Όλα όσα διαβάζετε σχετικά με την υποδομή ως κώδικα (IaC) εστιάζονται στον τρόπο λειτουργίας της ή στο γιατί θέλετε να βεβαιωθείτε ότι χτίζεται πραγματικά με τον τρόπο που θέλετε να χτιστεί.
Αυτοί είναι κρίσιμοι τομείς. Αλλά σκεφτόμαστε αρκετά πώς χρησιμοποιούμε αυτήν την προσέγγιση στον οργανισμό μας;
As Μελίντα Μαρκς από την ESG αναφέρει σε μια έκθεση της εταιρείας, «το 83% των οργανισμών παρουσίασαν αύξηση στις εσφαλμένες διαμορφώσεις προτύπων IaC» καθώς συνεχίζουν να υιοθετούν την τεχνολογία.
Γνωρίζουμε από τη δουλειά που έχει κάνει η Cloud Security Alliance ("Κορυφαίες απειλές για το Cloud Computing: Egregious Eleven") και άλλα, οι εσφαλμένες διαμορφώσεις εξακολουθούν να αποτελούν κορυφαίο κίνδυνο στο cloud.
Το IaC υποστηρίζεται σε μείωση
εσφαλμένες διαμορφώσεις συστηματοποιώντας τη δημιουργία υποδομής, προσθέτοντας ένα επίπεδο αυστηρότητας και διαδικασίας που διασφαλίζει ότι οι ομάδες χτίζουν αυτό που θέλουν και μόνο αυτό που θέλουν. Εάν το ~83% των ομάδων δεν το βλέπει αυτό, υπάρχει ένα βαθύτερο ζήτημα στο παιχνίδι.
Σε μικρότερες ομάδες, όπου τα κομμάτια Dev και Ops της φιλοσοφίας DevOps είναι μαζί, αυτό είναι λογικό. Το IaC επιτρέπει σε αυτές τις μικρές ομάδες να χρησιμοποιούν την ίδια γλώσσα — κωδικό — για να περιγράψουν όλα όσα κάνουν.
Αυτός είναι ο λόγος για τον οποίο βλέπουμε αφαιρέσεις ακόμη υψηλότερου επιπέδου από εργαλεία όπως το Terraform ή το AWS CloudFormation στο AWS CDK και έργα όπως cdk8s. Αυτές οι αφαιρέσεις υψηλού επιπέδου είναι πιο άνετες για τους προγραμματιστές.
Η προοπτική ops/SRE/πλατφόρμας μιας υπηρεσίας cloud θα είναι πολύ διαφορετική από την προοπτική προγραμματιστή της ίδιας υπηρεσίας. Ένας προγραμματιστής θα εξετάσει μια υπηρεσία ουράς και θα βουτήξει στη διεπαφή της — ένα απλό τελικό σημείο για προσθήκη και ένα για ανάγνωση; Πωληθεί. Αυτή είναι μια εύκολη ενσωμάτωση.
Αυτή η επιχειρησιακή προοπτική στοχεύει να βρει τα άκρα. Λοιπόν, πότε φτάνει αυτή η ουρά στο όριο; Είναι σταθερή η απόδοση ή αλλάζει ριζικά υπό φορτίο;
Ναι, υπάρχουν επικαλυπτόμενες ανησυχίες. Και ναι, αυτή είναι μια απλοποιημένη άποψη. Αλλά η ιδέα ισχύει. Το IaC λύνει πολλά προβλήματα, αλλά μπορεί επίσης να δημιουργήσει και να ενισχύσει την αποσύνδεση μεταξύ των ομάδων. Το πιο σημαντικό, μπορεί να τονίσει το χάσμα μεταξύ της πρόθεσης αυτού που προσπαθείτε να χτίσετε και της πραγματικότητας αυτού που έχετε χτίσει.
Ως αποτέλεσμα, εδώ συχνά κλιμακώνονται οι ανησυχίες για την ασφάλεια.
Τα περισσότερα εργαλεία - εμπορικά ή ανοιχτού κώδικα - επικεντρώνονται στον εντοπισμό πραγμάτων που είναι λάθος με τα πρότυπα υποδομής. Αυτός ο διαλογισμός στα
είναι μια καλή κατασκευή. Κατασκευή αυτό
θα ήταν κακό. Αυτά τα εργαλεία στοχεύουν στη δημιουργία αυτών των αποτελεσμάτων ως μέρος του αγωγού συνεχούς ενοποίησης/συνεχούς παράδοσης (CI/CD).
Αυτό είναι μια υπέροχη αρχή. Αλλά απηχεί το ίδιο γλωσσικό ζήτημα.
Ποιος μιλάει και ποιος ακούει;
Όταν ένα εργαλείο IaC επισημαίνει ένα ζήτημα, ποιος θα το αντιμετωπίσει; Εάν είναι η ομάδα ανάπτυξης, έχει αρκετές πληροφορίες για να γνωρίζει γιατί επισημάνθηκε ως πρόβλημα; Εάν είναι η ομάδα επιχειρήσεων, οι συνέπειες του ζητήματος αναφέρονται στην έκθεση;
Για τους προγραμματιστές, αυτό που συμβαίνει συχνά είναι ότι απλώς θα προσαρμόσουν τη διαμόρφωση για να περάσουν τη δοκιμή IaC.
