安全左移是什么,如何为网络安全建设及运营带来更多可能性

长久以来,网络安全技术产品和市场需求都聚焦于在“右侧”防护,即在各种系统、业务已经投入使用的网络环境外围或边界,检测进出的流量、行为等是不是存在风险,并对其进行管控或调整。

然而事实上,安全风险不仅是“跑”起来之后才会产生,在业务流程的设计中、某个应用服务的编码中、内部数据的交换中等等早期阶段就可能出现缺陷,如果仅仅在后期查缺补漏围追堵截,成本、效率和效果都不够理想。

鉴于网络安全的木桶效应,“左侧”的安全短板逐渐引起安全行业和企业用户的共同关注,安全左移的思想迅速形成业界共识——人们需要将安全能力注入到业务流程的上游,并尽可能覆盖全生命周期,以便更早地发现并解决潜藏的风险点。这并不是一个新鲜名词,代码审计、软件测试包括近年来非常流行的DevSecOps体系,都是安全左移方向下的技术落地方案。

安全左移是一个相对的概念,我们认为,较之于传统的右侧防护,将安全能力前置的策略和措施都包含着安全左移的思想,考虑到网络安全体系的庞杂,需要保护的对象众多,其实远不止软件开发领域,针对安全左移的应用场景拥有非常广阔的空间。

软件开发及供应链使用场景

当然,要体会安全左移的价值首先离不开谈论DevSecOps。互联网云化与企业竞争压力改变了业务交付模式,敏捷开发DevOps日益活跃,DevSecOps也应运而生,它通过一套包含人文、流程、技术的框架和方法,强调在快速迭代中赋予整个IT团队(包括开发、测试、运维和安全所有角色)安全的能力。

近几年,SolarWinds供应链攻击、Log4j漏洞等事件的蝴蝶效应将软件供应链安全缺陷的问题暴露无遗。在国内,自2020年起,大量的甲方企业开始建设DevSecOps敏捷安全体系,其最明显的价值便是帮助企业在软件开发生命周期进行安全赋能,并且可以评估软件供应链的风险。有安全专家预判,DevSecOps未来或将由场景型技术转变为普适性技术。

除了安全文化的宣贯渗透和安全流程的制定应用,聚焦到具体技术能力上,DevOps的不同阶段需要进行相匹配的安全动作,比较核心的包括代码级检测分析能力(代码审计/SAST)、开源治理能力(SCA)、应用安全检测能力(IAST/DAST/Fuzzing)、运行时应用程序自保护能力(RASP)以及开发安全一体化管理平台。

云原生应用保护场景

更进一步,随着研发环境和部署环境整体向云端迁移,云原生的普及让研发体系和业务部署环境的差异慢慢减少,有效推动着安全左移在云原生环境中的落地。对于安全厂商来说,可以将更多精力投入到安全产品的研发中,对于企业IT团队来说,省去了很多配置操作让使用门槛大幅降低而适配性更优。

在云原生应用程序开发生产和运营的过程中,由于大量新的架构、组件、服务的使用,对安全能力提出的要求是比较复杂的,包括云资产的普查及风险感知、威胁响应、漏洞管理修复、容器安全、云工作负载安全、API安全、Web安全等等。

如今,集成整套安全性和合规性功能的云原生应用保护平台愈发受到市场重视,其整合了多种云原生安全工具和技术,如容器扫描、云安全态势管理(CSPM)、基础设施即代码扫描、云基础设施授权管理(CIEM)和运行时云工作负载保护平台(CWPP)。它可以保护从系统代码到业务开展的整个应用程序开发生命周期安全,提高对云工作负载的可见性,增强对云环境中安全性和合规性风险的控制。

容器安全能够很好集成到云原生复杂多变的环境中,如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案,德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。核心架构理念在于:

