安全左移是什么,如何为网络安全建设及运营带来更多可能性

长久以来,网络安全技术产品和市场需求都聚焦于在“右侧”防护,即在各种系统、业务已经投入使用的网络环境外围或边界,检测进出的流量、行为等是不是存在风险,并对其进行管控或调整。

然而事实上,安全风险不仅是“跑”起来之后才会产生,在业务流程的设计中、某个应用服务的编码中、内部数据的交换中等等早期阶段就可能出现缺陷,如果仅仅在后期查缺补漏围追堵截,成本、效率和效果都不够理想。

鉴于网络安全的木桶效应,“左侧”的安全短板逐渐引起安全行业和企业用户的共同关注,安全左移的思想迅速形成业界共识——人们需要将安全能力注入到业务流程的上游,并尽可能覆盖全生命周期,以便更早地发现并解决潜藏的风险点。这并不是一个新鲜名词,代码审计、软件测试包括近年来非常流行的DevSecOps体系,都是安全左移方向下的技术落地方案。

安全左移是一个相对的概念,我们认为,较之于传统的右侧防护,将安全能力前置的策略和措施都包含着安全左移的思想,考虑到网络安全体系的庞杂,需要保护的对象众多,其实远不止软件开发领域,针对安全左移的应用场景拥有非常广阔的空间。

软件开发及供应链使用场景

当然,要体会安全左移的价值首先离不开谈论DevSecOps。互联网云化与企业竞争压力改变了业务交付模式,敏捷开发DevOps日益活跃,DevSecOps也应运而生,它通过一套包含人文、流程、技术的框架和方法,强调在快速迭代中赋予整个IT团队(包括开发、测试、运维和安全所有角色)安全的能力。

近几年,SolarWinds供应链攻击、Log4j漏洞等事件的蝴蝶效应将软件供应链安全缺陷的问题暴露无遗。在国内,自2020年起,大量的甲方企业开始建设DevSecOps敏捷安全体系,其最明显的价值便是帮助企业在软件开发生命周期进行安全赋能,并且可以评估软件供应链的风险。有安全专家预判,DevSecOps未来或将由场景型技术转变为普适性技术。

除了安全文化的宣贯渗透和安全流程的制定应用,聚焦到具体技术能力上,DevOps的不同阶段需要进行相匹配的安全动作,比较核心的包括代码级检测分析能力(代码审计/SAST)、开源治理能力(SCA)、应用安全检测能力(IAST/DAST/Fuzzing)、运行时应用程序自保护能力(RASP)以及开发安全一体化管理平台。

云原生应用保护场景

更进一步,随着研发环境和部署环境整体向云端迁移,云原生的普及让研发体系和业务部署环境的差异慢慢减少,有效推动着安全左移在云原生环境中的落地。对于安全厂商来说,可以将更多精力投入到安全产品的研发中,对于企业IT团队来说,省去了很多配置操作让使用门槛大幅降低而适配性更优。

在云原生应用程序开发生产和运营的过程中,由于大量新的架构、组件、服务的使用,对安全能力提出的要求是比较复杂的,包括云资产的普查及风险感知、威胁响应、漏洞管理修复、容器安全、云工作负载安全、API安全、Web安全等等。

如今,集成整套安全性和合规性功能的云原生应用保护平台愈发受到市场重视,其整合了多种云原生安全工具和技术,如容器扫描、云安全态势管理(CSPM)、基础设施即代码扫描、云基础设施授权管理(CIEM)和运行时云工作负载保护平台(CWPP)。它可以保护从系统代码到业务开展的整个应用程序开发生命周期安全,提高对云工作负载的可见性,增强对云环境中安全性和合规性风险的控制。

容器安全能够很好集成到云原生复杂多变的环境中,如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案,德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。核心架构理念在于:

