前言
随着企业继续迁移到云原生架构,对公有云量身定制的高级漏洞管理(VM)解决方案的需求也越来越大。云原生工作负载(包括微服务、容器和无服务器等)固有的复杂性使传统的VM方法变得效率低下。
本博客概述了云原生VM解决方案的战略必要性、云原生环境所特有的挑战,以及启动和扩展强有力的VM策略的实用指南。
为什么需要云原生漏洞管理
向云原生架构的持续转变迫使我们不断改进我们的虚拟机部署实践。传统的单一应用不再主导技术栈,分布式微服务和动态、可扩展的环境成为新的标准。这一变化带来了新的风险和威胁,需要复杂的、持续的和对安全上下文有能力进行关联分析的安全流程和工具。
以下是云原生系统的关键驱动因素:
-
动态和抽象工作负载: 云原生组件通常在几分钟内就启动和关闭,其瞬态特性要求从定期扫描转向实时监视和缓解。
-
扩展的攻击面: 微服务和API的指数级增长极大地扩展了潜在的攻击面,需要更多的细粒度和持续的脆弱性评估。
-
CI / CD 加速: CI /CD管道中部署速度的加快要求同样快速和自动化的安全流程,确保漏洞在到达生产系统之前得到解决。
-
云安全的责任分担:云供应商和客户共同承担云环境中的安全责任,这就要求组织首先精确地确定其职责,然后执行全面的安全策略,以增强产品安全性。
应对云的安全挑战
如前所述,云中的攻击面呈指数级扩大。让我们深入了解几个高度脆弱的云原生组件的具体情况。
-
容器漏洞: 容器共享软件组件,如果没有适当的管理,这些组件可以在多个实例之间传播漏洞。
-
基础架构即代码( IaC )风险: Iac 中的错误配置可能导致控制平面的漏洞,从而加速了对安全编码实践和 IaC 审计的需求。
-
多重云和混合复杂性: 跨具有不同安全控制和最佳实践的不同云环境给管理漏洞带来了额外的复杂性层,进一步推动了对统一 VM 策略的需求。
-
瞬态工作负载: 本地云资源的短暂性要求持续的、自动化的安全监视,而不是依赖定期扫描。
扩展和启动云原生漏洞管理
开始实施云原生漏洞管理策略的安全和风险管理领导者或专业人员应:
1. 从全面的可见性开始:
-
资产发现和盘点: 你无法保护你看不到的东西。首先要确保您拥有混合、多云环境中从开发到生产的所有资产的全面清单,包括容器、虚拟机、无服务器系统和 API 。
-
持续的安全性监控: 采用无代理方式,对云原生资产进行持续监控和评估,提供对潜在漏洞的实时洞察。
2. 在开发生命周期的早期集成安全性:
-
CI/CD 流水线的安全性: 将安全性控制嵌入到 CI/CD 工作流中,以便在开发生命周期的早期检测和解决漏洞,在部署之前减少风险。
-
自动化的部署前测试: 部署自动化测试工具来识别代码、容器映像和 IaC 模板中的漏洞,然后才将它们部署到生产环境。
3. 采用云原生安全工具:
-
容器和Kubernetes安全: 使用为容器环境设计的安全平台,这些安全平台提供实时扫描、镜像验证和运行态保护等功能。
-
云原生应用程序保护平台(CNAPP): 使用CNAPP工具来持续监控云配置、优先考虑风险并确保跨多云环境的合规性。
4. 通过自动化和跨平台标准化实现整体安全:
-
自动漏洞修复: 根据您的风险偏好,通过自动化修复工作流程,快速修复已识别的漏洞,最小化暴露窗口并增强总体安全态势。
-
跨云的标准策略平台: 使用风险暴露管理技术和策略即代码(PaC ),在多云和混合环境中维护一致的安全策略和实施,确保可伸缩性和一致性
-
基于风险的优先排序:使用攻击路径管理和可利用性情报组合等技术根据对关键资产的风险对漏洞进行优先排序,重点放在真正具有是高威胁性的漏洞和风险。
您的云原生漏洞管理计划
短期 |
未来90天 |
未来12个月 |
定义实施云原生VM最佳实践的路线图:
|
扩展到多云:
|
安全且成熟:
|
扩展和启动云原生漏洞管理
对于在日益复杂的威胁环境中寻求保护云部署的组织来说,云原生虚拟机不仅仅是运营上的必要条件;对于这些组织来说,它也是战略上的必要条件。通过了解云原生环境的独特挑战,并采用有条不紊的可扩展方法,组织可以构建一个弹性的虚拟机计划,支持其云部署的宏大计划。自动化、DevSecOps集成和迭代改进所驱动的持续演进对于在云中保持稳健的安全态势至关重要。
原文始发于微信公众号(Tenable安全):云原生漏洞管理分析师指南:从哪里开始和如何扩展
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论