3min. read

供应链安全已成为许多领导者的头等大事,因为接二连三的事件表明供应链漏洞会将企业暴露在严重的风险之中。 Log4j和SolarStorm等安全挑战已经使各种规模的企业遭受重创,然而,他 们甚至可能不知道自己到底面临着什么风险。在供应链攻击中,软件堆栈的一个组件中存在的漏 洞可能会使整个企业暴露于潜在的漏洞利用之下。

Palo Alto Networks Unit 42®研究 确定了云供应链中一种特别有影响的风险类型,这应该成 为受关注的主要原因。我们的研究团队发现,用于构建云基础架构的第三方代码中有 63% 是 不安全的。安全风险包括会导致企业面临风险的错误配置,分配不当的权限以及易受攻击的代 码库。

云供应链究竟是什么?

大多数时候,当人们谈论供应链时,他们会想到从一个地点移动到另一个地点的物理部件和商品之类的东西。许多企业还没有意识到的是,这些实物商品的移动通常是由云中运行的应用实现的。更进一步说,如果您的企业正在构建自己的云原生应用,那么您便拥有了供应链中的供应链。

现代云原生应用通过三个高级步骤构建和组合。第一级是云基础架构的配置。第二步是拥有 Kubernetes® 容器编排服务,即部署应用的平台。 第三步是部署应用容器映像本身。这三层中的任何一层都可能出现错误配置或易受攻击的代码元素。

删除 SBOM(软件材料清单)

虽然云供应链安全可能很复杂,但它也提供了简化的机会。对于云原生应用,几乎总是使用容器,这为企业提供了一种更简单的方法来实际跟踪应用中的内容。

软件材料清单 (SBOM) 的概念通过容器进行了简化,因为它们具有声明性。用户可以查看容器内的货物清单,并逐行了解容器中的内容。

SBOM 将逐渐成为软件供应链的一部分,这在一定程度上要归功于 14028 号行政命令,此命令要求美国政府供应商使用 SBOM。

保护云供应链的建议

考虑到所有不同的层、组件和来源,云供应链可能很复杂。虽然复杂,但云供应链安全可以通过四步战略方法进行管理:

第 1 步:确定战略
关键的第一步是概述云供应链的总体战略,从左移方法开始。左移的概念就是在进程的早期阶段移动安全性,有时也称为 DevSecOps。该战略 也不需要在大型文件中概述。最初真正需要的只是对愿景、角色和责任的概述。从这里开始随着时间的推移迭代。

第 2 步:了解创建软件的位置和方法
这一步可能需要您进行深入研究,了解在企业中创建软件的位置和方式。实际上,了解外部信息,记录软件如何从开发人员的笔记本电脑一路传送至生产云环境。

第 3 步:识别并实施安全质量护栏
长期以来,在传统的制造过程中,质量控制一直是运营的一部分。然而,对于云应用而言,情况并非总是如此。需要做的是,在软件创建的过程中,确定企业可以在哪些位置进行主动检查。良好的安全控制需要包括尽可能多的自动化,以作为手动代码审核工作的补充,这些工作不会自行扩展。

第 4 步:考虑认证
虽然前三个步骤是关于在企业正在开发的应用中构建安全性,但是还需要验证应用及其正在使用的云基础架构。在这一领域,认证可以发挥作用。大型云提供商通常有一系列第三方证明和认证。其中最常见的是 SOC2 Typ IIISO 27001,它们确定了提供商如何实施自己的安全控制并对它们进行独立验证。

对于了解供应商如何系统地检查和评估风险,获得这些认证很重要。之所以重要,是因为随着您开始扩展云的使用,提供商现在成为了您公司的 直接延伸。

上述步骤可以帮助安全领导者将其企业引导到一条坚实的道路上,这条道路不仅能够实现安全性左移,而且能使安全性与发展具有同等重要的意义。鉴于企业对云和云原生应用的依赖日益增加,现在正是实施云供应链安全战略的最佳时机。