在开发阶段(Dev),遵循“安全左移”原则,做到上线即安全

在运行阶段(Ops),遵循“持续监控&响应”原则,做到完全自适应

主要从安全左移和运行时安全两个阶段,在云原生的全生命周期过程中,提供原生的、融合的安全能力。

一、资产清点

可以清晰地盘点工作负载本身的相关信息,此外,还能够实现不同工作负载之间的关系可视化,帮助运维和安全人员梳理业务及其复杂的关系,弥补安全与业务的鸿沟。

1.细粒度梳理关键资产

2.业务应用自动识别

3.资产实时上报

4.与风险和入侵全面关联

二、镜像扫描

镜像检查能力已经覆盖到开发、测试等多个环节中,可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。

1.覆盖容器全生命周期

2.全方位检测

3.镜像合规检查

4.X86、ARM 架构镜像全栈适配

三、微隔离

微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习,提供自适应、自迁移、自维护的网络隔离策略,帮助用户快速、安全地落地容器微隔离能力。

1.业务视角展示网络拓扑关系

2.云原生场景的隔离策略

3.适配多种网络架构

4.告警模式业务0影响

四、入侵检测

通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意行为、异常事件,监测到入侵事件后,对失陷容器快速安全响应,把损失降到最低。

1.威胁建模适配容器环境

2.持续地监控和分析

3.威胁告警快速响应处置

4.提供多种异常处理方式

五、合规基线

构建基于CIS Benchmark的最佳安全操作实践检查,帮助企业实施和完善容器合规规范,可实现一键自动化检测,并提供可视化基线检查结果和代码级修复建议。

1.CIS标准

2.一键自动化检测

3.基线定制开发

4.代码级修复建议


数据风险评估及治理场景

市场上比较成熟的数据安全产品基本围绕着传统的数据库安全建设而来,如数据的审计、脱敏、加密等,再结合数据防泄漏DLP、用户行为分析UEBA等新一代技术,实现数据流经内外网边界的安全控制,这是比较典型的右侧防护。

随着数据资产量级、价值、流转频率的激增,安全防护逐渐从以网络和系统为中心转变到以数据为中心。着眼于数据本身,从数据的生产或采集之初,跟踪监测数据处理、使用、变形的全过程,是数据安全左移的切入口。这种趋势带来的变化是,数据安全产品不再是一个个异构孤立的单点产品,而是面向数据全生命周期构建的安全管理与防护体系,以数据识别和分类分级为基础,自动地评估动态的风险趋势,自适应地做出响应动作,让数据长期处于安全使用的状态。


资源访问控制场景

不管是合法登录、无意误操作还是恶意攻击,访问请求是网络中最频繁的操作,涉及到人员身份,终端设备,应用、接口、数据等资源。访问控制策略通过一系列技术和手段,防止对任何资源进行未授权的访问,从而使系统在合法的范围内被使用。传统访问控制模型中,访问主体通过角色属性获取相应权限,随着静态封闭的网络环境逐步向开放式发展,访问主体身份不固定、设备不固定、网络环境不局限于内网,频繁进行登录、计算、传输和退出操作,对于访问控制模型提出了更高要求。

零信任网络访问(ZTNA)的提出颠覆了传统的基于网络边界建立的信任模型,默认即使身处内网的人员也不可信,基于先验证再访问的原则,对每一次访问请求都综合用户的身份、行为、状态进行安全评估和认证,以解决所有角色对所有资源的可信访问。如此一来,安全能力不仅是左移,而是无处不移,形成了一个动态的逻辑边界,持续评估提供对最小资源范围内的最可控访问,无法通过信任链认证的流量、数据包等都无法进入系统,内部的资产也得到很好的收敛,天然对非授权用户隐身。

零信任并不局限单一场景,作为一个相当普适的理念,其在网络安全、身份安全、应用安全、数据安全等等层面都有其用武之地,因此在市场中,零信任的落地存在不同的技术路径。


通过前文不难发现,安全左移快速发展的场景都面临着网络环境云化、业务数字化、资产爆棚等特征,边界模糊甚至不复存在,导致安全盲点太多,因此才迫切需要在所有的系统、所有的业务流程中嵌入安全的能力。

这也引入了安全左移落地的最大挑战——发展与安全的平衡,在技术之外需要依靠人文和制度将安全意识进行长期渗透;同时安全团队需要解决安全能力如何无缝柔和地嵌入业务,不阻碍业务本身追求效率的目标;以及整体框架下各个安全能力单元的耦合联动,达到按需收放自如,在多云、云地混合、移动、物联网等新兴环境中完成构建和适配。

