امنیت Cloud-Native در KubeCon/CloudNativeCon 2022 وجود داشت

به‌عنوان یک علاقه‌مند به فیلم، برخی از خطوط فیلم در طول سال‌ها به نوعی به من چسبیده است. یکی از آنها از ریدلی اسکات است پهلوان از جان گذشته (2000)، وقتی یک سناتور رومی می گوید: "قلب تپنده رم سنگ مرمر سنا نیست، شن کولوسئوم است."

وقتی در سالن‌های KubeCon/CloudNativeCon ("KubeCon") راه می‌رفتم، این خط در ذهنم ظاهر شد بنیاد محاسبات بومی ابری (CNCF). برای من، قلب تپنده امنیت بومی ابری قطعا KubeCon است.

نسخه امسال آمریکای شمالی این رویداد هفته گذشته در دیترویت برگزار شد و هزاران شرکت کننده را در محل به همراه بسیاری دیگر از راه دور گرد هم آورد. علاوه بر رویداد اصلی سه روزه، علاقه فزاینده به پروژه‌های خاص، بنیاد محاسبات بومی ابری را بر آن داشت تا پیش از کنفرانس اصلی «رویدادهای هم‌مکانی» مختلفی را راه‌اندازی کند.

برای رویداد 2022، نه تنها یک رویداد دو روزه خاص CloudNativeSecurityCon وجود داشت، بلکه محتوای امنیتی زیادی در رویدادهای دیگر، از جمله Application Networking Day، EnvoyCon، روز سیاست با OPA، ServiceMeshCon و موارد دیگر وجود داشت که نشان دهنده علاقه گسترده به cloud- است. موضوعات امنیتی بومی جالب اینجاست که رویداد CloudNativeSecurityCon خود اکنون به یک رویداد مستقل "فارغ التحصیل" شده است که به طور جداگانه در ماه فوریه میزبانی می شود.

امنیت Cloud-Native: توسعه در مقابل عملیات

بنابراین، وضعیت فعلی مکالمات امنیتی ابری در کجاست؟ برای Omdia، یک دوشاخه قوی وجود دارد: نگرانی های توسعه محور و نگرانی های عملیات محور. نامگذاری این «توسعه‌دهنده» و «Ops» چندان مفید نیست زیرا ساختار تیم در بسیاری از سازمان‌ها در جریان است: برخی ممکن است تیم‌های مهندسی قابلیت اطمینان سایت (SRE) داشته باشند، برخی ممکن است آنها را عملیات، تیم‌های پلتفرم و غیره بنامند.

در سمت توسعه دفتر کل، سه موضوع مورد علاقه منشأ، نویز و قرار گرفتن در معرض هستند.

Provenance این سوال اساسی را مطرح می کند: آیا می توانیم به یکپارچگی مولفه خارجی که در خط لوله نرم افزار خود ادغام می کنیم اعتماد کنیم؟ در حالی که نمونه های زیادی وجود دارد، حمله SolarWinds در سال 2020 نقطه عطفی برای علاقه به یکپارچگی زنجیره تامین نرم افزار بود. در KubeCon، شتاب محسوسی در پشت ایده امضای تصاویر نرم افزار وجود داشت: The sigstore پروژه به عنوان در دسترس بودن عمومی اعلام شد و توسط Kubernetes و سایر پروژه های کلیدی استفاده می شود.

نویز به کاهش تعداد آسیب‌پذیری‌های موجود در محیط اشاره می‌کند که با کاهش تصاویر پایه کانتینر مورد استفاده شروع می‌شود. این ممکن است شامل استفاده از پایه‌های تصویری مانند Alpine یا Debian Slim یا در نظر گرفتن گزینه‌های «بدون توزیع» که حتی کوچک‌تر هستند، باشد. مزیت این است که این تصاویر کوچکتر دارای حداقل ردپا هستند و در نتیجه احتمال بروز آسیب پذیری ها کاهش می یابد.

قرار گرفتن در معرض: برای هر آسیب پذیری خاصی، ما به عنوان یک سازمان چقدر در معرض خطر هستیم؟ البته هیچ نمونه ای بهتر از Log4j در تاریخ صنعت اخیر وجود ندارد. این حوزه بحث در مورد صورتحساب‌های مواد نرم‌افزاری (SBOM) است، زیرا مربوط به دانستن مکان‌هایی است که اجزا می‌توانند به‌عنوان تصاویری که در جایی در یک رجیستری قرار دارند یا در حال تولید هستند، استفاده شوند. جالب اینجاست که همانطور که این مقاله در حال نگارش است، اطلاع قبلی وجود دارد که اطلاعات مربوط به آسیب‌پذیری‌های حیاتی در OpenSSL 3.x به‌زودی فاش می‌شود، که احتمالاً یکی دیگر از موارد استفاده خوب برای SBOM ها خواهد بود – فقط در کجا از OpenSSL 3.x در سازمان ما استفاده می‌شود؟ با توجه به اینکه پوشش SBOM هنوز گسترده نیست، متأسفانه Omdia انتظار دارد این بار حداقل استفاده از SBOM را داشته باشد.

تیم های عملیاتی به طور طبیعی بر ارائه و راه اندازی یک پلت فرم زیربنایی پیچیده تر و ایمن متمرکز هستند. کلمه "پلتفرم" به ویژه در اینجا مهم است: علاقه قابل توجهی به سازماندهی Kubernetes و بسیاری از لیست رو به رشد پروژه های CNCF (140 تا زمان نگارش این مقاله، بین مراحل مختلف جوجه کشی پروژه: جعبه شن، جوجه کشی، فارغ التحصیل) به آسان تر وجود داشت. پلتفرم های مصرفی پروژه‌هایی مانند Cilium (با استفاده از قابلیت eBPF زیربنایی) برای شبکه‌سازی و مشاهده‌پذیری، SPIFFE/SPIRE (برای تعیین هویت)، Falco (برای امنیت زمان اجرا)، Open Policy Agent (برای سیاست به‌عنوان کد) مورد علاقه خاص مخاطبان امنیتی هستند. ، Cloud Custodian (برای حاکمیت)، و دیگران ارزش بررسی دارند. انتظار می رود که این پروژه ها به طور فزاینده ای با جنبه های "مشاهده پذیری" ابر بومی همکاری کنند و همچنین با استفاده از روش هایی مانند GitOps به کار گرفته شوند.

دلایل خوش بینی در امنیت Cloud-Native

از اینجا به کجا می رویم؟ کاملاً واضح بود که جامعه بومی ابری عمیقاً به امنیت اهمیت می‌دهد و با سرعت تمام در حال پیشروی با بسیاری از موضوعات پیرامون خود است. راهنمایی برای تیم های امنیتی این است که به سرعت در مورد چگونگی اجرای این پروژه ها و ابتکارات مختلف سرعت بگیرند. توجه به این نکته مهم است که برای بسیاری از سازمان‌ها، این به شکل استفاده صریح از پروژه جامعه نیست (اگرچه برخی چنین خواهند کرد)، بلکه به عنوان بخشی از یک پلتفرم بسته‌بندی شده از فروشندگانی مانند Red Hat، SUSE، Canonical و دیگران است. یا مستقیماً از ارائه دهندگان ابری مانند AWS، Google Cloud، Azure، Oracle و دیگران.

توجه داشته باشید که، در زمینه استفاده از منبع باز، چیزی به نام واقعاً «رایگان» وجود ندارد - حتی اگر فردی بخواهد از نسخه بالادستی پروژه‌ها استفاده کند، هزینه‌های ذاتی برای نگهداری آن بسته‌ها و مشارکت در توسعه جامعه وجود دارد.