بهعنوان یک علاقهمند به فیلم، برخی از خطوط فیلم در طول سالها به نوعی به من چسبیده است. یکی از آنها از ریدلی اسکات است پهلوان از جان گذشته (2000)، وقتی یک سناتور رومی می گوید: "قلب تپنده رم سنگ مرمر سنا نیست، شن کولوسئوم است."
وقتی در سالنهای KubeCon/CloudNativeCon ("KubeCon") راه میرفتم، این خط در ذهنم ظاهر شد بنیاد محاسبات بومی ابری (CNCF). برای من، قلب تپنده امنیت بومی ابری قطعا KubeCon است.
نسخه امسال آمریکای شمالی این رویداد هفته گذشته در دیترویت برگزار شد و هزاران شرکت کننده را در محل به همراه بسیاری دیگر از راه دور گرد هم آورد. علاوه بر رویداد اصلی سه روزه، علاقه فزاینده به پروژههای خاص، بنیاد محاسبات بومی ابری را بر آن داشت تا پیش از کنفرانس اصلی «رویدادهای هممکانی» مختلفی را راهاندازی کند.
برای رویداد 2022، نه تنها یک رویداد دو روزه خاص CloudNativeSecurityCon وجود داشت، بلکه محتوای امنیتی زیادی در رویدادهای دیگر، از جمله Application Networking Day، EnvoyCon، روز سیاست با OPA، ServiceMeshCon و موارد دیگر وجود داشت که نشان دهنده علاقه گسترده به cloud- است. موضوعات امنیتی بومی جالب اینجاست که رویداد CloudNativeSecurityCon خود اکنون به یک رویداد مستقل "فارغ التحصیل" شده است که به طور جداگانه در ماه فوریه میزبانی می شود.
امنیت Cloud-Native: توسعه در مقابل عملیات
بنابراین، وضعیت فعلی مکالمات امنیتی ابری در کجاست؟ برای Omdia، یک دوشاخه قوی وجود دارد: نگرانی های توسعه محور و نگرانی های عملیات محور. نامگذاری این «توسعهدهنده» و «Ops» چندان مفید نیست زیرا ساختار تیم در بسیاری از سازمانها در جریان است: برخی ممکن است تیمهای مهندسی قابلیت اطمینان سایت (SRE) داشته باشند، برخی ممکن است آنها را عملیات، تیمهای پلتفرم و غیره بنامند.
در سمت توسعه دفتر کل، سه موضوع مورد علاقه منشأ، نویز و قرار گرفتن در معرض هستند.
Provenance این سوال اساسی را مطرح می کند: آیا می توانیم به یکپارچگی مولفه خارجی که در خط لوله نرم افزار خود ادغام می کنیم اعتماد کنیم؟ در حالی که نمونه های زیادی وجود دارد، حمله SolarWinds در سال 2020 نقطه عطفی برای علاقه به یکپارچگی زنجیره تامین نرم افزار بود. در KubeCon، شتاب محسوسی در پشت ایده امضای تصاویر نرم افزار وجود داشت: The sigstore پروژه به عنوان در دسترس بودن عمومی اعلام شد و توسط Kubernetes و سایر پروژه های کلیدی استفاده می شود.
نویز به کاهش تعداد آسیبپذیریهای موجود در محیط اشاره میکند که با کاهش تصاویر پایه کانتینر مورد استفاده شروع میشود. این ممکن است شامل استفاده از پایههای تصویری مانند Alpine یا Debian Slim یا در نظر گرفتن گزینههای «بدون توزیع» که حتی کوچکتر هستند، باشد. مزیت این است که این تصاویر کوچکتر دارای حداقل ردپا هستند و در نتیجه احتمال بروز آسیب پذیری ها کاهش می یابد.
قرار گرفتن در معرض: برای هر آسیب پذیری خاصی، ما به عنوان یک سازمان چقدر در معرض خطر هستیم؟ البته هیچ نمونه ای بهتر از Log4j در تاریخ صنعت اخیر وجود ندارد. این حوزه بحث در مورد صورتحسابهای مواد نرمافزاری (SBOM) است، زیرا مربوط به دانستن مکانهایی است که اجزا میتوانند بهعنوان تصاویری که در جایی در یک رجیستری قرار دارند یا در حال تولید هستند، استفاده شوند. جالب اینجاست که همانطور که این مقاله در حال نگارش است، اطلاع قبلی وجود دارد که اطلاعات مربوط به آسیبپذیریهای حیاتی در OpenSSL 3.x بهزودی فاش میشود، که احتمالاً یکی دیگر از موارد استفاده خوب برای SBOM ها خواهد بود – فقط در کجا از OpenSSL 3.x در سازمان ما استفاده میشود؟ با توجه به اینکه پوشش SBOM هنوز گسترده نیست، متأسفانه Omdia انتظار دارد این بار حداقل استفاده از SBOM را داشته باشد.
تیم های عملیاتی به طور طبیعی بر ارائه و راه اندازی یک پلت فرم زیربنایی پیچیده تر و ایمن متمرکز هستند. کلمه "پلتفرم" به ویژه در اینجا مهم است: علاقه قابل توجهی به سازماندهی Kubernetes و بسیاری از لیست رو به رشد پروژه های CNCF (140 تا زمان نگارش این مقاله، بین مراحل مختلف جوجه کشی پروژه: جعبه شن، جوجه کشی، فارغ التحصیل) به آسان تر وجود داشت. پلتفرم های مصرفی پروژههایی مانند Cilium (با استفاده از قابلیت eBPF زیربنایی) برای شبکهسازی و مشاهدهپذیری، SPIFFE/SPIRE (برای تعیین هویت)، Falco (برای امنیت زمان اجرا)، Open Policy Agent (برای سیاست بهعنوان کد) مورد علاقه خاص مخاطبان امنیتی هستند. ، Cloud Custodian (برای حاکمیت)، و دیگران ارزش بررسی دارند. انتظار می رود که این پروژه ها به طور فزاینده ای با جنبه های "مشاهده پذیری" ابر بومی همکاری کنند و همچنین با استفاده از روش هایی مانند GitOps به کار گرفته شوند.
دلایل خوش بینی در امنیت Cloud-Native
از اینجا به کجا می رویم؟ کاملاً واضح بود که جامعه بومی ابری عمیقاً به امنیت اهمیت میدهد و با سرعت تمام در حال پیشروی با بسیاری از موضوعات پیرامون خود است. راهنمایی برای تیم های امنیتی این است که به سرعت در مورد چگونگی اجرای این پروژه ها و ابتکارات مختلف سرعت بگیرند. توجه به این نکته مهم است که برای بسیاری از سازمانها، این به شکل استفاده صریح از پروژه جامعه نیست (اگرچه برخی چنین خواهند کرد)، بلکه به عنوان بخشی از یک پلتفرم بستهبندی شده از فروشندگانی مانند Red Hat، SUSE، Canonical و دیگران است. یا مستقیماً از ارائه دهندگان ابری مانند AWS، Google Cloud، Azure، Oracle و دیگران.
توجه داشته باشید که، در زمینه استفاده از منبع باز، چیزی به نام واقعاً «رایگان» وجود ندارد - حتی اگر فردی بخواهد از نسخه بالادستی پروژهها استفاده کند، هزینههای ذاتی برای نگهداری آن بستهها و مشارکت در توسعه جامعه وجود دارد.