▶ 你构建的云应用真的安全吗?

随着迈向云端的步伐，企业在为云重新设计的安全工具上投入了大量资金，投资重点通常是云工作负载保护和容器安全工具。此类工具有助于识别已知脆弱依赖，检测错误配置，微分隔工作负载，以及防止偏离已确立的安全基线。但Kubernetes等平台中未修复的漏洞和错误配置一直以来都是攻击者的入口点，可供他们绕过访问控制，在被黑集群上执行恶意代码，以及部署加密货币挖矿机。

Isbitski说道：“很不幸，此类新型云安全工具仍然无法解决很多应用层安全问题。这些工具主要解决的是网络安全和基础设施安全，却将应用安全继续置于脆弱境地。所以，公有云可能是安全的，但这并不意味着你内部构建的应用是安全的。”

▶ 安全可以左移，但也必须右移

左移概念鼓励开发团队将安全过程和工具尽早纳入软件开发生命周期(SDLC)，并传播安全专业技术知识。左移与DevSecOps实践紧密相关，而后者的目标是在设计、构建和部署阶段集成和自动化安全。DevSecOps实践为很多企业带来了丰厚回报，因为采用此实践的企业能够更快速地迭代安全，验证是否从一开始就恰当构建了安全，还能减少SDLC后期修复漏的开支。

然而，企业无法以运行时安全为代价整体左移。开发人员不可能编写出完美代码，也无法在发布窗口期内充分细致地扫描代码，而且扫描器从设计上就是用来发现遵循明确模式的已知漏洞或弱点的。

安全左移从来就不是只意味着“左移”。但是，有利的一面是，左移确实让开发团队能够更快找到并修复大量安全漏洞。

新型攻击和零日漏洞总会出现，生产中的应用也需要保护。很多公司应该不会左移到将运行时安全排除在外。大多数人已经意识到首尾两端均需兼顾了。

▶ WAF和网关无法全面保护API

API是当今现代应用的基础，但只有少数企业真正认识到API的重要性或其呈现的风险水平。API对攻击者的吸引力太大了，以致于承担了与自身体量很不相称的风险，但太多企业假定Web应用防火墙(WAF)和API网关能够充分保护自身API。实际上，这些技术由于固有的设计局限而无法阻止绝大多数类型的API攻击，往往会给企业造成自身API和API驱动的应用很安全的虚假感觉。

API对每个企业而言都很特殊，针对API的真实攻击往往不遵循已知漏洞的明确模式。对抗这类安全风险需要运行时安全，运行时安全才能够持续学习API行为并尽早阻止攻击者，无论攻击者所用的攻击技术是哪种。

安全团队需利用WAF或API网关之外的技术解决API安全问题。