DevSecOps là phương pháp chính để bảo mật các ứng dụng gốc trên đám mây
Diễn đàn - Ngày đăng : 08:40, 07/10/2019
Bảo mật các ứng dụng gốc trên đám mây
Kết quả của nghiên cứu cũng tiết lộ rằng các lỗ hổng liên quan đến API (Giao diện lập trình ứng dụng) là mối quan tâm hàng đầu (63% số người được hỏi) khi nói đến các tổ chức sử dụng Serverless. Serverless computing - Máy chủ phi điện toán là mô hình thực thi điện toán đám mây trong đó nhà cung cấp đám mây chạy máy chủ và tự động quản lý việc phân bổ tài nguyên máy.
Nhìn chung, nghiên cứu đã phân tích phản hồi từ 371 chuyên gia Công nghệ thông tin và an ninh mạng tại các tổ chức ở Bắc Mỹ chịu trách nhiệm đánh giá, mua sắm và quản lý các sản phẩm và dịch vụ công nghệ bảo mật đám mây.
Các tổ chức này là những người dùng đám mây trưởng thành về các dịch vụ và/hoặc các đám mây công cộng. Những người tham gia khảo sát đại diện cho một loạt các ngành công nghiệp, bao gồm sản xuất, dịch vụ tài chính, chăm sóc sức khỏe, truyền hình và truyền thông, bán lẻ, chính phủ và dịch vụ kinh doanh.
Ông Doug Cahill, nhà phân tích cao cấp và giám đốc thực hành nhóm về an ninh mạng tại ESG cho biết: “Nghiên cứu này tiết lộ rằng trong khi các tổ chức đã bắt đầu, sẽ còn nhiều việc phải làm khi nói đến việc bảo mật các ứng dụng gốc trên đám mây của họ với những lợi ích mà DevSecOps mang lại. Những thay đổi cơ bản của kiến trúc ứng dụng và các nền tảng cơ sở hạ tầng lưu trữ chúng đang chống lại các công nghệ an ninh mạng hiện có, và các phương pháp truyền thống đầy thách thức để bảo vệ khối lượng công việc quan trọng trong kinh doanh”.
Ông cho biết thêm: “Các tổ chức trên thế giới nên xem xét các cách tiếp cận mới hơn để bảo mật các ứng dụng gốc trên đám mây của mình, đặc biệt là các giải pháp giải quyết các lỗ hổng liên quan đến API, điều này nên nằm trong tâm trí của những người phản ứng khi xác định mối quan tâm hàng đầu của họ”.
Những phát hiện quan trọng khác của nghiên cứu bao gồm:
Bảo mật API là lĩnh vực hàng đầu được báo cáo khi đề cập đến những chi phí gia tăng trong hiện tại hoặc dự kiến; và bảo mật API được những người được hỏi báo cáo là vấn đề quan trọng nhất trong số các kiểm soát bảo mật ứng dụng gốc trên đám mây, ở mức 37%.
Theo nghiên cứu, 82% các tổ chức có các nhóm khác nhau được chỉ định để bảo mật các ứng dụng gốc trên đám mây. Trong nhóm này, 50% số người được hỏi cho biết tổ chức của họ có kế hoạch hợp nhất các trách nhiệm này trong tương lai, trong khi 32% số người được báo cáo tổ chức của họ không có kế hoạch hợp nhất các trách nhiệm này.
Hơn một nửa số người được hỏi cho biết tổ chức của họ, các nhà phát triển phần mềm đã sử dụng các chức năng phi máy chủ (serverless) ở một mức độ nào đó, với 44% người được hỏi khác đánh giá hoặc dự định bắt đầu sử dụng serverless trong vòng hai năm tới.
Khi được hỏi về các điều khiển bảo mật ứng dụng gốc quan trọng nhất trong khi triển khai đám mây là gì, 26% người trả lời cho biết đó là vấn đề quét lỗ hổng phần mềm của hình ảnh container đăng ký lưu trú. 25% người trả lời cho biết điều khiển bảo mật ứng dụng gốc quan trọng nhất là quản lý lỗ hổng API.
Theo những người được khảo sát, tính linh hoạt triển khai và hỗ trợ cho tất cả các loại máy chủ và nền tảng tính toán là quan trọng nhất (38% số người được hỏi) khi chỉ ra các thuộc tính quan trọng nhất của sản phẩm được sử dụng để bảo mật ứng dụng gốc trên đám mây.
Doug Dooley, Giám đốc điều hành tại Data Theorem cho biết: “Báo cáo ngành của ESG là phù hợp với những gì chúng ta nghi ngờ từ lâu với các tổ chức và với những gì chúng ta đã chứng kiến trong ngành. Nhiều khối lượng công việc của ngành sản xuất đang chuyển sang các nền tảng đám mây công cộng và các tổ chức đang nhanh chóng áp dụng các chức năng phi máy chủ. Họ cần hiểu các rủi ro liên quan và các mô hình mối đe dọa mới mà họ đang gặp phải, và những phương tiện để giải quyết các rủi ro API và đám mây bản địa này”.