事實證明,雲原生世界中的安全問題看起來很像其他技術生態系統中讓從業者徹夜難眠的問題。
企業零信任安全的實施、供應鏈漏洞、量子計算對密碼學的威脅,以及 OpenAI LLC 的 ChatGPT 等強大人工智能引擎的興起,都是雲原生安全人員最擔心的問題。 圍繞持續的開源安全漏洞的其他擔憂描繪了雲原生作為一個受到不斷升級的攻擊的社區的整體圖景。
威脅行為者遵循計算世界中的增長向量,而云原生正處於上升趨勢。 在接下來的兩年內,Gartner 已經 估計的 95% 的新數字工作負載將部署在雲原生平台上。 保護這一基礎設施的需求將是最重要的,這就是為什麼雲原生安全社區現在正在積極評估最嚴重風險所在的位置。
“每個人都在成為雲原生開發者,” 普里揚卡夏爾馬 雲原生計算基金會執行董事兼總經理(如圖)在就職典禮上的主題演講中說 CloudNativeSecurityCon 週三在西雅圖。 (來自 SiliconANGLE Media 的視頻工作室 CUBE 對該活動的更多報導是 在這裡可用.) “我們對各地的組織和企業都至關重要。 雲安全方面的教訓具有持久力。”
對 ChatGPT 的擔憂
這些經驗教訓需要持久的影響,因為機器正變得越來越智能。 OpenAI 的機器學習模型 ChatGPT 標誌著人工智能新時代的到來,在這個時代,強大的開源自動化工具已經很容易獲得,並且更容易被大眾使用。
雲原生安全社區擔心 ChatGPT。 在周三的會議上,OpenSSF 總經理 布賴恩·貝倫多夫 描述了一系列問題,從自動化 長矛捕魚攻擊 在開源項目中使用 AI 生成的對 AI 欺騙貢獻者的回复,這些貢獻者將惡意後門放入源代碼中。 “我們知道人工智能模型可能會被破壞,”Behlendorf 說。
圍繞腐敗可能性的問題伴隨著其他最近的 AI 進步,例如 GitHub 去年發布了名為 Copilot 的 AI 編程工具。 副駕駛 直接在程序員的編輯功能中生成和建議代碼行。 1 月,微軟公司宣布其 Azure OpenAI 服務全面上市,該服務提供了一套服務,其中包括為 Copilot 提供支持的神經網絡 Codex。
安全研究人員對 Copilot 生成可利用代碼的可能性表示擔憂。 一 學習 紐約大學研究人員對 Copilot 的研究發現,該工具有 40% 的時間會生成易受攻擊的代碼。
與此同時,ChatGPT 的使用繼續激增。 根據最近的分析,它已成為 增長最快的應用程序 一直以來。
“房間裡真正的大像是人工智能的興起,特別是大型語言模型,” 馬特賈維斯Snyk Inc. 開發者關係總監週四表示。 “數百萬人一直在試用 ChatGPT。 該領域的發展速度快得令人難以置信。 很明顯,它將推動巨大的變革。”
開源漏洞
開源社區依賴於一組廣泛使用的協作平台來構建新項目和增強現有項目。 這延伸到 GitHub 等空間,最近幾週披露了多起著名的黑客攻擊事件。 在過去 60 天裡,Slack 員工代幣 偷來的Okta Inc. 在 GitHub 上的源代碼是 被黑了 和 Dropbox Inc. 披露了 違反 在惡意行為者竊取了 130 個 GitHub 存儲庫之後。
“人們仍在將憑據檢查到 GitHub,” 馬特·克萊恩,Lyft Inc. 的軟件工程師和開源項目 Envoy 的創建者,在 Tetrate Inc. 主辦的會議小組討論中說,“到 2023 年,這仍然是一個主要問題。”
最近最著名的開源黑客攻擊之一涉及 PyTorch 機器學習框架的損壞。 去年 12 月,PyTorch 開發人員在託管第三方 AI 開發工具擴展的服務中發現了安全漏洞。
據信,該惡意擴展程序已被開源用戶下載超過 2,300 次。 “攻擊者濫用信任關係,以便將他們自己的代碼放入 PyTorch,” 瑪雅萊文,Sysdig Inc. 的產品經理,在會議上的演講中說。 “我們還不知道這意味著什麼。”
PyTorch 黑客攻擊說明了為什麼軟件供應鏈中的腐敗仍然是企業 IT 圈中令人不安的問題。 只花了 幾個小時 讓惡意行為者在研究人員之後開始發起攻擊 發布細節 2021 年 12 月發現了 Log4j 漏洞。Sonatype Inc. 製作了一個 學習 去年,軟件供應鏈攻擊在過去三年中平均每年增長 700%。
對於最初建立在信任基礎上的軟件供應鏈,現在出現了新的工具來降低風險。 其中包括 Tekton Chains(Kubernetes Tekton CI/CD 管道的安全子系統)和 Sigstore(一種自動對軟件元素進行數字簽名和驗證的工具)。
Sigstore 的原型在 Red Hat Inc.,是該公司供應鏈信任和安全戰略的基石。 夥伴 在 Sigstore 項目上與 Red Hat 合作的公司包括 Google LLC、Hewlett Packard Enterprise Co.、VMware Inc. 和 Cisco Systems Inc.。
“為了全面實施軟件供應鏈安全,您必須攜手合作,” 艾美艾德Red Hat 產品安全供應鏈高級經理週四表示。 “只有當我們使用這種合作方式時,我們才在 Red Hat 取得成功。 你要圍繞風險傳達信息。”
零信任和量子
雲原生安全社區的主要部門採用的一種將風險降至最低的方法是實施零信任實踐。 據稱,這種方法要求在授予系統訪問權限之前對所有用戶進行身份驗證,可有效降低網絡安全風險 一些研究.
然而,零信任也成為組織內部摩擦的根源,因為安全研究人員努力控制對他們從未構建過的關鍵業務應用程序的訪問。
“對我來說,零信任是消除隱含的信任並成為有意的,” 凱爾西·海托華,谷歌的開發者倡導者,週三表示。 “我們試圖將這些硬殼包裹在所有應用程序中。 大多數安全專家不知道這些應用程序在做什麼。 我們最終試圖保護我們不了解的東西。”
人工智能、供應鏈、開源和零信任是安全社區當前關注的領域,但它們並不是唯一的問題。 雲原生安全研究人員也開始警惕量子計算及其對公鑰密碼學的未來影響。
令人擔憂的是,量子機器最終可能會超越傳統計算機的性能限制。 這增加了量子計算機最終繞過數據加密算法的可能性,從而造成巨大的安全漏洞。
技術行業已經在構建應對這種威脅的解決方案。 11 月,Alphabet Inc. 孵化的初創公司 SandboxAQ 獲得一份合同,協助美國空軍實施後量子密碼學。 上個月,QuSecure Inc. 揭幕 它稱之為業界首個量子安全編排,用於使用抗量子連接保護任何網站或移動應用程序上的加密私人數據。
“技術變革的周期非常快,而且只會越來越快,”Snyk 的賈維斯說。 “我們正在尋找我們可以信任的東西。”
照片:Mark Albertson/SiliconANGLE
加入我們的 Cube 俱樂部和 Cube 活動專家社區,表達您對我們使命的支持。 加入包括 Amazon Web Services 和 Amazon.com 首席執行官 Andy Jassy、Dell Technologies 創始人兼首席執行官 Michael Dell、英特爾首席執行官 Pat Gelsinger 以及更多名人和專家在內的社區。