在开发阶段(Dev),遵循“安全左移”原则,做到上线即安全

在运行阶段(Ops),遵循“持续监控&响应”原则,做到完全自适应

主要从安全左移和运行时安全两个阶段,在云原生的全生命周期过程中,提供原生的、融合的安全能力。

一、资产清点

可以清晰地盘点工作负载本身的相关信息,此外,还能够实现不同工作负载之间的关系可视化,帮助运维和安全人员梳理业务及其复杂的关系,弥补安全与业务的鸿沟。

1.细粒度梳理关键资产

2.业务应用自动识别

3.资产实时上报

4.与风险和入侵全面关联

二、镜像扫描

镜像检查能力已经覆盖到开发、测试等多个环节中,可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。

1.覆盖容器全生命周期

2.全方位检测

3.镜像合规检查

4.X86、ARM 架构镜像全栈适配

三、微隔离

微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习,提供自适应、自迁移、自维护的网络隔离策略,帮助用户快速、安全地落地容器微隔离能力。

1.业务视角展示网络拓扑关系

2.云原生场景的隔离策略

3.适配多种网络架构

4.告警模式业务0影响

四、入侵检测

通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意行为、异常事件,监测到入侵事件后,对失陷容器快速安全响应,把损失降到最低。

1.威胁建模适配容器环境

2.持续地监控和分析

3.威胁告警快速响应处置

4.提供多种异常处理方式

五、合规基线

构建基于CIS Benchmark的最佳安全操作实践检查,帮助企业实施和完善容器合规规范,可实现一键自动化检测,并提供可视化基线检查结果和代码级修复建议。

1.CIS标准

2.一键自动化检测

3.基线定制开发

4.代码级修复建议


数据风险评估及治理场景

市场上比较成熟的数据安全产品基本围绕着传统的数据库安全建设而来,如数据的审计、脱敏、加密等,再结合数据防泄漏DLP、用户行为分析UEBA等新一代技术,实现数据流经内外网边界的安全控制,这是比较典型的右侧防护。

随着数据资产量级、价值、流转频率的激增,安全防护逐渐从以网络和系统为中心转变到以数据为中心。着眼于数据本身,从数据的生产或采集之初,跟踪监测数据处理、使用、变形的全过程,是数据安全左移的切入口。这种趋势带来的变化是,数据安全产品不再是一个个异构孤立的单点产品,而是面向数据全生命周期构建的安全管理与防护体系,以数据识别和分类分级为基础,自动地评估动态的风险趋势,自适应地做出响应动作,让数据长期处于安全使用的状态。


资源访问控制场景

不管是合法登录、无意误操作还是恶意攻击,访问请求是网络中最频繁的操作,涉及到人员身份,终端设备,应用、接口、数据等资源。访问控制策略通过一系列技术和手段,防止对任何资源进行未授权的访问,从而使系统在合法的范围内被使用。传统访问控制模型中,访问主体通过角色属性获取相应权限,随着静态封闭的网络环境逐步向开放式发展,访问主体身份不固定、设备不固定、网络环境不局限于内网,频繁进行登录、计算、传输和退出操作,对于访问控制模型提出了更高要求。

零信任网络访问(ZTNA)的提出颠覆了传统的基于网络边界建立的信任模型,默认即使身处内网的人员也不可信,基于先验证再访问的原则,对每一次访问请求都综合用户的身份、行为、状态进行安全评估和认证,以解决所有角色对所有资源的可信访问。如此一来,安全能力不仅是左移,而是无处不移,形成了一个动态的逻辑边界,持续评估提供对最小资源范围内的最可控访问,无法通过信任链认证的流量、数据包等都无法进入系统,内部的资产也得到很好的收敛,天然对非授权用户隐身。

零信任并不局限单一场景,作为一个相当普适的理念,其在网络安全、身份安全、应用安全、数据安全等等层面都有其用武之地,因此在市场中,零信任的落地存在不同的技术路径。


通过前文不难发现,安全左移快速发展的场景都面临着网络环境云化、业务数字化、资产爆棚等特征,边界模糊甚至不复存在,导致安全盲点太多,因此才迫切需要在所有的系统、所有的业务流程中嵌入安全的能力。

这也引入了安全左移落地的最大挑战——发展与安全的平衡,在技术之外需要依靠人文和制度将安全意识进行长期渗透;同时安全团队需要解决安全能力如何无缝柔和地嵌入业务,不阻碍业务本身追求效率的目标;以及整体框架下各个安全能力单元的耦合联动,达到按需收放自如,在多云、云地混合、移动、物联网等新兴环境中完成构建和适配。

