云原生应用程序安全中的新兴威胁

云原生技术让组织能够在现代 IT 环境中构建和运行可扩展的应用程序。云应用程序通常包含需要强大安全措施的各种组件。容器、服务网格、微服务、基础设施和 API 是这种设计和构建软件方法的元素。但是，组织应采用全面的安全解决方案，这些解决方案可以全面了解安全风险，并能提供可操作的见解以有效缓解问题。

HCL AppScan 360º 是一款功能强大的应用程序安全解决方案，可提供漏洞和安全风险的可见性，并提供集成的测试和补救解决方案。它解决了各种环境中的挑战，包括云原生、本地和混合应用程序，并具有 AI 驱动的功能，可实现实时风险管理、合规性执行和增强检测。

为了应对安全挑战并实施最佳实践，基于现代统一架构构建的云原生应用安全平台是理想之选。HCL AppScan 360º 快速而准确，提供集成到软件生命周期 (SDLC) 每个阶段的敏捷应用安全测试，可尽早发现和修复软件问题，从而降低发生安全事故的风险。

本博客将讨论云原生应用程序和云安全的最新实践，并重点介绍 2025 年需要考虑的一些未来趋势。

了解云原生应用程序

云原生应用采用革命性的方法，利用云计算的潜力来满足不断变化的业务需求。云服务提供商 (CSP) 在管理云层基础设施安全方面发挥着重要作用，凸显了网络安全的共享责任模式。根据研究《云演进 2024：现代化的使命》，78% 的组织同意基于云的应用具有灵活性、弹性和可扩展性。HCL AppScan 360º 专注于云原生拓扑和方法，包括 API 加速、安全集成、低代码敏捷性和与 AI 的集成。

微服务：小型、独立的软件组件协同工作以形成云原生应用程序，带来稳定性、处理组件故障并优雅地扩展。

容器化：允许开发人员将应用程序代码和依赖项打包成轻量级的独立元素。容器可以在任何基础设施上一致运行，而且由于其轻量级，通常可以更高效地利用资源。

持续交付：在环境中自动部署代码变更，以进行持续测试和签核。简化的 SDLC 可提高构建、测试和发布的速度和频率。

DevOps：改善开发和运营团队之间的协作，帮助实现自动扩展和负载平衡以调整资源并满足需求。

不断演变的云原生安全威胁形势

默认情况下，云原生开发并非不受安全问题影响。它需要通过云原生应用程序安全得到良好保护。组织应该注意的一些云安全新兴威胁包括：

• 云服务和基础设施配置错误仍然是一个主要问题。存储桶、数据库和服务器实例等云资源可能会使组织的敏感数据遭受未经授权的访问。

• 云原生攻击越来越多地针对云原生技术和服务，例如容器、无服务器计算和编排平台，并利用它们作为发起容器逃逸、无服务器功能注入和 Kubernetes 集群入侵等攻击的基础。

• 针对云应用程序的零日漏洞可以绕过传统的安全控制并导致未经授权的访问或数据泄露。

组织需要能够降低威胁风险并适应新威胁的云原生应用安全解决方案。优先考虑扫描准确性并具备成熟 AI 功能的技术可以提供更快的扫描覆盖范围并减少误报，因此开发人员和安全团队可以精确定位、优先处理和修复最关键的安全漏洞。

2025 年云原生开发的未来趋势

当应用程序单一且静态时，其效率会下降。借助云原生技术，应用程序可以更迅速地响应市场变化，并更好地与其他系统集成。随着我们进入 2025 年，几种趋势将塑造云原生开发。

• 转向 DevOps 中的安全性，实现网络安全自动化并在整个应用生命周期内管理持续集成/持续交付 (CI/CD) 工具链。借助 DevOps 流程中的安全控制，IT 可以从事件响应转向主动加强安全态势。

• 2025 年，随着开发团队越来越容易获得安全工具，应用程序安全有望实现民主化。我们可以预期，人们将更加关注构建安全、合规的应用程序。

• 公司将寻求灵活的应用程序安全解决方案，适用于基于 Kubernetes 的云原生架构构建的自管理、内部部署和私有云部署解决方案。

• 组织将要求其云原生应用安全系统具备全面的风险管理能力。遵守 PCI、DSS、HIPAA、OWASP top 10 等行业标准和基准将成为常态。

• 组织优先考虑能够洞悉安全性能的强大报告工具。到 2025 年，预计将针对检测到的每个漏洞提供更多可操作的修复建议，从而简化分类和修复所需的时间并缩短修复时间。

• 人工智能在安全测试中的应用将提高准确性和效率。组织将确保其在 CI/CD 中的实践，使流程与 DORA（DevOps 研究和评估）和基于结果的服务保持一致，并通过 GenAI 功能实现更好的一致性。

• 无论是本地部署、私有云还是主权云，定制云原生应用部署选项的趋势将使组织能够创建量身定制的独特解决方案。测试结果和安全状态的定制视图以及补救工作进度将结合起来，为企业提供更好的服务。

• 新平台将增强 CI/CD 流程，使安全性成为持续开发周期的无缝组成部分，并提供动态应用程序安全测试和 SAST（静态分析）功能。

结论

组织应部署全面的云原生应用安全测试套件，以利用云计算环境的固有优势。测试套件应能够轻松与领先的构建环境、DevOps 工具和 IDE 集成，从而在整个软件开发周期中嵌入安全性。所选测试套件应提供顺畅的云原生应用安全测试能力，其 API 应允许定制自动化和“开箱即用”插件。