总而言之,安全左移只是一种概念,本身并无限制,除了以上我们展开讨论的几个比较突出的场景,比如采用攻击面管理提升资产可见性、运用机密计算保护使用中的数据等等新兴技术的运用,都可窥见安全左移的身影。最终,安全不是为了左移而左移,安全应该移动到任何需要它的地方,成为业务发展战略中本应存在的一部分
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/796293.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【C++】c++11新特性(二)--Lambda函数及function(包装器)

目录 Lambda函数 基本概念 基本语法 lambda 捕获(capture) 1. 不捕获任何变量 2. 按值捕获 3. 按引用捕获 4. 混合捕获 5. 捕获this 指针 包装器 function 基本概念 使用场景 1. 给function对象赋值 2. 作为函数参数和返回值 3. 存储在容器中 4. 绑定成员函数和带…

已解决java.util.zip.DataFormatException: 数据格式异常的正确解决方法,亲测有效!!!

已解决java.util.zip.DataFormatException: 数据格式异常的正确解决方法,亲测有效!!! 目录 问题分析 报错原因 解决思路 解决方法 核实数据的完整性和来源 验证数据是否为有效的ZIP格式 检查与编码相关的问题 正确使用AP…

【数据库(MySQL)基础】以MySQL为例的视图、存储过程与触发器

文章目录 1. 视图1.1 视图创建1.2 视图查询1.3 视图修改1.4 视图删除1.5 视图检查选项1.5.1 cascaded检查选项1.5.1.1 这个选项存在为了避免什么问题?1.5.1.2 怎么利用这个选项1.5.1.3 子视图 1.5.2 local检查选项1.5.2.1 local示例 1.6 视图更新及作用 2. 存储过程…

如何保护大模型API安全

大模型的崛起正在改变着我们对机器学习和人工智能的理解,它们不仅提供了令人惊叹的预测和分析能力,还在各行各业的应用中发挥着重要作用。通过提供 API,用户无需了解底层实现细节,使大型模型能够更好地与用户和应用程序进行交互&a…

C++IO类,输入输出缓冲区,流状态

我们的程序已经使用了很多IO库设施: istream(输入流)类型,提供输入操作。ostream(输出流)类型,提供输出操作。cin,一个istream对象,从标准输入读取数据。写入到标准错误。cout,一个ostream对象&#xff0c…

Windows 下融合使用开源组件进行视频内容分析,shotcut ,autocut 剪辑 whisper智能化编辑双语字幕等

文章大纲 whisperautocut油管 视频分析视频数据下载下载字幕数据开源视频剪辑工具shotcut参考文献学习路径下面以这个黄仁勋访谈视频为例简要介绍分析的步骤 https://youtu.be/lXLBTBBil2Uwhisper https://github.com/openai/whisper提升: 安装如果需要在conda 中使用 ffmpeg …

电商技术揭秘七:搜索引擎中的SEO关键词策略与内容优化技术

文章目录 引言一、关键词策略1.1 关键词研究与选择1. 确定目标受众2. 使用关键词研究工具3. 分析搜索量和竞争程度4. 考虑长尾关键词5. 关键词的商业意图6. 创建关键词列表7. 持续监控和调整 1.2 关键词布局与密度1. 关键词自然分布2. 标题标签的使用3. 首次段落的重要性4. 关键…

C 语言中的 end, _end 符号

使用 man 3 end 可以看到相关符号的解释 这些符号不是在 C 语言文件和头文件中定义的,它们是 ld 在链接所有 .o 文件的时候自己添加的。 end 和 _end 的地址,就是最终程序的堆的起始地址 要打印它们的话,一个样例程序在下面: …

【opencv】示例-asift.cpp 对两张图片之间进行仿射特征比对

#include <opencv2/core.hpp> // 包含OpenCV核心功能的头文件 #include <opencv2/imgproc.hpp> // 包含OpenCV图像处理功能的头文件 #include <opencv2/features2d.hpp> // 包含OpenCV特征检测相关功能的头文件 #include <opencv2/highgui.hpp> // 包含…