总而言之,安全左移只是一种概念,本身并无限制,除了以上我们展开讨论的几个比较突出的场景,比如采用攻击面管理提升资产可见性、运用机密计算保护使用中的数据等等新兴技术的运用,都可窥见安全左移的身影。最终,安全不是为了左移而左移,安全应该移动到任何需要它的地方,成为业务发展战略中本应存在的一部分
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/796293.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何保护大模型API安全

大模型的崛起正在改变着我们对机器学习和人工智能的理解,它们不仅提供了令人惊叹的预测和分析能力,还在各行各业的应用中发挥着重要作用。通过提供 API,用户无需了解底层实现细节,使大型模型能够更好地与用户和应用程序进行交互&a…

电商技术揭秘七:搜索引擎中的SEO关键词策略与内容优化技术

文章目录 引言一、关键词策略1.1 关键词研究与选择1. 确定目标受众2. 使用关键词研究工具3. 分析搜索量和竞争程度4. 考虑长尾关键词5. 关键词的商业意图6. 创建关键词列表7. 持续监控和调整 1.2 关键词布局与密度1. 关键词自然分布2. 标题标签的使用3. 首次段落的重要性4. 关键…

【opencv】示例-asift.cpp 对两张图片之间进行仿射特征比对

#include <opencv2/core.hpp> // 包含OpenCV核心功能的头文件 #include <opencv2/imgproc.hpp> // 包含OpenCV图像处理功能的头文件 #include <opencv2/features2d.hpp> // 包含OpenCV特征检测相关功能的头文件 #include <opencv2/highgui.hpp> // 包含…

sqlmap(五)

一、进行文件读写操作 1.1 前提条件 高权限 目录有读写权限 secure_file_priv " " 1.2 测试目标 第一步&#xff1a;用抓包的方式获取请求测试站点的数据包 可以使用Burpsuite 第二步&#xff1a;将抓到的数据包&#xff0c;保存到sqlmap目录下的a.txt 第三步&am…

从FasterTransformer源码解读开始了解大模型(1.1)一个decoder-only的模型长啥样

从FasterTransformer源码解读开始了解大模型&#xff08;1.1&#xff09;一个decoder-only的模型长啥样 写在前面的话 对于一个没有接触过LLM的初学者来说&#xff0c;如果想要了解一个大模型的推理框架&#xff0c;首先应该知道大模型整个的工作原理是怎样的&#xff0c;知道…

了解自动化机器学习 AutoML

&#x1f349; CSDN 叶庭云&#xff1a;https://yetingyun.blog.csdn.net/ 自动化机器学习&#xff08;AutoML&#xff09;概述 自动化机器学习&#xff08;AutoML&#xff09;旨在自动化机器学习模型的开发流程&#xff0c;通过简化或去除需要专业知识的复杂步骤&#xff0c;…

CSS面试题常用知识总结day03

大家好我是没钱的君子下流坯&#xff0c;用自己的话解释自己的知识 前端行业下坡路&#xff0c;甚至可说前端已死&#xff0c;我还想在前段行业在干下去&#xff0c;所以从新开始储备自己的知识。 从CSS——>Javascript——>VUE2——>Vuex、VueRouter、webpack——>…

Stale Diffusion、Drag Your Noise、PhysReaction、CityGaussian

本文首发于公众号&#xff1a;机器感知 Stale Diffusion、Drag Your Noise、PhysReaction、CityGaussian Drag Your Noise: Interactive Point-based Editing via Diffusion Semantic Propagation Point-based interactive editing serves as an essential tool to compleme…

Nuxt 3 项目中配置 Tailwind CSS

官方文档&#xff1a;https://www.tailwindcss.cn/docs/guides/nuxtjs#standard 安装 Tailwind CSS 及其相关依赖 执行如下命令&#xff0c;在 Nuxt 项目中安装 Tailwind CSS 及其相关依赖 npm install -D tailwindcss postcss autoprefixerpnpm install -D tailwindcss post…

【cpp】快速排序优化

标题&#xff1a;【cpp】快速排序 水墨不写bug 正文开始&#xff1a; 快速排序的局限性&#xff1a; 虽然快速排序是一种高效的排序算法&#xff0c;但也存在一些局限性&#xff1a; 最坏情况下的时间复杂度&#xff1a;如果选择的基准元素不合适&#xff0c;或者数组中存在大…

Netty 3 - 组件和设计

这里将回顾我们之前章节讲到过的主要概念和组件。 1 Channel 、EventLoop和ChannelFuture Channel —— Socket;EventLoop —— 控制流、多线程处理、并发;ChannelFuture —— 异步通知。 1.1 Channel 接口 基本的I/O操作&#xff08;bind()、connect()、read()和write()&a…

免注册,ChatGPT可即时访问了!

