在运行时与构建时怎样保护云计算基础设施

对于云原生环境来说，企业只在运行时采用安全措施已经不够。

在当今的云原生世界中，随着基础设施的飞速发展，大规模构建云计算环境需要可再现性和弹性，因此需要从一开始就优先考虑快速更改和扩展基础设施的能力。令人感兴趣的是，对于许多人来说，云计算安全性只与在运行时发生的错误配置和违规行为有关。

如果在构建时不关注流程和代码，就无法确定基础设施问题，这与企业设计和构建现代云计算基础设施的方式不符。如果构建不可变的基础设施，则需要开始考虑如何保护不可变的基础设施，而只是孤立地提高运行时的安全性是不够的。另一方面，如果只在构建时解决云计算安全风险，但缺乏生产基础设施的完整环境的话，也可能在云计算环境中留下漏洞。

以下将重点关注通过在构建时和运行云计算基础设施时扫描来检测安全问题，概述它们的价值和缺陷，以说明同时利用这方面的重要性。

运行时的云安全状态管理

为了应对云计算环境变得越来越复杂的局面，云计算提供商围绕云计算资源的管理提供了丰富的元数据和遥测技术。建立可持续的云安全计划需要对这些数据进行一致且可扩展的收集和分析。

技术社区主导的项目(如AWS公司的Prowler和谷歌云的Forseti)应运而生。这两个项目都率先使用了公开的API来收集配置数据并检查配置错误，实现了对部署后配置错误的检测。

现在，大多数云计算提供商都在其控制平台管理服务中包含了此类功能。使用AWS配置、Azure策略和Google资产清单等原生工具，获得云计算的基本可见性比以往任何时候都容易。

运行时的云安全性当然是最佳实践，但它也有其自身的优点和缺陷：

(1)变更追踪

运行时扫描遵循配置的实际状态。当以多种方法管理配置时，运行时扫描仍然是识别和评估随时间变化的配置的主要技术。

(2)符合法规要求

大多数受监管的行业现在需要持续的变更控制审计和跟踪。为了满足这些需求，大多数扫描程序都将它们的发现映射到行业基准。一旦控制被映射到基准部分，企业就可以使用扫描报告作为基准证据来满足大多数行业特定的需求和审核。

(3)接近实时结果

根据扫描频率，运行时扫描可以快速识别和分类正在进行的问题。将扫描程序连接到票证或监视工具可以帮助确保更快的响应和缓解。

(4)低信噪比

大多数扫描程序仍然严重依赖缺乏场景的确定性检测逻辑，从而导致一堆无关紧要的发现，尤其是对于资源寿命较短的动态环境。例如，在使用自动缩放的环境中，运行时扫描将在两次扫描之间返回不一致的结果，并产生不代表最新资源状态的输出。此外，扫描多方面的身份识别与访问管理(IAM)权限或完整的网络拓扑可能会错误地警告配置更改。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!