كل ما تقرأه عن البنية التحتية كرمز (IaC) يركز على كيفية عملها أو سبب رغبتك في التأكد من أنها تبني بالفعل بالطريقة التي تريدها أن يتم بناؤها.
هذه مجالات حرجة. ولكن هل نفكر بما فيه الكفاية في كيفية استخدام هذا النهج في مؤسستنا؟
As ميليندا ماركس من ESG تنص في تقرير الشركة، "83٪ من المؤسسات شهدت زيادة في التكوينات الخاطئة لقالب IaC" مع استمرارها في اعتماد التكنولوجيا.
نحن نعرف من خلال العمل الذي قام به Cloud Security Alliance ("أهم التهديدات للحوسبة السحابية: Egregious Eleven") وغيرها، لا تزال التكوينات الخاطئة تشكل خطرًا كبيرًا في السحابة.
يتم دعم IaC ل تخفيض
التكوينات الخاطئة من خلال تنظيم إنشاء البنية التحتية، وإضافة مستوى من الدقة والعملية التي تضمن قيام الفرق ببناء ما يريدون وما يريدون فقط. إذا لم يرى حوالي 83% من الفرق ذلك، فهناك مشكلة أعمق في اللعب.
في الفرق الأصغر حجمًا، حيث تكون أجزاء Dev وOps من فلسفة DevOps معًا، يكون هذا منطقيًا. يسمح IaC لهذه الفرق الصغيرة باستخدام نفس اللغة - الكود - لوصف كل ما يفعلونه.
ولهذا السبب نرى تجريدات ذات مستوى أعلى من أدوات مثل Terraform أو AWS CloudFormation في أوس سي دي كيه ومشاريع مثل cdk8s. تعتبر هذه التجريدات عالية المستوى أكثر راحة للمطورين.
سيكون منظور العمليات/SRE/النظام الأساسي للخدمة السحابية مختلفًا تمامًا عن منظور المطور لنفس الخدمة. سينظر المطور إلى خدمة الانتظار ويتعمق في واجهتها - هل هي نقطة نهاية بسيطة يمكن إضافتها ونقطة نهاية يمكن قراءتها؟ مُباع. هذا هو التكامل السهل.
يهدف هذا المنظور التشغيلي إلى العثور على الحواف. إذن، متى يصل هذا الطابور إلى الحد الأقصى؟ هل الأداء ثابت أم أنه يتغير بشكل جذري تحت الحمل؟
نعم، هناك مخاوف متداخلة. ونعم، هذه رؤية مبسطة. لكن الفكرة لا تزال قائمة. يحل IaC الكثير من المشكلات، ولكنه يمكنه أيضًا إنشاء وتضخيم الانفصال بين الفرق. والأهم من ذلك، أنه يمكن أن يسلط الضوء على الفجوة بين نية ما تحاول بناءه وواقع ما قمت ببنائه.
ونتيجة لذلك، هذا هو المكان الذي تتصاعد فيه المخاوف الأمنية في كثير من الأحيان.
تركز معظم الأدوات - التجارية أو مفتوحة المصدر - على تحديد الأشياء الخاطئة في قوالب البنية التحتية. هذه
هو بناء جيد. تحضير
سيكون سيئا. تهدف هذه الأدوات إلى توليد هذه النتائج كجزء من خط أنابيب التكامل المستمر/التسليم المستمر (CI/CD).
هذه بداية رائعة. لكنها تعكس نفس مشكلة اللغة.
من يتحدث ومن يستمع؟
عندما تسلط أداة IaC الضوء على مشكلة ما، فمن سيعالجها؟ إذا كان فريق التطوير هو المسؤول، فهل لديه معلومات كافية لمعرفة سبب وضع علامة على هذه المشكلة كمشكلة؟ إذا كان الأمر يتعلق بفريق العمليات، فهل تم توضيح عواقب المشكلة في التقرير؟
بالنسبة للمطورين، ما يحدث غالبًا هو أنهم سيقومون ببساطة بتعديل التكوين لاجتياز اختبار IaC.
بالنسبة للعمليات، عادةً ما يتعلق الأمر بمدى اجتياز الاختبارات. إذا كانوا كذلك، انتقل إلى المهمة التالية. هذه ليست ضربة على أي من الفريقين. بل إنه يسلط الضوء على فجوة التوقعات مقابل الواقع.
ما هو مطلوب هو السياق. توفر أدوات أمان IaC رؤية لما هو على وشك (نأمل) أن يتم بناؤه. الهدف هو وقف القضايا قبل يدخلون في الإنتاج.
تسلط أدوات أمان IaC اليوم الضوء على المشكلات الحقيقية التي تحتاج إلى معالجة. يعد أخذ مخرجات هذه الأدوات وإثرائها بسياق إضافي خاص بالفريق المسؤول عن الكود فرصة مثالية لبعض الأتمتة المخصصة.
سيساعد هذا أيضًا في سد الفجوة اللغوية. إن مخرجات الأدوات الخاصة بك تكون في الأساس بلغة ثالثة - فقط لجعل الأمور أكثر تعقيدًا - ويجب توصيلها بطريقة منطقية لجمهور التطوير أو العمليات. في كثير من الأحيان على حد سواء.
على سبيل المثال، عندما تشير عملية الفحص إلى أن قاعدة مجموعة الأمان لا تحتوي على وصف، فما سبب أهمية ذلك؟ مجرد الحصول على تنبيه يقول "أضف وصفًا للسياق" لا يساعد أي شخص على البناء بشكل أفضل.
يعد هذا النوع من الأعلام فرصة رائعة لتثقيف الفرق التي يتم إنشاؤها في السحابة. إن إضافة توضيح بأن قواعد مجموعة الأمان يجب أن تكون محددة قدر الإمكان تقلل من فرصة الهجمات الضارة. تقديم مراجع لأمثلة القواعد القوية. قم باستدعاء ذلك دون معرفة النية، ولن تتمكن الفرق الأخرى من اختبار صحة التأكيد الأمني.
يعد الأمان مسؤولية الجميع، لذا فإن الاعتراف بالفجوة اللغوية بين المطورين والعمليات سوف يسلط الضوء على فرص مثل هذه لإضافة عمليات أتمتة بسيطة توفر رؤى لفرقك. سيساعد هذا في تحسين ما يقومون ببنائه، ونتيجة لذلك، سيؤدي إلى نتائج أمنية أفضل.
عن المؤلف
.jpg?width=690&quality=80&format=webply&disable=upscale "مسح IaC: فرصة تعلم رائعة ومُغفل عنها")
أنا عالم في الطب الشرعي ومتحدث ومحلل تكنولوجي أحاول مساعدتك في فهم العالم الرقمي وتأثيره علينا. بالنسبة للمستخدمين العاديين، يساعد عملي في شرح تحديات العالم الرقمي. ما مدى تأثير استخدام وسائل التواصل الاجتماعي على خصوصيتك؟ ماذا يعني أن يبدأ استخدام تقنيات مثل التعرف على الوجه في مجتمعاتنا؟ أساعد في الإجابة على أسئلة مثل هذه وأكثر. بالنسبة للأشخاص الذين يقومون ببناء التكنولوجيا، أساعدهم على تطبيق منظور الأمان والخصوصية على عملهم، حتى يتمكنوا من تمكين المستخدمين من اتخاذ قرارات أكثر وضوحًا بشأن معلوماتهم وسلوكهم. هناك جبل من الارتباك عندما يتعلق الأمر بالخصوصية والأمن. لا ينبغي أن يكون هناك. أجعل فهم الأمان والخصوصية أسهل.
