اسکن IaC: یک فرصت یادگیری فوق العاده و نادیده گرفته شده

همه چیزهایی که در مورد زیرساخت به عنوان کد (IaC) می خوانید، بر نحوه کارکرد آن متمرکز است یا اینکه چرا می خواهید مطمئن شوید که در واقع همانگونه که می خواهید ساخته می شود.

اینها مناطق بحرانی هستند. اما آیا به اندازه کافی در مورد نحوه استفاده از این رویکرد در سازمان خود فکر می کنیم؟

As ملیندا مارکس از ESG در گزارشی از شرکت، "83٪ از سازمان‌ها با افزایش پیکربندی‌های نادرست الگوی IaC" در حالی که به استفاده از این فناوری ادامه می‌دهند.

ما از کار انجام شده توسط Cloud Security Alliance ("تهدیدات اصلی رایانش ابری: یازده فاحش") و سایر موارد، پیکربندی نادرست همچنان یک خطر بزرگ در فضای ابری است.

IaC پشتیبانی می شود كاهش دادن
پیکربندی نادرست با سیستم‌بندی ایجاد زیرساخت، افزودن سطحی از دقت و فرآیند که تضمین می‌کند تیم‌ها آنچه را که می‌خواهند و فقط آنچه را که می‌خواهند می‌سازند. اگر حدود 83 درصد از تیم ها آن را نمی بینند، مشکل عمیق تری در بازی وجود دارد.

در تیم‌های کوچک‌تر، تیمی که در آن قسمت‌های Dev و Ops از فلسفه DevOps با هم هستند، منطقی است. IaC به این تیم‌های کوچک اجازه می‌دهد تا از همان زبان - کد - برای توصیف هر کاری که انجام می‌دهند استفاده کنند.

به همین دلیل است که ما شاهد انتزاعات سطح بالاتری نسبت به ابزارهایی مانند Terraform یا AWS CloudFormation در AWS CDK و پروژه هایی مانند cdk8s. این انتزاعات سطح بالا برای توسعه دهندگان راحت تر است.

چشم انداز ops/SRE/platform یک سرویس ابری با دیدگاه توسعه دهنده همان سرویس متفاوت خواهد بود. یک توسعه دهنده به یک سرویس صف نگاه می کند و به رابط آن می پردازد - یک نقطه پایانی ساده برای افزودن و یکی برای خواندن؟ فروخته شد. این یک ادغام آسان است.

هدف این دیدگاه عملیاتی یافتن لبه ها است. خب کی این صف به حد خودش میرسه؟ آیا عملکرد ثابت است یا تحت بار به شدت تغییر می کند؟

بله، نگرانی های همپوشانی وجود دارد. و بله، این یک نمای ساده شده است. اما این ایده پابرجاست. IaC بسیاری از مشکلات را حل می کند، اما همچنین می تواند قطع ارتباط بین تیم ها را ایجاد و تقویت کند. مهم‌تر از آن، می‌تواند شکاف بین قصد چیزی که می‌خواهید بسازید و واقعیت چیزی که ساخته‌اید را برجسته کند.

در نتیجه، این جایی است که نگرانی های امنیتی اغلب تشدید می شود.

بیشتر ابزارها - تجاری یا منبع باز - بر شناسایی مواردی متمرکز شده اند که در قالب های زیرساخت اشتباه هستند. این
سازه خوبی است ساخت این
بد خواهد بود هدف این ابزارها تولید این نتایج به عنوان بخشی از خط لوله یکپارچه سازی/تحویل پیوسته (CI/CD) است.

این یک شروع عالی است. اما بازتاب همان مسئله زبانی است.

چه کسی صحبت می کند و چه کسی گوش می دهد؟

وقتی یک ابزار IaC مشکلی را برجسته می کند، چه کسی به آن رسیدگی می کند؟ اگر این تیم توسعه باشد، آیا اطلاعات کافی دارد تا بداند چرا این موضوع به‌عنوان یک مشکل علامت‌گذاری شده است؟ اگر تیم عملیات باشد، آیا پیامدهای موضوع در گزارش آمده است؟

برای توسعه دهندگان، آنچه اغلب اتفاق می افتد این است که آنها به سادگی پیکربندی را برای انجام تست IaC تنظیم می کنند.

