利用基础设施即代码检测云环境的配置代码中的漏洞的制作方法

本公开总体上涉及网络安全，尤其涉及利用基础设施即代码的虚拟实例的改进扫描。

背景技术：

1、随着用户将数据储存、处理和管理任务迁移到去中心化的异地设备、平台和服务，这样的设备、平台和服务(也称为云环境、平台等)的局限性可能会影响用户的数据操作。具体而言，云部署的资源和进程中的漏洞可能会带来需要补救的独特挑战。由于云系统的规模和结构，工作负载漏洞的检测(可以在非云部署中容易提供的检测)可能需要大量复杂的工具和操作。

2、当前云工作负载漏洞扫描挑战的解决方案需要部署专门的工具，包括用于维护虚拟机(virtual machine,vm)的扫描代理，其中，这样的工具的操作和维护可能成本高昂、耗时或两者兼而有之。依赖于代理的进程无法提供对容器(例如使用管理的容器以及其他的类似于容器管理平台)的扫描，并且可能无法提供无服务器应用的覆盖范围。如果这样的代理实现的进程无法提供完整的云工作负载漏洞扫描，则其他方法(例如基于快照的扫描)可以补充已实现的解决方案。

3、基于快照的扫描，其中，进程、服务、数据等的静态“快照”在与源环境分离的环境中进行分析，提供了无代理扫描。基于快照的扫描应用于包括计算机取证在内的各个领域，以提供对除收集快照的位置或环境之外的位置和环境中的服务、进程、数据等的分析、以及回顾性分析。然而，基于快照的扫描在多租户系统(例如共享云平台)中的适用性有限，因为云租户可能希望在快照生成、传输和分析期间获得高级别的数据保护。此外，基于快照的扫描方法以及混合方法(包括代理实现的方法和基于快照的方法)可能不适用于某些云系统结构和环境，这些结构和环境可能包括各种对象、进程等，这样的方法可能无法被配置为进行处理，因为例如这样的处理可能需要对无服务器应用的应用编程接口(applicationprogramming interface,api)，容器存储库和vm快照进行单独分析，而现有解决方案无法提供这样的集成功能。

4、使问题更加复杂的是利用基础设施即代码(infrastructure as code,iac)系统的云环境的部署。虽然旨在减少部署云环境时的人为错误，但原始配置代码与生产环境的当前状态之间经常存在偏差。例如，由于不同的团队在开发环境(配置代码)和生产环境(已部署的实例)上工作，可能会出现复杂情况。checkov和accurics等当前工具允许扫描错误配置和策略违规，但仅限于扫描配置代码。ci/cd(连续集成(continuous integration)/连续部署(continuous deployment))和漂移配置意味着扫描配置代码并不总是足以准确了解当前存在威胁和漏洞的位置，因为这是一个移动目标。

5、很明显，提供一种能够以改进和高效的方式扫描漏洞的解决方案是有利的。

6、此外，因此，提供一种能够克服上述挑战的解决方案是有利的。

技术实现思路

1、以下是本公开的几个示例实施例的概述。提供本概述是为了方便读者提供对这样的实施例的基本理解，并且并不完全限定本公开的广度。本概述不是所有预期实施例的广泛概况，并且既不旨在识别所有实施例的关键或至关重要的元素，也不旨在描绘任何或所有方面的范围。其唯一目的是以简化的形式呈现一个或更多个实施例的一些概念，作为稍后呈现的更详细描述的前奏。为了方便起见，术语“一些实施例”或“某些实施例”可在本文中用于指代本公开的单个实施例或多个实施例。

2、本文公开的某些实施例包括一种用于检测在云计算环境中部署实例的配置代码内的易受攻击代码对象的方法。该方法包括：访问配置代码，配置代码包括多个代码对象，多个代码对象中的每个代码对象对应于可部署的虚拟实例；查询安全图以检测具有与从多个代码对象中的第一代码对象提取的值相匹配的属性值的节点，其中，安全图包括云计算环境的表示；以及响应于确定所检测到的节点与网络安全问题相关联而生成缓解动作。

