开源与网络安全:从预防到恢复
by Canonical on 20 December 2022
您刚安装了最新的防病毒软件,并且启用了全新的防火墙。您认为您的组织现在彻底安全、无懈可击了,对吗?
但现实是,世界上没有任何一款安全产品能够充分保护您的数据中心或企业免受安全威胁。由于攻击者和企业之间存在不对称问题,网络安全将是一个永远无法解决、始终都会存在的问题。应对这一问题的关键在于,要认识到,健全基础架构的构建之路是一个漫长且无止境的旅程。
那么,好的网络安全策略应该是什么样的呢?Canonical 虽不是网络安全供应商,但我们的任务同样是确保世界各地无数的组织免遭潜在攻击。我们处在软件供应链的第一个环节,我们非常重视这个角色。
本篇文章中将介绍不同的安全考虑因素如何帮助我们塑造设计产品的思路,以及在针对开源环境制定网络安全策略时应该考虑哪些因素。
预防即最好的治疗……
正如荷兰哲学家德西德里乌斯·伊拉斯谟在 1500 年提出的理论,比起专注于治疗,专注于预防的成本更低且效率更高。新冠肺炎疫情也向我们印证了这一点。这一原则同样适用于网络安全。
安全运营团队往往人手和资源双匮乏,因此对他们而言,重要的是将注意力集中在扑灭大火上,而不是观察烟雾信号、确定火灾发生在何处。要做到这一点,最好的办法是构建健康、有弹性且无漏洞的系统。而实际上,实现始终如一的加固和安全补丁策略对于 IT 团队来说是最困难的事情之一,对于小型团队而言尤其如此。
Canonical 认为,安全补丁和加固策略不应该只是经验丰富、资金充足的 IT 团队所专属。因此,我们特地推出了 Ubuntu Pro,让更多人获得安全支持。Ubuntu Pro 为所有 Ubuntu Universe 资源库中的软件包、实时内核补丁(live kernel patching)、加固自动化工具等,提供持续 10 年的安全更新。
需要注重预防的远远不止操作系统:Canonical Kubernetes 和 Microk8s 均默认实现 Center For Internet Security (CIS) 加固配置文件。与此同时,我们正在研发 ROCKs 镜像,即攻击面尽可能最小化的最小加固型容器镜像。
我们应谨记一个原则,高高的城墙和深深的护城河并不能确保城池永久安全。然而,在一个大多数公司都敞开大门、无人值守的世界里,确立稳固的加固和安全补丁策略可以有力地阻止普通的、简单的威胁行为者轻易入侵您的系统。
……检测、响应和恢复同样重要!
当攻击者入侵时会发生什么?我们知道,即使是最复杂的管控措施最终也可能会失败,因此,当攻击者入侵时,确保威胁得到遏制并尽快恢复操作至关重要。
我们与领先的安全供应商合作,尽一切力量帮助您应对检测和响应挑战,并且构建了 software operators,帮助您解决难题,实现跨越最热门开源应用程序的常见操作自动化。
从 Tenable Nessus 等漏洞管理平台到 Microsoft Defender 等恶意软件检测系统,再到 Aqua Security Canonical 等基础架构安全工具,这些产品与领先的网络安全供应商长期保持合作,这样能够确保他们了解各系统的内部工作原理(因而能够很好地区分正常和意外行为),并且熟知所有可用的补丁和漏洞。
重建基础架构往往是基础架构遭到破坏后最大的一项挑战。运行方面的知识通常集中在少数关键人员身上,而且所涉及的大量人为操作步骤意味着过程耗时长且会导致不一致的结果。利用 Juju 和 charmed operators,管理员可以取回对环境的掌控权。Charms 不仅可以让您轻松重新部署复杂的系统,还可以让您轻松管理所有的第二日操作,如备份、扩展和恢复。将运行知识编写到软件中还意味着需要访问环境的管理员更少,这样可以有效地减少攻击面,提高安全性。
记住,安全失于集成
在数学中,1 + 1 总是等于 2,然而在网络安全方面并非如此。将两款单独的安全的产品组合在一起并不能保证系统安全。同样地,如果一款产品存在漏洞,这并不意味着组合后的系统就会被攻破。
企业组织和网络安全从业者在谈论其产品的安全功能时,常常会稍显惭愧,这些产品仿佛是孤立存在的或是部署在干净全新的环境中。然而,事实却大相径庭:所有新的基础架构都需要与遗留系统、过时系统等许多其他系统共存并集成。唯一可行的办法就是深度防御。
Canonical 将这一需求视为重中之重:我们打造了一款纵向集成的产品,涵盖从您在裸机上部署的操作系统、到容器镜像、再到使用 Juju 实现应用程序自动化的一切内容。在测试安全性和可靠性时,我们不仅要确保产品本身性能良好,还要确保不同产品一起部署时能够更好地工作。
我们也意识到,任何公司完全基于 Canonical 的产品运行其所有基础架构是不现实的。因此我们将基础架构堆栈视为一个巨大的积木塔。如果从顶部移走一块积木,其他的一些积木可能会掉落。但是,如果尝试从底部移除一块积木,整个塔倒塌的几率就会成倍增加。一切事物都是相互关联的,我们也因此在基础架构、容器和操作系统层面大举投入,降低问题蔓延到堆栈多个层面的可能性。
想要了解关于开源安全的更多信息?
