容器云新挑战「浮现」
风云变幻的2021年即将过去,供应链危机也成为这一年中最令人深刻印象的现实问题之一。数百艘集装箱船在港口滞留,商品迟迟无法送达,甚至某些重要的民生物资也出现了短缺。总之,市场需求已经全面超过了供给。
虽然供应紧张为华尔街带来了梦寐以求的高销售与高利润,但一个不为人知的威胁仍在阴影中若隐若现,甚至开始在整个云系统环境中显现。没错,云系统也拥有自己的供应链;在构建虚拟化的过程中、在虚拟化层上创建云容器时,必然需要一整套代码与软件供应链作为企业日常基础设施的组成部分。
最近,Unit 42发布的一份报告显示:
● 96%的第三方容器应用中包含已知安全漏洞
● 云基础设施之内,63%的第三方代码中包含不安全配置
安全漏洞时隐时现
目前,这些风险状况尚且处于早期阶段。但近期报告显示,风险无处不在且几乎不受控制。这些风险身处信任体系的核心,如同威力巨大的火药桶般随时可能转化为呈指数级扩散的实际影响。作为供应链的上游,容器环境更多地面向应用程序核心,一旦某次功能更新中出现了哪怕是极小的漏洞,问题范围也会快速扩展,给各种数据类型乃至软件本身的完整性造成现实威胁。
无论是令美国东海岸瘫痪多日的科洛尼管道公司黑客事件、还是威胁居民餐桌的JBS肉类包装厂遇袭,都应成为我们认真关注的供应链风险向量。必须接受新的现实是:在容器技术的影响下,我们正毫不自知地将遗留软件及隐患纳入新结构、新部署中。但这种风险难以检测,而且会威胁到整个DevOps部署环境与业务管道。而应对这类风险状况的一大前提,就是加强技术供应链漏洞的关注与分析能力。
重回网络战场
信息技术必须重新回归对软件基础的分析、监控与保护。只有对整个部署流程中的每一个入口与出口进行认真评估、彻底审查、持续验证和监控,才有望克服这个潜在难题。
具体而言,IT部门需要在风险环境中做到:
● 如同拆解乐高积木般剖析应用程序与基础设施集合,逐一进行溯源、记录并根据需要采取行动。
● 着手推出自定义镜像与容器。
● 警惕第三方代码,包括市面上交付的各类虚拟机与云端镜像。
如今,DevOps已经成为新的运营常态,而各类企业也需要在这样的新常态下、对整个组织内的软件安全供应链做出深刻判断。就在一年之前,SolarWinds违规事件中出现了身份不明的攻击者,对方显然是打算借SolarWinds产品能够管理并直接访问客户基础设施的机会发动攻势。在信任的保护伞下,这类攻击有可能渗透进数以千计的第三方基础设施之内。
授信软件沦为攻击诱饵
毫无疑问,利用SolarWinds这类第三方软件入侵企业用户群体的尝试让攻击者们发现了新可乘之机,这群网络犯罪分子们意识到授信软件源将成为他们通往受害者的捷径。而一旦更多授信第三方或企业软件源遭到劫持,也必然产生更多灾难性的影响。
这个问题现实、严峻而且即将出现,这需要各方付出巨大努力有望克服。