Pravdepodobne ste už počuli frázu „shift left“. Vo svete DevSecOps je to zlatý štandard. Myšlienka je jednoduchá: nájdite svoje chyby a bezpečnostné diery čo najskôr vo vývojovom cykle, aby ste sa nemuseli ponáhľať s opravou katastrofálneho úniku päť minút pred hlavným produkčným vydaním. Väčšina tímov už má základné veci vyriešené. Majú svoje nástroje Static Analysis (SAST), ktoré skenujú kód na prítomnosť natvrdo zakódovaných hesiel, a svoje nástroje Dynamic Analysis (DAST), ktoré skúmajú webové formuláre.
Ale tu je realita: automatizované skenery sú skvelé na hľadanie „ľahko dostupného ovocia“, ale nemyslia ako ľudský útočník. Skener vám môže povedať, že chýba hlavička alebo je verzia zastaraná, ale nemôže vám povedať, že vaša obchodná logika je chybná. Nemôže si uvedomiť, že ak používateľ zmení user_id v URL z 101 na 102, môže zrazu vidieť súkromné lekárske záznamy niekoho iného. Tu je medzera.
Na skutočné zabezpečenie moderného CI/CD pipeline potrebujete viac než len „kontroly“. Potrebujete spôsob, ako simulovať skutočné útoky na vašu infraštruktúru bez spomalenia rýchlosti nasadenia. Toto je kde prichádza do hry cloudový Penetration Testing. Integráciou bezpečnostných hodnotení na profesionálnej úrovni do vašich cloud-native pracovných postupov sa posúvate za rámec jednoduchej zhody a začínate budovať skutočnú odolnosť.
Prečo konvenčné zabezpečenie zlyháva v cykloch rýchleho nasadzovania
Tradičný spôsob vykonávania Penetration Testing je, úprimne povedané, trochu archaický pre modernú cloudovú éru. Zvyčajne to vyzerá takto: spoločnosť si raz ročne najme firmu, testeri strávia dva týždne skúmaním produkčného prostredia a potom odovzdajú 60-stranovú správu vo formáte PDF. Kým vývojári dočítajú tento PDF, aplikácia sa už zmenila prostredníctvom desiatich rôznych sprintových cyklov. Správa je historický dokument, nie plán pre súčasné zabezpečenie.
V prostredí CI/CD sa kód pohybuje príliš rýchlo na ročný „snímok“. Keď nasadzujete viackrát denne, zraniteľnosť zavedená v utorok môže byť zneužitá v stredu, zatiaľ čo váš ďalší plánovaný Penetration Test je až v novembri.
Problém „únavy zo skenerov“
Mnohé tímy sa to snažia vyriešiť nahromadením ďalších automatizovaných nástrojov. To však často vedie k „únave z upozornení“. Keď váš pipeline kričí o 400 „stredných“ zraniteľnostiach – z ktorých väčšina sú False Positives alebo nie sú skutočne dosiahnuteľné vo vašom konkrétnom prostredí – vývojári začnú úplne ignorovať bezpečnostné upozornenia. Považujú bezpečnostnú bránu za prekážku, ktorú treba obísť, a nie za bezpečnostné opatrenie.
Medzera medzi kódom a infraštruktúrou
Štandardné bezpečnostné nástroje sa často zameriavajú buď na kód (SAST) alebo na spustenú aplikáciu (DAST), ale chýba im „lepidlo“ medzi nimi. V cloudovom prostredí je riziko často inde.