调查:云原生应用转向无服务器架构

新报告探索云原生应用转型及其安全复杂性。

随着公司企业逐渐转向技术即服务,生产工作负载将持续转移至公共云平台,服务器类型也将从虚拟机 (VM) 和实体计算机转变至容器及无服务器平台。不断增加的复杂性无意会增加安全防护的难度。

企业战略集团 (ESG) 针对 371 位美国及加拿大的 IT 和安全专业人士做了问卷调查,于 9 月底发布了《DevOps 安全——企业调查报告》。调查对象均来自公共云服务和容器使用相当成熟的公司企业,且为公司中负责评估、采购和管理云安全产品及服务的人员。

报告指出,现在及将来一段时间内,云原生应用均由部署在混合云上的异构微服务组成。尽管大多数公司企业的服务器类型倾向于虚拟机和实体机,但未来两年内他们的选择将转向容器和无服务器平台。

ESG 高级分析师兼网络安全集团业务主管 Doug Cahill 表示,ESG 在 2017 年时也做过类似的调查研究,但因为为时过早,并没有问无服务器函数相关问题。

今年,研究人员发现,34% 的受访者 “广泛” 使用无服务器函数,18% 有限度使用,16% 计划在未来 1~2 年内开始使用,28% 正在评估是否采用。仅 3% 没有使用无服务器函数的打算。

Cahill 解释道,已经部署云原生应用的公司企业开始大量采用无服务器函数调用。他们也调查了应用容器的使用情况,该项指标在过去几年里也呈持续增长状态。驱动无服务器函数采用增长的因素包括:安全改善 (73%)、可抵御攻击的网络技术 (66%)、包含无服务器函数调用的源代码中植入安全功能 (64%),以及新开发应用上市时间缩短 (57%) 等。

任何事物都有正反两面,无服务器函数也不例外。API 漏洞 (32%) 是考虑无服务器函数时的主要顾虑,其次是“秘密泄露” (26%) 的问题,造成未加密数据传输的 API 调用 (22%) 排第三,提权 (11%) 和未批准 API 的使用 (9%) 紧随其后。

Cahill 虽震惊于使用无服务器架构的企业数量,却对生产环境中服务器类型的多样化毫不意外。他指出,现实环境的异构情况非常突出,35% 的受访者都计划同时采用虚拟机、容器和/或无服务器架构。

问题在于,技术的混杂增大了云安全面临的挑战。研究人员称,云原生应用令混合环境和多云环境更难以防护。

一致性是最大的问题。43% 的受访者担心他们数据中心和部署云原生应用的公共云环境之间该如何保持一致。很多人认为现有安全工具不支持云原生应用,所以公司企业常使用由独立团队管理的多种单点工具。

近 3/4 (73%) 的受访者称其公司使用太多专门工具保护云原生应用。由于公司通常指派不同团队负责各个环境的控制工作,成本和复杂性节节攀升。

我觉得我们会看到云安全单点工具的融合和 API 安全工具的融合。

他预测有可能出现某个 API 安全产品能覆盖多种编程语言和 API。

DevOps安全:思维转变

DevSecOps 作为保护云原生应用安全的主要方式渐渐兴起。超过半数 (55%) 的受访者向 DevOps 中融入了安全,22% 正计划这么做。20% 正在评估可纳入 DevOps 过程的安全用例。

然而,仅 8% 的公司企业当前以 DevSecOps 操作保护的云原生应用占比在 75% 或以上。研究人员预测,随着 DevOps 团队创建可重复、可扩展的 DevOps 集成,以 DevSecOps 保护 3/4 以上云原生应用的公司企业将会在两年内达到 68%。越多应用受到该方法的保护,对自动化的需求会越大。

需重新审视开发背后的人员、过程和技术,方可有效实践该方法。关于人员和过程,产品链涉及的所有成员均需承担安全责任。尽管安全传统上是在开发过程末端上的一道锁,但持续集成/持续交付 (CI/CD) 模式下是很难真正 “锁上” 的。

一直以来,DevOps 和安全的着眼点大不相同。DevOps 在乎速度;安全小心谨慎。DevOps 觉得安全会拖慢进度;安全认为 DevOps 根本就是在上演夹缝求生。

如果能将安全融入 CI/CD 工具,就能够以 DevOps 的速度安全前行。但将安全融入开发的脚步很慢:尽管 52% 的公司企业将安全团队引入云原生应用上线前的保护工作,但很多公司都是被动地在做这件事:或是遭遇过安全事件,或是出于融资需求,或是担心存储在云中的数据。1/3 的公司企业是从开发过程初始阶段就纳入安全。

除了捏合安全团队与产品团队,还有另外一个与人员相关的问题:确保双方,尤其是安全团队,理解对手在用的攻击类型和方法。“易受攻击的应用到底有什么不同?” 一旦安全人员理解了 API 和无服务器函数中的漏洞点,他们就可以更好地配合开发团队做好防护。

《DevOps 安全——企业调查报告》地址:

https://www.datatheorem.com/resources/reports/esg-security-for-devops/

上一篇:实体渗透测试六个最佳实践

下一篇:Microsoft阻止针对数十个目标的凭据盗窃攻击