避免安全家常便饭:良好的治理可以帮助你从代码到云

参与云安全责任转移的应用程序开发团队和治理安全团队吗?

新的黑客每天的新闻,企业理所当然地把他们的应用程序开发团队实现安全融入日常运作中。毕竟,这是一个网络安全最佳实践安全集成到开发过程的每一步。但没有任何覆盖战略或安全治理你最后一个混乱”网络安全家常便饭。“这体现在工具太多,太多的警报和孤立的球队,而我们知道,可以邀请坏演员表。

什么是网络安全家常便饭?

在许多组织中安全就像家常便饭:每个人都带来了一些不同的贡献,看着从自己的筒仓安全。开发人员可能使用一个开源基础设施代码(IaC)工具,云团队可能使用云安全姿势管理(CSPM)工具和操作团队可能使用一个web应用程序扫描工具。这些都是除了工具脆弱性管理和传统的信息安全团队使用。根据Forrester委托研究咨询代表站得住脚的,超过三分之二的组织使用了10个或更多预防网络安全工具在过去12 - 24个月¹。它需要大量的资源来管理所有这些孤立的工具。9 10例(93%)有10个或更多的员工致力于部署、支持、维护和/或供应商关系预防网络安全工具的使用。

每个工具可能是伟大的,但是如果他们不互相整合你失去的可见性和上下文需要做积极的网络安全。断开是足以让你的胃疼。

来源:成立,2023年8月

所有这些工具——他们吐出的断开连接的数据,使安全决策混乱。安全团队已经背负着“警报过载,”数据不一致性和金融和资源成本的采购和管理不同的工具。因此,至关重要的漏洞或可能被忽视的在应用程序开发过程中,让你的组织潜在的网络威胁。此外,没有明确的交流方式的风险和安全态势利益相关者谁不精通角色的术语。

在筒仓安全完成时,它会创建一个虚假的安全感。假设一个问题变得太容易在一个面积受限时,区域,事实上,它可能在你的攻击表面产生深远的影响。攻击者不荣耀你的筒仓。攻击者可能进入云资产或on-prem系统然后横向移动利用错误配置或CVE在另一个系统,让他们获得特权访问的能力。

因此,尽管它是有用的在一个组织意义上有专门的团队在奇异的所有权方面的安全,没有集成在各种工具和他们的发现,以及治理的安全团队在整个软件开发生命周期,这几乎是不可能保护整个攻击表面。

不一定是这样。

解决竖井的挑战,安全团队需要管理整个应用程序开发生命周期从代码部署,提供跨团队的专业知识。一旦应用程序设计开发治理计划,安全团队就需要一个统一的平台,作为真理的单一来源的整个安全程序。

图1:站得住脚的云安全指示板,显示漏洞在公共云、运行时和集装箱图片。

来源:成立,2023年8月

让我们深入了解这种方法可能看起来像和深入的一些最佳实践。

主菜:一个政策框架由安全团队

第一步,以避免安全的家常便饭是雇佣一个政策框架每个人都参与到应用程序开发生命周期可以遵循和坚持。政策需要定义和执行安全团队。一个政策框架确保一致性在整个组织中网络安全是如何实现的。它建立了一套标准化的合规遵循指导方针,在整个开发生命周期。

在实践中一个政策框架是什么样子?矫正基础设施是扫描对定义的策略,然后在一个可扩展的和可重复的方式——不管环境中的安全策略失败了。例如,同样的政策用于测试基础设施代码(IaC)和评估容器的图片也应该被用来评估Kubernetes集群。政策应该从构建,部署在云环境中不会改变。除了执行和定义策略,安全团队需要开补救行动当发现缺陷或错误配置。

一个政策框架可以确保筒仓的一致性,所以安全措施在不同的系统应用统一,部门和地点。它还减少了警报过载,提高效率通过消除潜在的劳动的领域是重复的。

咀嚼的挑战

实现跨应用程序开发生命周期的安全管理在理论上听起来很容易。在实践中,有各种各样的挑战。例如,安全团队可能需要学习新的领域和工具或他们可能会觉得他们没有控制或资源来有效地管理DevOps管道。

然而,良好的安全工具可以帮助安全团队管理开发周期不增加额外的工作。安全工具需要使用各种各样的团队和集中的信息涉及到任何人都可以理解。站得住脚的云安全迎合DevOps和安全团队专业特性和集成与值得信赖的工具,所以现有的工作流没有炸毁为了实现安全

安全团队的一个例子是站不住脚的政策没有代码编辑器。这个特性提供了一个简单的接口和low-code方法,启用安全优点很容易定义策略针对特定属性和脆弱性容器的形象属性。他们可以使用预定义的政策从站得住脚的政策门户,由世界级的站得住脚的研究团队。

不需要配菜

为了进一步解决可能的挑战,您可能想知道如何安全优点有望让DevOps团队购买到一个政策框架方法安全治理整个应用程序开发过程。事实上,Forrester研究报告显示,43%的受访825和安全领导人说,DevOps团队开发过程不优先考虑安全的代码。所以,你怎么能依靠DevOps团队积极落实这些安全措施,确保你有可见性?不需要使用不同的安全工具的工作流程吗?

开云app爱游戏 可以帮助安全专家解决多个工具和筒仓的挑战。不仅是安全专家来定义安全策略简单,他们也很容易执行,将直接集成到DevOps工具。站得住脚的云安全可以直接集成到你的CI / CD管道,所以安全是嵌入到构建过程,而不是马后炮。站得住脚的云安全有助于提供开发人员的护栏,停止高风险部署之前发生,确保所有开发人员投入生产符合政策要求批准的安全团队。没有必要炸毁现有的工作流。站得住脚的云安全集成了DevOps团队已经知道和信任的工具,如开放代理(OPA),集成开发环境Visual Studio代码和Git存储库。

提供可见性

确保云基础设施和构建环境应该是一个责任每个人的盘子上,但它落在安全团队带头并获得可见性整体安全态势,这样他们就可以在应用程序开发生命周期的有效地优先考虑补救。得到巩固的能见度,可定制的和容易理解的节省时间,让你更安全,使您能够更好地协调数据可以共享或使用到会议室演示。站得住脚的云安全,安全优点可以专注于做最擅长的事:保护基础设施。

¹825年委托进行的一项研究,安全专家由Forrester咨询代表站得住脚的,2023年5月。

了解更多

• 下载容器安全解决方案简单
• 读了政策是代码的电子书
• 查看页面容器安全解决方案
• 参加一个云安全休息时间