برای عملیات، معمولاً این موضوع مهم است که آیا آزمون ها موفق هستند یا خیر. اگر هستند، سپس به کار بعدی بروید. این ضربه زدن به هیچ یک از تیم ها نیست. بلکه شکاف انتظارات در مقابل واقعیت را برجسته می کند.

آنچه مورد نیاز است زمینه است. ابزار امنیتی IaC، آنچه را که قرار است (امیدوارم) ساخته شود، قابل مشاهده است. هدف متوقف کردن مسائل است قبل از وارد تولید می شوند.

ابزار امنیتی IaC امروزی مسائل واقعی را برجسته می کند که باید به آنها پرداخته شود. گرفتن خروجی از این ابزارها و غنی سازی آن با زمینه اضافی که مختص تیم مسئول کد است، فرصتی عالی برای اتوماسیون سفارشی است.

این همچنین به پر کردن شکاف زبانی کمک می کند. خروجی ابزار شما اساساً به زبان سوم است - فقط برای پیچیده‌تر کردن کارها - و باید به گونه‌ای ارتباط برقرار شود که برای مخاطبان توسعه یا عملیات منطقی باشد. اغلب هر دو.

به عنوان مثال، هنگامی که یک اسکن نشان می دهد که یک قانون گروه امنیتی توضیحی ندارد، چرا اهمیت دارد؟ فقط دریافت هشداری که می‌گوید «افزودن توضیحات برای زمینه» به کسی کمک نمی‌کند بهتر بسازد.

این نوع پرچم فرصتی عالی برای آموزش تیم هایی است که در فضای ابری می سازند. افزودن این توضیح که قوانین گروه امنیتی باید تا حد امکان خاص باشد، فرصت حملات مخرب را کاهش می دهد. به نمونه هایی از قوانین قوی ارجاع دهید. بدون دانستن هدف، آن را فراخوانی کنید و سایر تیم ها نمی توانند اعتبار تأییدیه امنیتی را آزمایش کنند.

امنیت مسئولیت همه است، بنابراین اذعان به شکاف زبانی بین توسعه‌دهندگان و عملیات، فرصت‌هایی مانند این را برای افزودن اتوماسیون‌های ساده که بینش‌هایی را به تیم‌های شما ارائه می‌دهند برجسته می‌کند. این به بهبود چیزی که آنها می سازند کمک می کند و در نتیجه نتایج امنیتی بهتری را به همراه خواهد داشت.

درباره نویسنده

من یک دانشمند پزشکی قانونی، سخنران، و تحلیلگر فناوری هستم که سعی می کنم به شما کمک کنم تا دنیای دیجیتال را درک کنید و این بر ما تأثیر می گذارد. برای کاربران روزمره، کار من به توضیح چالش‌های دنیای دیجیتال کمک می‌کند. استفاده از رسانه های اجتماعی چقدر بر حریم خصوصی شما تأثیر می گذارد؟ وقتی فناوری هایی مانند تشخیص چهره در جوامع ما شروع به استفاده می کنند به چه معناست؟ من به پاسخگویی به سوالاتی مانند این و موارد دیگر کمک می کنم. برای افرادی که فناوری می‌سازند، به آن‌ها کمک می‌کنم تا از یک لنز امنیتی و حریم خصوصی در کار خود استفاده کنند تا بتوانند کاربران را قادر به تصمیم‌گیری واضح‌تر در مورد اطلاعات و رفتار خود کنند. وقتی صحبت از حریم خصوصی و امنیت می شود کوهی از سردرگمی وجود دارد. نباید وجود داشته باشد. درک امنیت و حریم خصوصی را آسان تر می کنم.