Vid den senaste tiden CloudNativeSecurityCon i Seattle samlades 800 DevSecOps-utövare för att ta itu med en myriad av säkerhetsproblem för mjukvaruförsörjningskedjan, inklusive säkerheten för containerbilder och effekten av noll förtroende på mjukvarans försörjningskedja.
Från och med förra året fanns det 7.1 miljoner molnbaserade utvecklare, 51 % mer än de 4.7 miljonerna 12 månader tidigare, sade Cloud Native Computing Foundations verkställande direktör Priyanka Sharma i den inledande keynoten. "Alla håller på att bli molnbaserade utvecklare," sa Sharma.
Men denna snabba övergång till molnbaserad utveckling kan vara en källa till oro, eftersom de snabba utgivningscyklerna kan leda till att organisationer inte följer rutiner för säker livscykelutveckling (SDLC), varnade Sharma. Snyks 2022 State of Cloud Security rapporten fann att 77 % av organisationerna erkände att de har dålig utbildning och saknar effektivt samarbete mellan utvecklare och säkerhetsteam.
"Det finns silade team som ofta arbetar i separata länder, tidszoner, använder olika verktyg, policyramar," sa Sharma. "I den molnbaserade miljön interagerar vi med så många andra enheter. Släng in en brist på säkerhetspolicy, och där finns receptet för ditt säkerhetsbrott.”
Bristen på säkerhetspolicyer underblåser en ökning av sårbarheter på grund av felkonfigurationer. En alarmerande 87 % av behållarbilderna som körs i produktion har kritiska eller allvarliga sårbarheter, upp från 75 % för ett år sedan, enligt Sysdig 2023 Cloud-Native säkerhets- och användningsrapport. Ändå finns bara 15 % av dessa opatchade kritiska och höga sårbarheter i paket som används under körning där en patch är tillgänglig.
Sysdigs resultat är baserade på telemetri som samlats in från tusentals av sina kunders molnkonton, som uppgår till miljarder containrar. Den höga andelen kritiska eller allvarliga sårbarheter i containrar är resultatet av bråttom från organisationer att distribuera moderna molnapplikationer. Trycket har skapat ett flöde av mjukvaruutvecklare som går över till den mer smidiga programmeringsmodellen för kontinuerlig integration kontinuerlig utveckling (CI/CD).
Sysdigs rapport rekommenderade filtrering för att endast isolera de kritiska och mycket sårbara paketen som används för att fokusera på paket som utgör störst risk. Vidare är endast 2% av sårbarheterna exploaterbara. "Genom att titta på vad som har i användning exponering, det är vad som faktiskt används under körning, och att ha fixen tillgänglig kommer att hjälpa team att prioritera", skrev Sysdig-hotforskaren Crystal Morin i rapporten.
5 delar av Zero Trust Implementation
Sharma pekade på fjolårets Kostnad för ett dataintrång rapport från IBM och Ponemon Institute, som visade att 79 % av organisationerna inte har flyttat till en miljö med noll förtroende. "Det är verkligen inte bra," sa Sharma. "Eftersom nästan 20 % av överträdelserna uppstår på grund av en kompromiss hos en affärspartner. Och kom ihåg att nästan hälften av de intrång som inträffar är molnbaserade.”
En viktig barriär för skapa noll förtroende är miljöer där behörigheter inte är under kontroll. Enligt Sysdig-rapporten används inte 90 % av de beviljade behörigheterna, vilket skapar en enkel väg för att stjäla referenser. Enligt rapporten måste "team tvinga fram minsta privilegierade åtkomst, och det kräver en förståelse för vilka behörigheter som faktiskt används."
Zack Butcher, grundande ingenjör på Tetrate och en tidig ingenjör på Googles servicemesh-projekt Istio, sa att det inte är så komplicerat att skapa en miljö med noll förtroende. "Noll förtroende i sig är inte ett mysterium," sa Butcher till deltagarna. "Det finns mycket FUD [rädsla, osäkerhet och tvivel] kring vad noll förtroende är. Det är i grunden två saker: människors process- och körtidskontroller som svarar och mildrar frågan, "tänk om angriparen redan är inne i det nätverket?"
Butcher identifierade fem policykontroller som skulle utgöra ett nollförtroendesystem:
- Kryptering under överföring för att säkerställa att meddelanden inte kan avlyssnas
- Servicenivåidentitet för att möjliggöra autentisering vid körning, helst en kryptografisk identitet
- Möjligheten att använda dessa identiteter för att kunna utföra runtime service-service-auktorisering för att kontrollera vilka arbetsbelastningar som kan prata med varandra
- Autentisera slutanvändaren i session
- En modell som auktoriserar de åtgärder användarna vidtar på resurser i systemet
Butcher noterade att även om dessa inte är nya, finns det nu ett försök att skapa en identitetsbaserad segmenteringsstandard med National Institute of Standards and Technology (NIST). "Om du tittar på saker som API-gateways och ingångsgateways, gör vi dessa kontroller vanligtvis," sa han. "Men vi måste göra dem, inte bara vid ytterdörren, utan varje hopp i vår infrastruktur. Varje gång något kommuniceras måste vi tillämpa, åtminstone, dessa fem kontroller."
NIST Standard kommer upp
Under en breakout-session förklarade Butcher och NIST-datavetaren Ramaswamy "Mouli" Chandramouli de fem kontrollerna och hur de passar in i en noll-trust-arkitektur. Verktyg som ett servicenät kan hjälpa till att implementera många av dessa kontroller, sa Butcher.
Presentationen är en disposition för ett förslag som kommer att presenteras som NIST SP 800-207A: A Zero Trust Architecture (ZTA) Model for Access Control in Cloud Native Applications in Multi-Location Environments. "Vi förväntar oss att ha det här för första offentlig granskning någon gång i juni," sa Butcher.
Butcher sa att säkerheten i försörjningskedjan är en kritisk komponent i en nollförtroendearkitektur. "Om vi inte kan inventera och intyga vad som körs i vår infrastruktur lämnar vi en lucka för angripare att utnyttja", sa han. "Noll förtroende som en filosofi handlar om att mildra vad en angripare kan göra om de är i nätverket. Målet är att begränsa deras attack i rum och tid, och att kontrollera applikationerna som körs i den infrastrukturen är en nyckelfaktor för att begränsa det utrymme en angripare måste arbeta med."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/dr-tech/87-of-container-images-in-production-have-critical-or-high-severity-vulnerabilities
