একজন স্ব-পরিচিত মুভি বাফ হিসাবে, কিছু মুভি লাইন কোন না কোনভাবে বছরের পর বছর ধরে আমার সাথে লেগে থাকে। তাদের মধ্যে একজন রিডলি স্কটের প্রাচীন রোমের মল্লযোদ্ধা (2000), যখন একজন রোমান সিনেটর বলেন, "রোমের স্পন্দিত হৃদয় সেনেটের মার্বেল নয়, এটি কলোসিয়ামের বালি।"
আমি যখন কুবেকন/ক্লাউডনেটিভকন ("কুবেকন") হলগুলির চারপাশে হাঁটছিলাম তখন আমার মাথায় সেই লাইনটি উঠে আসে, ক্লাউড নেটিভ কম্পিউটিং ফাউন্ডেশন (CNCF). আমার কাছে, ক্লাউড-নেটিভ সিকিউরিটির স্পন্দিত হৃৎপিণ্ড অবশ্যই KubeCon।
ইভেন্টের এই বছরের উত্তর আমেরিকার সংস্করণটি গত সপ্তাহে ডেট্রয়েটে হয়েছিল, যেখানে হাজার হাজার অংশগ্রহণকারীকে সাইটে এবং দূর থেকে আরও অনেককে একত্রিত করা হয়েছিল। প্রধান তিন দিনের ইভেন্ট ছাড়াও, নির্দিষ্ট প্রকল্পের প্রতি ক্রমবর্ধমান আগ্রহ ক্লাউড নেটিভ কম্পিউটিং ফাউন্ডেশনকে প্রধান সম্মেলনের আগে বিভিন্ন "সহ-অবস্থানিত ইভেন্ট" স্থাপন করতে পরিচালিত করেছে।
2022 ইভেন্টের জন্য, শুধুমাত্র একটি নির্দিষ্ট CloudNativeSecurityCon দু-দিনের ইভেন্টই ছিল না বরং অ্যাপ্লিকেশন নেটওয়ার্কিং ডে, EnvoyCon, OPA এর সাথে পলিসি ডে, ServiceMeshCon এবং আরও অনেক কিছু সহ অন্যান্য ইভেন্ট জুড়ে প্রচুর নিরাপত্তা সামগ্রী ছিল, যা ক্লাউড-এর প্রতি ব্যাপক আগ্রহের প্রতিফলন ঘটায়- স্থানীয় নিরাপত্তা বিষয়. মজার বিষয় হল, CloudNativeSecurityCon ইভেন্টটি এখন ফেব্রুয়ারীতে আলাদাভাবে আয়োজিত একটি স্বাধীন ইভেন্টে "স্নাতক" হয়েছে।
ক্লাউড-নেটিভ নিরাপত্তা: উন্নয়ন বনাম অপারেশন
তাহলে, ক্লাউড-নেটিভ সিকিউরিটি কথোপকথনের বর্তমান অবস্থা কোথায়? ওমদিয়ার কাছে, একটি শক্তিশালী বিভাজন রয়েছে: উন্নয়ন-কেন্দ্রিক উদ্বেগ এবং অপারেশন-কেন্দ্রিক উদ্বেগ। এইগুলিকে "দেব" এবং "অপস" বলা ততটা সহায়ক নয় কারণ অনেক সংস্থায় দলের গঠন প্রবাহিত হয়: কিছুতে সাইট নির্ভরযোগ্যতা ইঞ্জিনিয়ারিং (SRE) টিম থাকতে পারে, কেউ কেউ তাদের অপারেশন, প্ল্যাটফর্ম দল এবং আরও অনেক কিছু বলতে পারে।
খাতাটির বিকাশের দিকে, আগ্রহের তিনটি বিষয় হল প্রোভেন্যান্স, নয়েজ এবং এক্সপোজার।
প্রোভেনেন্স মৌলিক প্রশ্ন জিজ্ঞাসা করে: আমরা আমাদের সফ্টওয়্যার পাইপলাইনে যে বাহ্যিক উপাদানটি অন্তর্ভুক্ত করছি তার অখণ্ডতার উপর বিশ্বাস করতে পারি? যদিও অনেক উদাহরণ বিদ্যমান, 2020 SolarWinds আক্রমণ সফ্টওয়্যার সরবরাহ শৃঙ্খলের অখণ্ডতার আগ্রহের জন্য একটি টার্নিং পয়েন্ট ছিল। KubeCon-এ, সফ্টওয়্যার ইমেজ সাইন ইন করার ধারণার পিছনে স্পষ্ট গতি ছিল: The সিগস্টোর প্রকল্পটি সাধারণ প্রাপ্যতা হিসাবে ঘোষণা করা হয়েছিল এবং কুবারনেটস এবং অন্যান্য মূল প্রকল্পগুলি ব্যবহার করছে।
কোলাহল বলতে বোঝায় পরিবেশে বিদ্যমান দুর্বলতার সংখ্যা হ্রাস করা, যা ব্যবহার করা হচ্ছে কন্টেইনার বেস ইমেজগুলিকে স্লিম করা থেকে শুরু করে। এতে আল্পাইন বা ডেবিয়ান স্লিমের মতো ইমেজ বেস ব্যবহার করা বা এমনকি ছোট "ডিস্ট্রোলেস" বিকল্পগুলি বিবেচনা করা অন্তর্ভুক্ত থাকতে পারে। সুবিধা হল এই ছোট ছবিগুলির ন্যূনতম পদচিহ্ন রয়েছে এবং তাই দুর্বলতাগুলি পপ আপ হওয়ার সম্ভাবনা হ্রাস করে৷
