云基础设施安全合规日益重要,需尽早将安全嵌入 IaC 管道,采用 PaC 和 GaC 实践。多云环境增加复杂性,需主动监控和修复配置错误。利用 OPA、Checkov 等 PaC 框架及 AI 驱动分析,实现大规模合规,充分发挥 IaC 潜力。
译自:Governance as Code: Your Infrastructure's Missing Guardrail
作者:Ido Neeman
随着组织不断扩展其云基础设施,安全和合规性已日益与基础设施运营交织在一起。最新的2025年代码即基础设施状态报告证实了一个令人担忧但可预测的趋势:尽管安全和合规性风险随着云复杂性的增加而增长,但许多团队仍未将正式的治理和合规性整合到其基础设施管理流程中。这种疏忽使基础设施容易受到可预防的漏洞、代价高昂的停机时间和违反合规性的影响。
然而,有一条明确的前进道路。
通过将安全性、合规性和治理直接嵌入到代码即基础设施 (IaC) 管道中——通过称为策略即代码 (PaC)和代码即治理 (GaC)的实践——组织可以主动降低风险、提高运营一致性并简化法规遵从性,而不会牺牲敏捷性。
根据 2025 年的报告,现在有 68% 的组织跨多个云运营。这种日益增长的复杂性不仅创造了更多配置错误的机会,而且还引入了一个全新的难度层。每个云提供商都有自己的运营模式、API 界面、安全原语和策略结构。对 AWS 有意义的防护栏可能无法完全映射到 Google Cloud Platform (GCP) 或 Microsoft Azure。
与云前时代(配置管理工具在相同的服务器上强制执行统一性)不同,当今的基础设施本质上是异构的。因此,建立一致的安全和合规性基线变得异常困难。事实上,61% 的受访者认为安全和合规性风险正在随着其云规模的扩大而升级。数据表明存在脱节:虽然风险在增加,但正式的治理框架仍然不发达或应用不一致。
2025 年的报告显示,对于大多数组织而言,漂移检测在很大程度上仍然是被动的,只有不到三分之一的组织在主动监控和修复正在发生的错误配置。令人震惊的是,17% 的人承认没有正式的漂移检测流程,另有 53% 的人仅在漂移导致问题时或仅通过临时检查才被动地解决漂移问题。
在多云环境中,这个问题只会加剧——每个云提供商都引入了自己的 API、配置格式和操作假设,这使得维护统一的检测策略变得困难。如果没有与云无关的工具,团队通常被迫为每个平台构建和维护单独的流程,从而增加工作量和风险。像 Firefly 这样的平台通过在所有主要云中提供实时、统一的漂移检测来解决这种复杂性,帮助团队在差异升级之前识别和解决它们。
这种日益增长的运营复杂性——尤其是在多云环境中——使得主动治理不仅仅是一种锦上添花。在部署后检测错误配置或在系统已经不同步后识别漂移是不够的。为了保持领先地位,组织正在生命周期的早期嵌入预防性防护栏:使用 PaC 在代码级别强制执行安全和合规性规则,并使用 GaC 来调整跨团队和云的更广泛的基础设施实践。
PaC 框架(例如 Open Policy Agent (OPA)、Checkov 或 Sentinel)使团队能够直接在其 IaC 管道中定义和嵌入合规性检查。
基础设施配置可以在部署之前根据这些策略自动进行验证,从而及早发现问题并减少人工干预。例如,策略可以要求默认情况下加密每个 S3 存储桶,强制执行用于成本跟踪的标记,或确保配置满足特定的法规要求,如 GDPR 或 HIPAA。违规行为会在代码审查或 CI/CD 执行期间实时标记,从而帮助团队在不减慢交付速度的情况下强制执行安全性和合规性。
可观测性是云原生架构的关键支柱。
当 PaC 负责单个配置的正确性时,GaC 在更广泛的组织层面运作,定义了如何在团队、环境和云提供商之间构建、部署和管理基础设施。根据 2025 年的报告,改进环境一致性被 27% 的受访者列为 IaC 的首要优势,但许多团队在实践中仍然未能实现这一目标。
GaC 强制执行命名约定、标签策略、网络边界和资源所有权规则等标准,确保基础设施保持可预测、合规并符合内部和外部要求。通过对这些高级规则进行编码,组织无需进行手动审计或部署后更正。不符合治理标准的基础设施根本无法通过规划阶段,从而帮助团队避免代价高昂的偏差,并保持对部署过程的信任。
PaC 和 GaC 共同构成了一个分层控制模型,使团队能够构建默认情况下安全、合规且在运营上一致的基础设施,而无需考虑云提供商或团队规模。
认识到日益增长的安全风险与主动解决这些风险之间的差距仍然很大。
为什么?
部分挑战在于将策略执行集成到自动化管道中的复杂性。组织通常担心额外的安全和合规性检查会减慢部署周期或增加开发人员体验的摩擦。
为了克服这些挑战,鼓励组织采用增量、迭代的方法来嵌入安全和合规性检查。从基本策略开始——例如确保资源具有所需的标签、加密设置或受限的访问级别——有助于建立信心。随着时间的推移,逐步添加更复杂的治理规则可以进一步增强安全态势,而不会让团队感到不知所措。
根据该报告,自动化优先的管道已成为行业标准,约 59% 的受访者采用了 CI/CD 或 GitOps 工作流程。将策略和治理嵌入到这些自动化管道中,可确保合规性检查持续、一致和透明地运行,从而消除手动瓶颈并减少人为错误。
AI 驱动的功能也为进一步简化合规性和治理带来了希望。尽管目前只有 17% 的受访者在云运营中使用 AI,但 41% 的受访者正在积极探索 AI 解决方案。团队可以利用 AI 驱动的分析来执行诸如识别策略违规或智能地实时修复配置漂移之类的任务,从而进一步加强其整体治理态势。
IaC 的采用显然已成为主流 (89%),但只有 6% 的团队在代码中定义了 100% 的基础设施覆盖率。为了实现完全覆盖并获得最大的 IaC 优势,组织必须优先考虑安全性和合规性,以及自动化和效率。将策略和治理检查嵌入到基础设施管道中不仅仅是最佳实践,而且越来越重要。
领先的团队已经看到了好处:更少的配置错误、改进的合规性态势、更快的审计周期以及业务利益相关者的整体更大信任。将合规性即代码从根本上将叙述从被动救火转变为主动治理,使安全性和合规性成为基础设施交付的无缝且不可或缺的一部分。
2025 年的报告发出了明确的行动号召:主动治理和嵌入式安全策略不再是可选项。随着组织继续在复杂的多云环境中导航,将策略和治理嵌入到基础设施管道中的紧迫性只会增加。
今天成功采用 PaC 和 GaC 的组织将能够自信地扩展到未来,不仅可以享受改进的安全性和合规性,还可以享受更可预测、高效和可靠的云基础设施运营,从而充分实现 IaC 的最初承诺。
如果您还没有这样做,请阅读 2025 年 IaC 状态报告全文。