আপনি কোড (IaC) হিসাবে পরিকাঠামো সম্বন্ধে যা কিছু পড়েন তা সবই এটি কীভাবে কাজ করে বা কেন আপনি নিশ্চিত করতে চান যে এটি আসলে আপনি যেভাবে এটি তৈরি করতে চান তা তৈরি করছে তার উপর দৃষ্টি নিবদ্ধ করে।
এইগুলি সমালোচনামূলক এলাকা। কিন্তু আমরা কি আমাদের প্রতিষ্ঠানে এই পদ্ধতি ব্যবহার করার বিষয়ে যথেষ্ট চিন্তা করছি?
As মেলিন্ডা মার্কস ESG থেকে একটি কোম্পানির রিপোর্টে বলা হয়েছে, “83% প্রতিষ্ঠান IaC টেমপ্লেটের ভুল কনফিগারেশন বৃদ্ধি পেয়েছে” কারণ তারা প্রযুক্তি গ্রহণ করে চলেছে।
ক্লাউড সিকিউরিটি অ্যালায়েন্সের কাজ থেকে আমরা জানি (“ক্লাউড কম্পিউটিংয়ের শীর্ষ হুমকি: এগ্রিজিয়স ইলেভেন") এবং অন্যান্য, ভুল কনফিগারেশনগুলি ক্লাউডে একটি শীর্ষ ঝুঁকি হতে চলেছে৷
আইএসি সমর্থিত হ্রাস করা
পরিকাঠামো তৈরির পদ্ধতিতে ভুল কনফিগারেশন, কঠোরতা এবং প্রক্রিয়ার একটি স্তর যোগ করে যা নিশ্চিত করে যে দলগুলি তারা যা চায় এবং শুধুমাত্র তারা যা চায় তা তৈরি করছে। যদি ~83% টিম এটি দেখতে না পায় তবে খেলার ক্ষেত্রে একটি গভীর সমস্যা রয়েছে।
ছোট দলগুলিতে, যেখানে DevOps দর্শনের Dev এবং Ops বিটগুলি একসাথে থাকে, এটি বোধগম্য হয়৷ IaC এই ছোট দলগুলিকে একই ভাষা ব্যবহার করার অনুমতি দেয় — কোড — তারা যা করছে তা বর্ণনা করতে।
এই কারণেই আমরা টেরাফর্ম বা এডব্লিউএস ক্লাউডফর্মেশনের মতো সরঞ্জামগুলির চেয়ে উচ্চ-স্তরের বিমূর্ততা দেখতে পাচ্ছি AWS CDK এবং প্রকল্পের মত cdk8s. এই উচ্চ-স্তরের বিমূর্ততাগুলি বিকাশকারীদের জন্য আরও আরামদায়ক।
একটি ক্লাউড পরিষেবার একটি অপস/এসআরই/প্ল্যাটফর্ম দৃষ্টিকোণ একই পরিষেবার বিকাশকারী দৃষ্টিকোণ থেকে সম্পূর্ণ আলাদা হবে৷ একজন বিকাশকারী একটি সারিবদ্ধ পরিষেবাটি দেখবে এবং এর ইন্টারফেসে ডুব দেবে — যোগ করার জন্য একটি সহজ শেষ বিন্দু এবং একটি পড়তে হবে? বিক্রি হয়েছে। যে একটি সহজ ইন্টিগ্রেশন.
এই অপারেশনাল দৃষ্টিকোণ প্রান্তগুলি খুঁজে বের করার লক্ষ্য রাখে। সুতরাং, এই সারি কখন তার সীমাতে পৌঁছায়? কর্মক্ষমতা কি ধ্রুবক বা লোডের অধীনে আমূল পরিবর্তন হয়?
হ্যাঁ, ওভারল্যাপিং উদ্বেগ আছে। এবং হ্যাঁ, এটি একটি সরলীকৃত দৃশ্য। কিন্তু ধারণা ধারণ করে। IaC অনেক সমস্যার সমাধান করে, কিন্তু এটি দলগুলির মধ্যে সংযোগ বিচ্ছিন্ন করতে এবং প্রসারিত করতে পারে। আরও গুরুত্বপূর্ণ, এটি আপনি যা তৈরি করার চেষ্টা করছেন তার উদ্দেশ্য এবং আপনি যা তৈরি করেছেন তার বাস্তবতার মধ্যে ব্যবধান হাইলাইট করতে পারে।
ফলস্বরূপ, এখানে নিরাপত্তা উদ্বেগ প্রায়শই বৃদ্ধি পায়।
বেশিরভাগ টুলিং - বাণিজ্যিক বা ওপেন সোর্স - অবকাঠামো টেমপ্লেটগুলির সাথে ভুল জিনিসগুলি সনাক্ত করার উপর দৃষ্টি নিবদ্ধ করে৷ এই
একটি ভাল গঠন. মেকিং এই
খারাপ হবে এই সরঞ্জামগুলির লক্ষ্য এই ফলাফলগুলি ক্রমাগত ইন্টিগ্রেশন/কন্টিনিউয়াস ডেলিভারি (CI/CD) পাইপলাইনের অংশ হিসাবে তৈরি করা।
এটি একটি দুর্দান্ত শুরু। কিন্তু এটি একই ভাষা সমস্যা প্রতিধ্বনিত.
কে কথা বলছে এবং কে শুনছে?
যখন একটি IaC টুল একটি সমস্যা হাইলাইট করে, কে এটির সমাধান করবে? যদি এটি ডেভেলপমেন্ট টিম হয়, তাহলে কেন এটি একটি সমস্যা হিসাবে ফ্ল্যাগ করা হয়েছে তা জানার জন্য কি যথেষ্ট তথ্য আছে? যদি এটি অপারেশন টিম হয়, তাহলে রিপোর্টে ইস্যুটির ফলাফল কি উল্লেখ করা হয়েছে?