এক্সপোজার: কোনো প্রদত্ত দুর্বলতার জন্য, আমরা একটি সংস্থা হিসাবে কতটা উন্মুক্ত? সাম্প্রতিক শিল্প ইতিহাসে Log4j এর চেয়ে ভালো উদাহরণ আর নেই। এটি সফ্টওয়্যার বিল অফ ম্যাটেরিয়ালস (এসবিওএম) নিয়ে আলোচনার ক্ষেত্র কারণ এটি কোথায় উপাদানগুলিকে রেজিস্ট্রিতে বসে থাকা বা উত্পাদনে চলমান চিত্র হিসাবে ব্যবহার করা যেতে পারে তা জানার সাথে সম্পর্কিত। মজার বিষয় হল, এই প্রবন্ধটি লেখার সময়, অগ্রিম নোটিশ রয়েছে যে OpenSSL 3.x-এ গুরুতর দুর্বলতা সম্পর্কে তথ্যগুলি অবিলম্বে প্রকাশ করা হবে, যা সম্ভবত SBOM-এর জন্য আরেকটি ভাল ব্যবহারের ক্ষেত্রে হবে — আমাদের প্রতিষ্ঠানে OpenSSL 3.x কোথায় ব্যবহৃত হয়? প্রদত্ত যে SBOM কভারেজ এখনও ব্যাপক নয়, Omdia আশা করে যে এই সময়ে SBOM ব্যবহার কম হবে, দুর্ভাগ্যবশত।
অপারেশন দলগুলি স্বাভাবিকভাবেই একটি ক্রমবর্ধমান জটিল অন্তর্নিহিত প্ল্যাটফর্ম প্রদান এবং পরিচালনার উপর দৃষ্টি নিবদ্ধ করে এবং তা নিরাপদে করে। "প্ল্যাটফর্ম" শব্দটি এখানে বিশেষভাবে প্রাসঙ্গিক: কুবারনেটস এবং সিএনসিএফ প্রকল্পগুলির ক্রমবর্ধমান তালিকার অনেকগুলিকে সংগঠিত করার ক্ষেত্রে উল্লেখযোগ্য আগ্রহ ছিল (এই লেখার 140টি, প্রকল্পের ইনকিউবেশনের বিভিন্ন পর্যায়ের মধ্যে: স্যান্ডবক্স, ইনকিউবেশন, স্নাতক) সহজে- প্ল্যাটফর্ম গ্রাস করতে. নিরাপত্তা দর্শকদের জন্য সুনির্দিষ্ট আগ্রহ, নেটওয়ার্কিং এবং পর্যবেক্ষণের জন্য Cilium (অন্তর্নিহিত eBPF কার্যকারিতা ব্যবহার করে), SPIFFE/SPIRE (পরিচয় প্রতিষ্ঠার জন্য), Falco (রানটাইম নিরাপত্তার জন্য), ওপেন পলিসি এজেন্ট (পলিসি-এ-কোডের জন্য) , ক্লাউড কাস্টোডিয়ান (শাসনের জন্য), এবং অন্যান্যগুলি দেখার মতো। প্রত্যাশা হল এই প্রকল্পগুলি ক্লাউড-নেটিভের "পর্যবেক্ষনযোগ্যতা" দিকগুলির সাথে ক্রমবর্ধমানভাবে সহযোগিতা করবে এবং GitOps-এর মতো অনুশীলনগুলি ব্যবহার করেও স্থাপন করা হবে।
ক্লাউড-নেটিভ সিকিউরিটি নিয়ে আশাবাদের কারণ
আমরা কোথায় এখানে থেকে যান? এটি প্রচুর পরিমাণে পরিষ্কার ছিল যে ক্লাউড-নেটিভ সম্প্রদায় নিরাপত্তার বিষয়ে গভীরভাবে যত্নশীল এবং এটির চারপাশের অনেক বিষয় মোকাবেলা করে দ্রুত গতিতে এগিয়ে যাচ্ছে। নিরাপত্তা দলগুলির নির্দেশিকা হল এই বিভিন্ন প্রকল্প এবং উদ্যোগগুলি কীভাবে বাস্তবায়িত হচ্ছে সে সম্পর্কে দ্রুত গতিতে আসা। এটি লক্ষ করা গুরুত্বপূর্ণ যে অনেক সংস্থার জন্য, এটি স্পষ্টভাবে সম্প্রদায় প্রকল্প ব্যবহার করার আকারে আসবে না (যদিও কেউ কেউ করবে), বরং রেড হ্যাট, SUSE, ক্যানোনিকাল এবং অন্যান্যদের মতো বিক্রেতাদের কাছ থেকে প্যাকেজ করা প্ল্যাটফর্মের অংশ হিসাবে, অথবা সরাসরি ক্লাউড প্রদানকারীদের থেকে যেমন AWS, Google Cloud, Azure, Oracle এবং অন্যান্য।
সচেতন থাকুন যে, ওপেন সোর্স ব্যবহারের পরিপ্রেক্ষিতে, সত্যিই "বিনামূল্যে" বলে কিছু নেই — এমনকি যদি কেউ প্রকল্পগুলির ভ্যানিলা আপস্ট্রিম সংস্করণ ব্যবহার করতে পছন্দ করে, সেই প্যাকেজগুলি বজায় রাখতে এবং সম্প্রদায়ের উন্নয়নে অংশগ্রহণ করার জন্য অন্তর্নিহিত খরচ রয়েছে৷