Για τις λειτουργίες, είναι συνήθως θέμα αν οι δοκιμές περνούν. Εάν είναι, τότε προχωρήστε στην επόμενη εργασία. Αυτό δεν είναι ένα χτύπημα σε καμία από τις δύο ομάδες. μάλλον, αναδεικνύει το χάσμα των προσδοκιών έναντι της πραγματικότητας.
Αυτό που χρειάζεται είναι το πλαίσιο. Το εργαλείο ασφαλείας IaC παρέχει ορατότητα σε αυτό που πρόκειται (ελπίζουμε) να κατασκευαστεί. Στόχος είναι να σταματήσουν τα προβλήματα πριν μπαίνουν στην παραγωγή.
Τα σημερινά εργαλεία ασφάλειας IaC υπογραμμίζουν πραγματικά ζητήματα που πρέπει να αντιμετωπιστούν. Η λήψη των αποτελεσμάτων αυτών των εργαλείων και ο εμπλουτισμός τους με πρόσθετο πλαίσιο που είναι συγκεκριμένο για την ομάδα που είναι υπεύθυνη για τον κώδικα είναι μια τέλεια ευκαιρία για κάποιο προσαρμοσμένο αυτοματισμό.
Αυτό θα συμβάλει επίσης στη γεφύρωση του γλωσσικού χάσματος. Το αποτέλεσμα από τα εργαλεία σας είναι ουσιαστικά σε μια τρίτη γλώσσα — απλώς για να γίνουν τα πράγματα πιο περίπλοκα — και πρέπει να κοινοποιηθεί με τρόπο που να έχει νόημα είτε σε ένα κοινό ανάπτυξης είτε σε ένα κοινό λειτουργίας. Συχνά και τα δύο.
Για παράδειγμα, όταν μια σάρωση επισημαίνει ότι ένας κανόνας ομάδας ασφαλείας δεν έχει περιγραφή, γιατί έχει σημασία; Απλώς η λήψη μιας ειδοποίησης που λέει "Προσθήκη περιγραφής για το πλαίσιο" δεν βοηθά κανέναν να δημιουργήσει καλύτερα.
Αυτός ο τύπος σημαίας είναι μια εξαιρετική ευκαιρία για την εκπαίδευση των ομάδων που χτίζουν στο cloud. Η προσθήκη μιας εξήγησης ότι οι κανόνες της ομάδας ασφαλείας πρέπει να είναι όσο το δυνατόν πιο συγκεκριμένοι, μειώνει την ευκαιρία για κακόβουλες επιθέσεις. Παρέχετε αναφορές σε παραδείγματα ισχυρών κανόνων. Καλέστε το χωρίς να γνωρίζετε την πρόθεση και άλλες ομάδες δεν μπορούν να ελέγξουν την εγκυρότητα της επιβεβαίωσης ασφαλείας.
Η ασφάλεια είναι ευθύνη όλων, επομένως η αναγνώριση του γλωσσικού χάσματος μεταξύ προγραμματιστών και λειτουργιών θα τονίσει ευκαιρίες όπως αυτή για την προσθήκη απλών αυτοματισμών που παρέχουν πληροφορίες στις ομάδες σας. Αυτό θα βοηθήσει στη βελτίωση του τι κατασκευάζουν και, ως εκ τούτου, θα οδηγήσει σε καλύτερα αποτελέσματα ασφάλειας.
Σχετικά με το Συγγραφέας
.jpg?width=690&quality=80&format=webply&disable=upscale "IaC Scanning: Μια φανταστική, παραμελημένη ευκαιρία μάθησης")
Είμαι ιατροδικαστής, ομιλητής και αναλυτής τεχνολογίας που προσπαθώ να σας βοηθήσω να κατανοήσετε τον ψηφιακό κόσμο και έχει αντίκτυπο σε εμάς. Για τους καθημερινούς χρήστες, η εργασία μου βοηθά να εξηγήσω ποιες είναι οι προκλήσεις του ψηφιακού κόσμου. Πόσο μεγάλο αντίκτυπο έχει η χρήση των μέσων κοινωνικής δικτύωσης στο απόρρητό σας; Τι σημαίνει όταν τεχνολογίες όπως η αναγνώριση προσώπου αρχίζουν να χρησιμοποιούνται στις κοινότητές μας; Βοηθάω να απαντήσω σε ερωτήσεις όπως αυτή και άλλα. Για τους ανθρώπους που κατασκευάζουν τεχνολογία, τους βοηθάω να εφαρμόσουν έναν φακό ασφάλειας και απορρήτου στην εργασία τους, ώστε να μπορούν οι χρήστες να λαμβάνουν πιο σαφείς αποφάσεις σχετικά με τις πληροφορίες και τη συμπεριφορά τους. Υπάρχει ένα βουνό σύγχυσης όσον αφορά την ιδιωτικότητα και την ασφάλεια. Δεν πρέπει να υπάρχει. Κάνω την ασφάλεια και το απόρρητο πιο κατανοητά.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
