باعتباري أحد هواة الأفلام، فإن بعض خطوط الفيلم ظلت عالقة في ذهني بطريقة أو بأخرى على مر السنين. واحد منهم من ريدلي سكوت مجالد (2000)، عندما قال أحد أعضاء مجلس الشيوخ الروماني: "إن قلب روما النابض ليس رخام مجلس الشيوخ، بل هو رمال الكولوسيوم".
برز هذا الخط في رأسي بينما كنت أتجول في القاعات في KubeCon/CloudNativeCon ("KubeCon")، وهو الحدث البارز لـ مؤسسة الحوسبة السحابية الأصلية (CNCF). بالنسبة لي، فإن القلب النابض للأمن السحابي الأصلي هو بالتأكيد KubeCon.
أقيمت نسخة أمريكا الشمالية من الحدث لهذا العام الأسبوع الماضي في ديترويت، حيث جمعت آلاف المشاركين في الموقع بالإضافة إلى العديد من الآخرين عن بعد. بالإضافة إلى الحدث الرئيسي الذي يستمر لمدة ثلاثة أيام، أدى الاهتمام المتزايد بمشاريع محددة إلى قيام مؤسسة Cloud Native Computing Foundation بإعداد "أحداث مشتركة" مختلفة قبل المؤتمر الرئيسي.
بالنسبة لحدث 2022، لم يكن هناك حدث CloudNativeSecurityCon محدد لمدة يومين فحسب، بل كان هناك أيضًا الكثير من محتوى الأمان عبر الأحداث الأخرى، بما في ذلك يوم شبكة التطبيقات، وEnvoyCon، ويوم السياسة مع OPA، وServiceMeshCon، والمزيد، مما يعكس الاهتمام الواسع بالسحابة. موضوعات الأمن الأصلي. ومن المثير للاهتمام أن حدث CloudNativeSecurityCon قد "تخرج" الآن إلى حدث مستقل سيتم استضافته بشكل منفصل في فبراير.
الأمان السحابي الأصلي: التطوير مقابل العمليات
إذن، أين هو الوضع الحالي لمحادثات الأمان السحابية الأصلية؟ بالنسبة لـOmdia، هناك انقسام قوي: اهتمامات تتمحور حول التنمية ومخاوف تتمحور حول العمليات. ليس من المفيد أن نطلق على هذه "Dev" و "Ops" لأن هيكل الفريق في حالة تغير مستمر في العديد من المؤسسات: قد يكون لدى البعض فرق هندسة موثوقية الموقع (SRE)، وقد يطلق عليها البعض الآخر فرق العمليات، وفرق النظام الأساسي، والمزيد.
على الجانب التطويري من دفتر الأستاذ، هناك ثلاثة موضوعات ذات أهمية هي المصدر والضوضاء والتعرض.
يطرح المصدر السؤال الأساسي: هل يمكننا الوثوق في سلامة المكون الخارجي الذي ندمجه في مسار برامجنا؟ على الرغم من وجود العديد من الأمثلة، إلا أن هجوم SolarWinds لعام 2020 كان بمثابة نقطة تحول للاهتمام بسلامة سلسلة توريد البرمجيات. في KubeCon، كان هناك زخم واضح وراء فكرة توقيع الصور البرمجية: The سيجستور تم الإعلان عن المشروع كتوفر عام ويتم استخدامه من قبل Kubernetes والمشاريع الرئيسية الأخرى.
يشير الضجيج إلى تقليل عدد نقاط الضعف الموجودة في البيئة، بدءًا من تقليل حجم الصور الأساسية للحاوية المستخدمة. قد يشمل ذلك استخدام قواعد صور مثل Alpine أو Debian Slim أو التفكير في بدائل أصغر حجمًا "بدون توزيع". وتتمثل الفائدة في أن هذه الصور الأصغر حجمًا لها تأثير ضئيل وبالتالي تقلل من فرصة ظهور الثغرات الأمنية.
التعرض: بالنسبة لأي ثغرة أمنية معينة، ما مدى تعرضنا لها كمنظمة؟ لا يوجد مثال أفضل على ذلك في تاريخ الصناعة الحديث من Log4j بالطبع. هذا هو مجال المناقشات حول قوائم المواد البرمجية (SBOMs) من حيث صلتها بمعرفة أين يمكن استخدام المكونات إما كصور موجودة في سجل في مكان ما أو قيد التشغيل في الإنتاج. ومن المثير للاهتمام، أثناء كتابة هذا المقال، هناك إشعار مسبق بأن المعلومات حول نقاط الضعف الحرجة في OpenSSL 3.x سيتم الكشف عنها قريبًا، والتي من المحتمل أن تكون حالة استخدام جيدة أخرى لـ SBOMs - أين يتم استخدام OpenSSL 3.x في مؤسستنا؟ نظرًا لأن تغطية SBOM لا تزال غير منتشرة على نطاق واسع، تتوقع Omdia الحد الأدنى من استخدام SBOM هذه المرة، لسوء الحظ.
تركز فرق العمليات بشكل طبيعي على توفير وتشغيل منصة أساسية متزايدة التعقيد والقيام بذلك بشكل آمن. كلمة "منصة" ذات صلة بشكل خاص هنا: كان هناك اهتمام ملحوظ بتنظيم Kubernetes والعديد من القائمة المتزايدة لمشاريع CNCF (140 حتى كتابة هذه السطور، بين المراحل المختلفة لاحتضان المشروع: وضع الحماية، والحضانة، والتخرج) في مراحل أسهل. لاستهلاك المنصات. ذات أهمية خاصة لجمهور الأمان، مشاريع مثل Cilium (باستخدام وظيفة eBPF الأساسية) للتواصل وإمكانية المراقبة، وSPIFFE/SPIRE (لإنشاء الهويات)، وFalco (لأمان وقت التشغيل)، وOpen Policy Agent (للسياسة كرمز) و Cloud Custodian (للحوكمة)، وغيرها تستحق النظر فيها. من المتوقع أن تتعاون هذه المشاريع بشكل متزايد مع جوانب "قابلية المراقبة" للسحابة الأصلية وسيتم نشرها أيضًا باستخدام ممارسات مثل GitOps.
أسباب التفاؤل بشأن الأمن السحابي الأصلي
أين نذهب من هنا؟ لقد كان من الواضح تمامًا أن مجتمع السحابة الأصلية يهتم بشدة بالأمن ويتحرك للأمام بأقصى سرعة في معالجة العديد من الموضوعات المحيطة به. تتمثل التوجيهات الموجهة إلى فرق الأمان في سرعة التعرف على كيفية تنفيذ هذه المشاريع والمبادرات المختلفة. من المهم ملاحظة أنه بالنسبة للعديد من المؤسسات، لن يأتي هذا في شكل استخدام مشروع المجتمع بشكل صريح (على الرغم من أن البعض سيفعل ذلك)، بل كجزء من منصة مجمعة من البائعين مثل Red Hat وSUSE وCanonical وغيرهم. أو مباشرة من موفري الخدمات السحابية مثل AWS وGoogle Cloud وAzure وOracle وغيرهم.
كن على علم بأنه، في سياق استخدام المصادر المفتوحة، لا يوجد شيء اسمه "مجاني" حقًا - حتى لو اختار أحد استخدام النسخة الأولية للمشروعات، فهناك تكاليف متأصلة في الحفاظ على هذه الحزم والمشاركة في تنمية المجتمع.