AI又有啥进展&#xff1f;一起看看吧 Apple进军个人家用机器人 Apple在放弃自动驾驶汽车项目并推出混合现实头显后&#xff0c;正在进军个人机器人领域&#xff0c;处于开发家用环境机器人的早期阶段 报告中提到了两种可能的机器人设计。一种是移动机器人&#xff0c;可以跟…

鸿蒙OS元服务开发:【(Stage模型)学习窗口沉浸式能力】

一、体验窗口沉浸式能力说明 在看视频、玩游戏等场景下&#xff0c;用户往往希望隐藏状态栏、导航栏等不必要的系统窗口&#xff0c;从而获得更佳的沉浸式体验。此时可以借助窗口沉浸式能力&#xff08;窗口沉浸式能力都是针对应用主窗口而言的&#xff09;&#xff0c;达到预…

二叉堆解读

在数据结构和算法中&#xff0c;二叉堆是一种非常重要的数据结构&#xff0c;它被广泛用于实现优先队列、堆排序等场景。本文将介绍二叉堆的基本概念、性质、操作以及应用场景。 一、基本概念 二叉堆是一种特殊的完全二叉树&#xff0c;它满足堆性质&#xff1a;对于每个节点…

电子商务平台中大数据的应用|主流电商平台大数据采集API接口

(一)电商平台物流管理中大数据的应用 电商平台订单详情订单列表物流信息API接口应用 电子商务企业对射频识别设备、条形码扫描设备、全球定位系统及销售网站、交通、库存等管理软件数据进行实时或近实时的分析研究,提高物流速度和准确性。部分电商平台已建立高效的物流配送网…

【STL】vector的底层原理及其实现

vector的介绍 vector是一个可变的数组序列容器。 1.vector的底层实际上就是一个数组。因此vector也可以采用连续存储空间来存储元素。也可以直接用下标访问vector的元素。我们完全可以把它就当成一个自定义类型的数组使用。 2.除了可以直接用下标访问元素&#xff0c;vector还…

掌握数据相关性新利器:基于R、Python的Copula变量相关性分析及AI大模型应用探索

在工程、水文和金融等各学科的研究中&#xff0c;总是会遇到很多变量&#xff0c;研究这些相互纠缠的变量间的相关关系是各学科的研究的重点。虽然皮尔逊相关、秩相关等相关系数提供了变量间相关关系的粗略结果&#xff0c;但这些系数都存在着无法克服的困难。例如&#xff0c;…

解决win7作为虚拟机无法复制粘贴共享文件的问题

win7作为虚拟机经常会出现无法与主机的剪切板共享、文件共享。 归根结底是win7虚拟机里面没有安装VMware Tools 能够成功安装vmware tools的条件&#xff1a; 1&#xff09;win7版本为win7 sp1及以上 2&#xff09;安装KB4490628&#xff0c;KB4474419补丁 因此下面来详细介绍…

【LeetCode题解】2192. 有向无环图中一个节点的所有祖先+1026. 节点与其祖先之间的最大差值

文章目录 [2192. 有向无环图中一个节点的所有祖先](https://leetcode.cn/problems/all-ancestors-of-a-node-in-a-directed-acyclic-graph/)思路&#xff1a;BFS记忆化搜索代码&#xff1a; 思路&#xff1a;逆向DFS代码&#xff1a; [1026. 节点与其祖先之间的最大差值](https…

为什么说AI的尽头是生物制药?

AI的尽头究竟是什么&#xff1f;有投资者说是光伏&#xff0c;也有投资者说是电力&#xff0c;而英伟达给出的答案则是生物制药。 在英伟达2023年投资版图中&#xff0c;除AI产业根基算法与基础建设外&#xff0c;生物制药是其重点布局的核心赛道。英伟达医疗保健副总裁Kimber…