关于阿里云云数据库自动扩缩容和自动SQL优化的20道面试题

1. 请解释阿里云云数据库自动扩缩容的概念及其工作原理。 阿里云云数据库自动扩缩容是一种基于数据库实例的实时性能数据&#xff0c;能够发现流量异常并提供合理的数据库规格建议和磁盘容量建议的功能。其工作原理如下&#xff1a; 性能监控&#xff1a;系统会实时监控数据库…

Java线程亲和实战

环境&#xff1a;Linux version 5.4.0-1084-aws (builddlcy02-amd64-044) (gcc version 7.5.0 (Ubuntu 7.5.0-3ubuntu1~18.04)) #91~18.04.1-Ubuntu SMP Sun Aug 14 01:24:43 UTC 2022 JDK: 1.8.0_241 CPU分配是如何工作的&#xff1f; 如果您有或提供了一个&#xff0c;该库…

sqlmap(五)

一、进行文件读写操作 1.1 前提条件 高权限 目录有读写权限 secure_file_priv " " 1.2 测试目标 第一步&#xff1a;用抓包的方式获取请求测试站点的数据包 可以使用Burpsuite 第二步&#xff1a;将抓到的数据包&#xff0c;保存到sqlmap目录下的a.txt 第三步&am…

FPGA和ARM学习那个比较好

FPGA和ARM是两种不同的技术&#xff0c;具有不同的应用领域和学习难度。以下是对两者进行比较的一些建议&#xff1a; 1. 应用领域&#xff1a;FPGA主要用于数字电路设计和硬件加速器开发&#xff0c;可在实时系统、信号处理、嵌入式系统等方面发挥重要作用。ARM则是一种处理器…

C++的vector类(二):vector类的实际OJ应用

1、只出现一次的数字 2、杨辉三角 3、删除有序数组中的重复项 4、只出现一次的数字 II 5、只出现一次的数字 III 6、数组中出现次数超过一半的数字 7、电话号码的字母组合 ~over~

从FasterTransformer源码解读开始了解大模型(1.1)一个decoder-only的模型长啥样

从FasterTransformer源码解读开始了解大模型&#xff08;1.1&#xff09;一个decoder-only的模型长啥样 写在前面的话 对于一个没有接触过LLM的初学者来说&#xff0c;如果想要了解一个大模型的推理框架&#xff0c;首先应该知道大模型整个的工作原理是怎样的&#xff0c;知道…

了解自动化机器学习 AutoML

&#x1f349; CSDN 叶庭云&#xff1a;https://yetingyun.blog.csdn.net/ 自动化机器学习&#xff08;AutoML&#xff09;概述 自动化机器学习&#xff08;AutoML&#xff09;旨在自动化机器学习模型的开发流程&#xff0c;通过简化或去除需要专业知识的复杂步骤&#xff0c;…

CSS面试题常用知识总结day03

大家好我是没钱的君子下流坯&#xff0c;用自己的话解释自己的知识 前端行业下坡路&#xff0c;甚至可说前端已死&#xff0c;我还想在前段行业在干下去&#xff0c;所以从新开始储备自己的知识。 从CSS——>Javascript——>VUE2——>Vuex、VueRouter、webpack——>…

Stale Diffusion、Drag Your Noise、PhysReaction、CityGaussian

本文首发于公众号&#xff1a;机器感知 Stale Diffusion、Drag Your Noise、PhysReaction、CityGaussian Drag Your Noise: Interactive Point-based Editing via Diffusion Semantic Propagation Point-based interactive editing serves as an essential tool to compleme…

vite打包失败 - out of memory

在做项目时&#xff0c;随着需求的不断增加&#xff0c;我们的代码文件会越来越大&#xff0c;但是在打包时&#xff0c;在 Node 中通过 JavaScript 使用内存的大小却是有限制的。于是&#xff0c;今天打算部署代码时&#xff0c;报错了: <--- JS stacktrace ---> JS st…

Nuxt 3 项目中配置 Tailwind CSS

官方文档&#xff1a;https://www.tailwindcss.cn/docs/guides/nuxtjs#standard 安装 Tailwind CSS 及其相关依赖 执行如下命令&#xff0c;在 Nuxt 项目中安装 Tailwind CSS 及其相关依赖 npm install -D tailwindcss postcss autoprefixerpnpm install -D tailwindcss post…