বিকাশকারীদের জন্য, প্রায়শই যা ঘটে তা হল যে তারা IaC পরীক্ষা পাস করার জন্য কনফিগারেশন সামঞ্জস্য করবে।
অপারেশনের জন্য, এটি সাধারণত পরীক্ষায় উত্তীর্ণ হচ্ছে কিনা তা একটি বিষয়। যদি তারা হয়, তাহলে পরবর্তী কাজে যান। যে কোন দলের উপর একটি নক নয়; বরং, এটি বাস্তবতা বনাম প্রত্যাশার ব্যবধান তুলে ধরে।
যা প্রয়োজন তা হল প্রসঙ্গ। IaC সিকিউরিটি টুলিং (আশা করি) কি তৈরি হতে চলেছে তার দৃশ্যমানতা প্রদান করে। লক্ষ্য সমস্যা বন্ধ করা আগে তারা উৎপাদনে আসে।
আজকের IaC সিকিউরিটি টুলিং বাস্তব সমস্যাগুলিকে হাইলাইট করছে যেগুলির সমাধান করা প্রয়োজন৷ এই টুলগুলির আউটপুট নেওয়া এবং কোডের জন্য দায়ী দলের জন্য নির্দিষ্ট অতিরিক্ত প্রসঙ্গ সহ এটিকে সমৃদ্ধ করা কিছু কাস্টম অটোমেশনের জন্য একটি উপযুক্ত সুযোগ।
এটি ভাষার ব্যবধান পূরণ করতেও সাহায্য করবে। আপনার টুলিং থেকে আউটপুট মূলত একটি তৃতীয় ভাষায় — কেবল জিনিসগুলিকে আরও জটিল করে তোলার জন্য — এবং এমনভাবে যোগাযোগ করা দরকার যা হয় বিকাশ বা অপারেশন দর্শকদের কাছে বোঝা যায়। প্রায়ই উভয়.
উদাহরণস্বরূপ, যখন একটি স্ক্যান ফ্ল্যাগ করে যে একটি নিরাপত্তা গোষ্ঠীর নিয়মে একটি বিবরণ নেই, কেন এটি গুরুত্বপূর্ণ? "প্রসঙ্গের জন্য একটি বিবরণ যোগ করুন" বলে একটি সতর্কতা পাওয়া যে কাউকে আরও ভাল করতে সাহায্য করে না৷
এই ধরনের পতাকা মেঘে তৈরি করা দলগুলিকে শিক্ষিত করার একটি দুর্দান্ত সুযোগ। নিরাপত্তা গোষ্ঠীর নিয়ম যতটা সম্ভব নির্দিষ্ট হওয়া উচিত এমন একটি ব্যাখ্যা যোগ করা দূষিত আক্রমণের সুযোগ কমিয়ে দেয়। দৃঢ় নিয়মের উদাহরণ প্রদান করুন। উদ্দেশ্য না জেনেই কল করুন, এবং অন্যান্য দল নিরাপত্তা নিশ্চিতকরণের বৈধতা পরীক্ষা করতে পারে না।
নিরাপত্তা প্রত্যেকের দায়িত্ব, তাই বিকাশকারী এবং ক্রিয়াকলাপগুলির মধ্যে ভাষার ব্যবধানকে স্বীকার করা আপনার দলগুলিকে অন্তর্দৃষ্টি প্রদান করে এমন সহজ অটোমেশন যোগ করার মতো সুযোগগুলিকে হাইলাইট করবে৷ এটি তারা যা তৈরি করছে তা উন্নত করতে সাহায্য করবে এবং ফলস্বরূপ, আরও ভাল নিরাপত্তা ফলাফল চালাবে।
লেখক সম্পর্কে
.jpg?width=690&quality=80&format=webply&disable=upscale "IaC স্ক্যানিং: একটি চমত্কার, উপেক্ষিত শেখার সুযোগ")
আমি একজন ফরেনসিক বিজ্ঞানী, বক্তা, এবং প্রযুক্তি বিশ্লেষক, আপনাকে ডিজিটাল বিশ্ব সম্পর্কে বোঝাতে সাহায্য করার চেষ্টা করছি এবং এটি আমাদের উপর প্রভাব ফেলে। দৈনন্দিন ব্যবহারকারীদের জন্য, আমার কাজ ডিজিটাল বিশ্বের চ্যালেঞ্জ কি ব্যাখ্যা করতে সাহায্য করে. সোশ্যাল মিডিয়া ব্যবহার করা আপনার গোপনীয়তার উপর কতটা প্রভাব ফেলে? যখন আমাদের সম্প্রদায়গুলিতে মুখের স্বীকৃতির মতো প্রযুক্তিগুলি ব্যবহার করা শুরু হয় তখন এর অর্থ কী? আমি এই এবং আরও অনেক কিছু প্রশ্নের উত্তর দিতে সাহায্য করি। প্রযুক্তি তৈরির মানুষদের জন্য, আমি তাদের কাজে নিরাপত্তা এবং গোপনীয়তা লেন্স প্রয়োগ করতে সাহায্য করি, যাতে তারা ব্যবহারকারীদের তাদের তথ্য এবং আচরণ সম্পর্কে স্পষ্ট সিদ্ধান্ত নিতে সক্ষম করে। গোপনীয়তা এবং সুরক্ষার ক্ষেত্রে বিভ্রান্তির পাহাড় রয়েছে। থাকা উচিত নয়। আমি নিরাপত্তা এবং গোপনীয়তা বোঝা সহজ করে তোলে.
