調(diào)查:云原生應(yīng)用轉(zhuǎn)向無服務(wù)器架構(gòu)
責編:gltian |2019-10-10 14:12:13新報告探索云原生應(yīng)用轉(zhuǎn)型及其安全復(fù)雜性。
隨著公司企業(yè)逐漸轉(zhuǎn)向技術(shù)即服務(wù),生產(chǎn)工作負載將持續(xù)轉(zhuǎn)移至公共云平臺,服務(wù)器類型也將從虛擬機 (VM) 和實體計算機轉(zhuǎn)變至容器及無服務(wù)器平臺。不斷增加的復(fù)雜性無意會增加安全防護的難度。
企業(yè)戰(zhàn)略集團 (ESG) 針對 371 位美國及加拿大的 IT 和安全專業(yè)人士做了問卷調(diào)查,于 9 月底發(fā)布了《DevOps 安全——企業(yè)調(diào)查報告》。調(diào)查對象均來自公共云服務(wù)和容器使用相當成熟的公司企業(yè),且為公司中負責評估、采購和管理云安全產(chǎn)品及服務(wù)的人員。
報告指出,現(xiàn)在及將來一段時間內(nèi),云原生應(yīng)用均由部署在混合云上的異構(gòu)微服務(wù)組成。盡管大多數(shù)公司企業(yè)的服務(wù)器類型傾向于虛擬機和實體機,但未來兩年內(nèi)他們的選擇將轉(zhuǎn)向容器和無服務(wù)器平臺。
ESG 高級分析師兼網(wǎng)絡(luò)安全集團業(yè)務(wù)主管 Doug Cahill 表示,ESG 在 2017 年時也做過類似的調(diào)查研究,但因為為時過早,并沒有問無服務(wù)器函數(shù)相關(guān)問題。
今年,研究人員發(fā)現(xiàn),34% 的受訪者 “廣泛” 使用無服務(wù)器函數(shù),18% 有限度使用,16% 計劃在未來 1~2 年內(nèi)開始使用,28% 正在評估是否采用。僅 3% 沒有使用無服務(wù)器函數(shù)的打算。
Cahill 解釋道,已經(jīng)部署云原生應(yīng)用的公司企業(yè)開始大量采用無服務(wù)器函數(shù)調(diào)用。他們也調(diào)查了應(yīng)用容器的使用情況,該項指標在過去幾年里也呈持續(xù)增長狀態(tài)。驅(qū)動無服務(wù)器函數(shù)采用增長的因素包括:安全改善 (73%)、可抵御攻擊的網(wǎng)絡(luò)技術(shù) (66%)、包含無服務(wù)器函數(shù)調(diào)用的源代碼中植入安全功能 (64%),以及新開發(fā)應(yīng)用上市時間縮短 (57%) 等。
任何事物都有正反兩面,無服務(wù)器函數(shù)也不例外。API 漏洞 (32%) 是考慮無服務(wù)器函數(shù)時的主要顧慮,其次是“秘密泄露” (26%) 的問題,造成未加密數(shù)據(jù)傳輸?shù)?API 調(diào)用 (22%) 排第三,提權(quán) (11%) 和未批準 API 的使用 (9%) 緊隨其后。
Cahill 雖震驚于使用無服務(wù)器架構(gòu)的企業(yè)數(shù)量,卻對生產(chǎn)環(huán)境中服務(wù)器類型的多樣化毫不意外。他指出,現(xiàn)實環(huán)境的異構(gòu)情況非常突出,35% 的受訪者都計劃同時采用虛擬機、容器和/或無服務(wù)器架構(gòu)。
問題在于,技術(shù)的混雜增大了云安全面臨的挑戰(zhàn)。研究人員稱,云原生應(yīng)用令混合環(huán)境和多云環(huán)境更難以防護。
一致性是最大的問題。43% 的受訪者擔心他們數(shù)據(jù)中心和部署云原生應(yīng)用的公共云環(huán)境之間該如何保持一致。很多人認為現(xiàn)有安全工具不支持云原生應(yīng)用,所以公司企業(yè)常使用由獨立團隊管理的多種單點工具。
近 3/4 (73%) 的受訪者稱其公司使用太多專門工具保護云原生應(yīng)用。由于公司通常指派不同團隊負責各個環(huán)境的控制工作,成本和復(fù)雜性節(jié)節(jié)攀升。
我覺得我們會看到云安全單點工具的融合和 API 安全工具的融合。
他預(yù)測有可能出現(xiàn)某個 API 安全產(chǎn)品能覆蓋多種編程語言和 API。
DevOps安全:思維轉(zhuǎn)變
DevSecOps 作為保護云原生應(yīng)用安全的主要方式漸漸興起。超過半數(shù) (55%) 的受訪者向 DevOps 中融入了安全,22% 正計劃這么做。20% 正在評估可納入 DevOps 過程的安全用例。
然而,僅 8% 的公司企業(yè)當前以 DevSecOps 操作保護的云原生應(yīng)用占比在 75% 或以上。研究人員預(yù)測,隨著 DevOps 團隊創(chuàng)建可重復(fù)、可擴展的 DevOps 集成,以 DevSecOps 保護 3/4 以上云原生應(yīng)用的公司企業(yè)將會在兩年內(nèi)達到 68%。越多應(yīng)用受到該方法的保護,對自動化的需求會越大。
需重新審視開發(fā)背后的人員、過程和技術(shù),方可有效實踐該方法。關(guān)于人員和過程,產(chǎn)品鏈涉及的所有成員均需承擔安全責任。盡管安全傳統(tǒng)上是在開發(fā)過程末端上的一道鎖,但持續(xù)集成/持續(xù)交付 (CI/CD) 模式下是很難真正 “鎖上” 的。
一直以來,DevOps 和安全的著眼點大不相同。DevOps 在乎速度;安全小心謹慎。DevOps 覺得安全會拖慢進度;安全認為 DevOps 根本就是在上演夾縫求生。
如果能將安全融入 CI/CD 工具,就能夠以 DevOps 的速度安全前行。但將安全融入開發(fā)的腳步很慢:盡管 52% 的公司企業(yè)將安全團隊引入云原生應(yīng)用上線前的保護工作,但很多公司都是被動地在做這件事:或是遭遇過安全事件,或是出于融資需求,或是擔心存儲在云中的數(shù)據(jù)。1/3 的公司企業(yè)是從開發(fā)過程初始階段就納入安全。
除了捏合安全團隊與產(chǎn)品團隊,還有另外一個與人員相關(guān)的問題:確保雙方,尤其是安全團隊,理解對手在用的攻擊類型和方法。“易受攻擊的應(yīng)用到底有什么不同?” 一旦安全人員理解了 API 和無服務(wù)器函數(shù)中的漏洞點,他們就可以更好地配合開發(fā)團隊做好防護。
《DevOps 安全——企業(yè)調(diào)查報告》地址:
https://www.datatheorem.com/resources/reports/esg-security-for-devops/
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