3、本文公开的某些实施例还包括一种其上存储有使得处理电路执行进程的非暂时性计算机可读介质，该进程包括：访问配置代码，该配置代码包括多个代码对象，多个代码对象中的每个代码对象对应于可部署的虚拟实例；查询安全图以检测具有与从多个代码对象中的第一代码对象提取的值相匹配的属性值的节点，其中，安全图包括云计算环境的表示；以及响应于确定所检测到的节点与网络安全问题相关联而生成缓解动作。

4、本文公开的某些实施例还包括一种用于检测在云计算环境中部署实例的配置代码内的易受攻击代码对象的系统。该系统包括：处理电路；以及存储器，存储器包含指令，指令在由处理电路执行时将系统配置为：访问配置代码，配置代码包括多个代码对象，多个代码对象中的每个代码对象对应于可部署的虚拟实例；查询安全图以检测具有与从多个代码对象中的第一代码对象提取的值相匹配的属性值的节点，其中，安全图包括云计算环境的表示；以及响应于确定所检测到的节点与网络安全问题相关联而生成缓解动作。

技术特征：

1.一种用于检测在云计算环境中部署实例的配置代码内的易受攻击代码对象的方法，包括：

2.根据权利要求1所述的方法，还包括：

3.根据权利要求1所述的方法，还包括：

4.根据权利要求1所述的方法，还包括：

5.根据权利要求4所述的方法，其中，所述数据字段表示以下中的任意一个：私钥标识符、公钥标识符、策略标识符、用户账户标识符、服务账户标识符、版本标识符和资源类型标识符。

6.根据权利要求1所述的方法，还包括：

7.根据权利要求6所述的方法，其中，所述标识符是以下中的任意一个：用户账户标识符、服务账户标识符、版本标识符和资源类型标识符。

8.根据权利要求1所述的方法，还包括：

9.根据权利要求1所述的方法，其中，所述网络安全风险由所述安全图中的风险节点表示，并且所检测到的节点连接到所述风险节点。

10.一种非暂时性计算机可读介质，其上存储有用于使处理电路执行进程的指令，所述进程包括：

11.一种用于检测在云计算环境中部署实例的配置代码内的易受攻击代码对象的系统，包括：

12.根据权利要求11所述的系统，其中，所述存储器包括进一步的指令，所述进一步的指令在由所述处理电路执行时进一步配置所述系统，以：

13.根据权利要求11所述的系统，其中，所述存储器包括进一步的指令，所述进一步的指令在由所述处理电路执行时进一步配置所述系统，以：

14.根据权利要求11所述的系统，其中，所述存储器包括进一步的指令，所述进一步的指令在由所述处理电路执行时进一步配置所述系统，以：

15.根据权利要求14所述的系统，其中，所述数据字段表示以下中的任意一个：私钥标识符、公钥标识符、策略标识符、用户账户标识符、服务账户标识符、版本标识符和资源类型标识符。

16.根据权利要求11所述的系统，其中，所述存储器包括进一步的指令，所述进一步的指令在由所述处理电路执行时进一步配置所述系统，以：

17.根据权利要求16所述的系统，其中，所述标识符是以下中的任意一个：用户账户标识符、服务账户标识符、版本标识符和资源类型标识符。

18.根据权利要求11所述的系统，其中，所述存储器包括进一步的指令，所述进一步的指令在由所述处理电路执行时进一步配置所述系统，以：

19.根据权利要求11所述的系统，其中，所述网络安全风险由所述安全图中的风险节点表示，并且所检测到的节点连接到所述风险节点。

技术总结公开了一种用于检测在云计算环境中部署实例的配置代码内的易受攻击代码对象的系统和方法。该方法包括：访问配置代码，该配置代码包括多个代码对象，多个代码对象中的每个代码对象对应于可部署的虚拟实例；查询安全图以检测具有与从多个代码对象中的第一代码对象提取的值相匹配的属性值的节点，其中，安全图包括云计算环境的表示；以及响应于确定所检测到的节点与网络安全问题相关联而生成缓解动作。技术研发人员：拉兹·赫兹伯格,亚尼夫·约瑟夫·奥利弗,奥舍尔·哈赞,尼夫·罗伊特·本·戴维,阿米·卢特瓦克,罗伊·雷兹尼克受保护的技术使用者：微兹公司技术研发日：技术公布日：2024/7/29