如果您想了解关于该主题的更多信息,您可以观看下方网络研讨会视频(英文讲者,总长 21 分钟)。視頻中探討:
- 希望采用开源软件的公司所面临的安全挑战
- 为什么公司需要采用纵深防御(defence in depth)保护基础架构
- Canonical 如何在内部实践、以及设计产品时解决这些问题
也欢迎随时联系我们,了解关于 Canonical 产品安全功能、以及它们如何帮助实现您的网络安全策略。
订阅博客文章
查看更多内容
《网络弹性法案,CRA》对物联网制造商而言意味着什么
欧盟《网络弹性法案》即将施行。之前的博客中已经深入讨论过即将施行的这一法规,公司网站和福布斯技术委员会的早期文章中介绍了该法案的背景和规定,后期的文章中则探讨了它对使用开源的企业意味着什么(您也可以在《福布斯》阅读)。不过,留给设备和软件达到该法案中网络安全新要求的时间越来越少了,笔者想要讨论一下应该如何完善您的设备设计和网络安全基础。在本篇博客中,笔者将介绍网络安全的蓝图,并概述如果是物联网或设备制造商,您应该做些什么来达到 CRA 规定的要求。 设备制造商如何为 CRA 做好准备 大体而言,CRA 所涉及的是所有设备制造商和开发商都应该关注的几个关键领域。其中包括: 当然,像“提高设备安全性”这样的概念似乎让人无所适从。您会从哪里开始呢?那么,作为第一步,笔者强烈 […]
Ubuntu Linux 为什么成为金融服务领域取代 CentOS 的首选?
金融服务由技术驱动。而客户体验越来越多地由数据驱动,通过定制产品和服务可以体现出个人行为和偏好。所有这一切都建立在安全稳定的技术基础之上,只有这样的基础才可以提供敏捷性和灵活性,以适应客户需求的同时保持合规性。 使用 CentOS 作为创新基础的金融服务机构见证了 CentOS 8 于 2021 年退出,随后是 CentOS 7 于 2024 年 6 月退出。不过,最近的一项研究显示,各行业近四分之一的企业组织仍在使用 CentOS。 听起来是不是很耳熟?众所周知,金融机构在进行重大技术变革时是最谨慎的。考虑到金融业务的敏感性,这也就可以理解了。事实上,尽管过渡到云已成为一种成熟的方案,但仍有 60% 的金融机构表示,他们采用的传统技术堆栈成本过高且存在不足。与所有传 […]
首席信息安全官对欧盟《网络弹性法案》的全面解析
强有力的、影响广泛的监管政策可以为社会提供安全保障,但也可能带来不确定性。事实证明,《网络弹性法案》(Cyber Resilience Act,CRA)也并不例外。在开源领域乃至更广泛的技术领域,人们对该法案的推行一直有着各种不同的反应——或是担忧,或是焦虑,或是充满希望。 但哪些方面会让人担心呢?CRA 真的会给开源领域带来变化吗?您的团队应该如何针对这项法规做好准备?在本文中,笔者将深入探讨 CRA 及其目的、要求和对开源领域的影响,并就对于 CRA 的准备给出个人的网络安全建议。 什么是《网络弹性法案》(CRA)? CRA 是欧盟即将出台的一项法规,旨在通过对欧盟 IT 行业实施更严格的网络安全、文档和漏洞报告要求,提高设备安全性。该法规将适用于硬件、设备、软件、 […]