近日,由中国信息通信研究院、中国通信标准化协会主办的2023云原生产业大会在北京顺利举办,悬镜安全“中泰证券云原生DevSecOps敏捷安全建设实践”经过权威专家严格评审,成功荣获2023年度云原生安全优秀案例。
最佳实践
打造云原生DevSecOps敏捷安全治理体系
以容器、微服务、服务网格、声明式API等为代表的云原生技术的深入应用,改变了以往的研发方式:传统瀑布流开发模式逐渐被取代,DevOps敏捷开发成为主流。在云原生架构下,服务数量和关系复杂度几何提升,供应链与漏洞风险成倍放大,核心组件漏洞与缺陷的风险与交付速度之间的冲突加剧,业务应用安全面临严峻挑战。
云原生安全涉及云原生应用安全、云原生计算环境安全以及云原生基础设施安全。其中,云原生应用的构建、交付到运行都是在云原生的环境下进行,云原生应用安全又包含云原生应用开发安全、微服务安全、API安全、Serverless安全等。
在此背景下,中泰证券在内部已构建起一个云原生DevSecOps建设体系,涵盖了云原生应用安全、云原生计算环境安全、云原生基础设施安全。
在云原生应用安全领域,中泰证券主要关注云原生应用生命周期的安全:
(1)在计划阶段进行轻量级威胁建模;在编码构建阶段通过SCA、SAST、DAST等技术工具进行安全测试;
(2)在测试阶段进行IAST交互式安全测试以及渗透测试;在集成和交付阶段,在流水线中嵌入安全合规审计;
(3)在运维阶段进行RASP运行时应用程序自我保护及渗透测试,保护API安全和微服务安全。
中泰证券在已有安全工具的基础上,引入悬镜DevSecOps敏捷安全工具链,涵盖灵脉TMA自动化威胁建模平台、源鉴SCA开源威胁管控平台、灵脉IAST灰盒安全测试平台,构建了适用于自身云原生环境的DevSecOps敏捷安全体系,解决了业务应用如何协同迭代敏捷性和交付安全性的问题,实现了整体安全“左移”。
中泰证券云原生DevSecOps建设方案架构图落地应用
柔性嵌入DevOps敏捷开发生命周期
在实施落地过程中,中泰证券分阶段引入悬镜DevSecOps敏捷安全工具链,柔性融入现有开发流程的计划、编码和测试环节,自动化识别潜在的安全漏洞和风险。
1)计划阶段:引入灵脉TMA自动化威胁建模平台,依托悬镜强大安全知识库,通过AI情景式调研问卷形式开展场景化威胁建模,自动化输出安全需求、安全设计、测试用例等,从源头阶段减少软件弱点与漏洞的出现。
2)编码构建阶段:引入源鉴SCA开源威胁管控平台,基于代码成分溯源引擎、制品成分二进制分析引擎及运行时成分动态追踪引擎三大引擎核心能力,覆盖多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测、二进制检测、容器镜像检测及运行时检测等全场景检测,开展开源软件资产识别梳理、开源组件漏洞检测告警、私服库安全控制,并在流水线中设置门禁卡点,根据审查结果决定是否进行提交部署。
3)测试阶段:引入灵脉IAST灰盒安全测试平台,在流量层面和源码层面进行深度检测,识别Web通用漏洞、业务逻辑缺陷、组件缺陷、服务弱口令等多种风险;同时自动化梳理API资产,跟踪微服务架构下API调用链路,精准定位追溯风险所在的具体应用进程,实现业务应用上线前风险审查,防止应用带病上线。
价值交付
降本增效,构筑云原生应用智适应安全
架构自适应,覆盖云原生特色场景:
云原生架构下,业务应用从传统的单体模式变为微服务解耦模式,从Web请求-响应转为API请求-响应,容器镜像构建了不可变基础设施,传统的DAST等测试工具在覆盖度、检测范围等方面难以适应微服务和容器化带来的挑战。
基于代码疫苗技术插桩的机制原理,悬镜灵脉IAST灰盒安全测试平台能对云原生应用框架下的API、微服务和分布式框架提供检测,深度挖掘API影子资产、API调用链路等;源鉴SCA开源威胁管控平台则可以识别混源开发模式下引入的第三方开源组件,扫描容器镜像、二进制、源码文件存在的安全风险并预先设置安全卡点,当流水线检测出不符合预先设置的质量卡点,检测报告将返回到开发人员,开发人员依据报告进行快速定位和修复。
一站式自动化检测,提升安全交付效率:
CI/CD流水线及DevOps的引入,使得应用发布周期变短,加速了应用发布流程,限定了安全问题发现和修复的周期。灵脉IAST灰盒安全测试平台将Agent融合进应用中,将安全能力和基础设施绑定,在功能测试时即可同步进行自动化安全测试,整个过程无需增加额外人手;同时灵脉IAST和源鉴SCA均可无缝接入中泰证券蜂鸟效能DevOps平台,快速完成检测上报,并自动将检测结果提交至中泰Bug管理系统中,完美契合中泰云原生DevOps场景下对于安全性和敏捷性融合的要求。
敏捷安全左移,减少修复运营成本:
在SDL开发生命周期内,应用修复成本随着时间指数级增加,而传统安全工具大多在运维侧发生。悬镜云原生DevSecOps敏捷安全治理体系介入应用上线前的各个阶段,将安全活动融入到开发过程中,在不影响研发运营原有工作流程及增加工作量的基础上,上线前即可检出90%的高危风险并提供精确可行的解决方案,从源头解决应用内部风险,降低后期安全修复成本。
悬镜安全始终坚持以技术创新为引擎,深入洞察云原生架构下的安全风险,首创专利级以代码疫苗为核心的云原生DevSecOps智适应敏捷安全治理体系,既能“安全左移”,从开发源头规避掉各种中高危安全风险,进而实现更高效的前置安全治理;又能“敏捷右移”,在云原生时代结合企业数字化业务发展实情和IT进化趋势搭建切实有效的内生积极防御体系,为企业打造全面高效的原生安全免疫力。
+
推荐阅读
关于“悬镜安全”
悬镜安全,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。作为DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。了解更多信息请访问悬镜安全官网:www.xmirror.cn