP服务端 TCP客户端​​​​​​​ 三、TCP黏包,拆包 1.什么是粘包,拆包? 2.为什么UDP没有粘包,拆包? 3.粘包拆包发生场景 4.TCP黏包 黏包服务端 …

抖音变现项目有哪些?来这几个资源网站看看吧

做短视频就像是在做一道菜,你得有那么几个秘密武器,才能让你的作品从众多视频中脱颖而出。我这个视频剪辑界的“烹饪大师”,今天就来给大家分享一下我的厨房秘籍——那些让我视频大放异彩的素材网站。九才素材网: 说起九才素材网…

javaScript中原型链

一、原型链 js 的对象分为普通对象和函数对象。每个对象都有__proto__ 但是只有函数对象 (非箭头函数) 才有 prototype 属性。 new的过程: 1、创建一个空的简单 javaScript对象 2、将空对象的 __proto__连接到该函数的 prototype 3、将函数的this指向新创建的对象…

物联网网关

TopLink 是图扑物联专为针对工业物联网边缘侧应用场景打造的一款部署在本地近场环境、以高性能计算机为载体、与云端协同的一体化计算服务产品。具备工业协议解析、数据采集和转发、本地监控、本地场景联动等核心功能,具有跨平台、易使用等特点。 TopLink还默认适配…

小白水平理解面试经典题目1431. Kids With the Greatest Number of Candies【Array类】

个人专栏 🤺 leetcode 🧗 Leetcode Prime 🏇 Golang20天教程 🚴‍♂️ Java问题收集园地 🌴 成长感悟 欢迎大家观看,不执着于追求顶峰,只享受探索过程 1431. 拥有最多糖果的孩子 小白渣翻译 一…

qt样式表及qss文件的使用

三种设置样式表的方法: 1.使用ui文件,选中具体右键样式表输入即可 2.使用纯代码 mywidget::mywidget(QWidget *parent) : QWidget(parent) {this->setGeometry(100,100,500,500);this->setObjectName("mywidget");this->setStyleSh…

TypeScript系列之-理解TypeScript类型系统画图讲解

TypeScript的输入输出 如果我们把 Typescript 编译器看成一个黑盒的话。其输入则是使用 TypeScript 语法书写的文本或者文本集合。 输出是编译之后的 JS 文件 和 .d.ts 的声明文件 其中 JS 是将来需要运行的文件(里面是没有ts语法,有一个类型擦除的操作)&#xff0…

Python爬虫之分布式爬虫

分布式爬虫 1.详情介绍 分布式爬虫是指将一个爬虫任务分解成多个子任务,在多个机器上同时执行,从而加快数据的抓取速度和提高系统的可靠性和容错性的技术。 传统的爬虫是在单台机器上运行,一次只能处理一个URL,而分布式爬虫通过将…