एक स्व-पहचान वाले फिल्म प्रेमी के रूप में, कुछ फिल्म लाइनें किसी न किसी तरह वर्षों तक मेरे साथ जुड़ी रहती हैं। उनमें से एक रिडले स्कॉट का है तलवार चलानेवाला (2000), जब एक रोमन सीनेटर कहता है, "रोम का धड़कता दिल सीनेट का संगमरमर नहीं है, यह कोलोसियम की रेत है।"
जब मैं क्यूबकॉन/क्लाउडनेटिवकॉन ("क्यूबेकॉन") के हॉल में घूम रहा था, तो वह पंक्ति मेरे दिमाग में उभरी, जो कि एक प्रमुख कार्यक्रम था। क्लाउड नेटिव कम्प्यूटिंग फाउंडेशन (सीएनसीएफ). मेरे लिए, क्लाउड-नेटिव सुरक्षा का धड़कता दिल निश्चित रूप से KubeCon है।
इस वर्ष का उत्तरी अमेरिकी संस्करण पिछले सप्ताह डेट्रॉइट में आयोजित हुआ, जिसमें हजारों प्रतिभागियों ने साइट पर और कई अन्य लोगों ने दूर से भाग लिया। मुख्य तीन दिवसीय कार्यक्रम के अलावा, विशिष्ट परियोजनाओं में बढ़ती रुचि ने क्लाउड नेटिव कंप्यूटिंग फाउंडेशन को मुख्य सम्मेलन से पहले विभिन्न "सह-स्थित कार्यक्रम" स्थापित करने के लिए प्रेरित किया है।
2022 के आयोजन के लिए, न केवल एक विशिष्ट CloudNativeSecurityCon दो-दिवसीय कार्यक्रम था, बल्कि एप्लिकेशन नेटवर्किंग दिवस, EnvoyCon, OPA के साथ नीति दिवस, ServiceMeshCon और अन्य सहित अन्य कार्यक्रमों में भरपूर सुरक्षा सामग्री भी थी, जो क्लाउड में व्यापक रुचि को दर्शाती है। देशी सुरक्षा विषय. दिलचस्प बात यह है कि CloudNativeSecurityCon इवेंट अब फरवरी में अलग से आयोजित होने वाले एक स्वतंत्र कार्यक्रम में "स्नातक" हो गया है।
क्लाउड-नेटिव सुरक्षा: विकास बनाम संचालन
तो, क्लाउड-नेटिव सुरक्षा वार्तालापों की वर्तमान स्थिति कहाँ है? ओमडिया के लिए, एक मजबूत विभाजन है: विकास-केंद्रित चिंताएं और संचालन-केंद्रित चिंताएं। इन्हें "डेव" और "ऑप्स" कहना उतना उपयोगी नहीं है क्योंकि कई संगठनों में टीम संरचना परिवर्तनशील है: कुछ में साइट विश्वसनीयता इंजीनियरिंग (एसआरई) टीमें हो सकती हैं, कुछ उन्हें ऑपरेशंस, प्लेटफ़ॉर्म टीम और बहुत कुछ कह सकते हैं।
बही-खाते के विकास पक्ष में, रुचि के तीन विषय उद्गम, शोर और जोखिम हैं।
प्रोवेंस मौलिक प्रश्न पूछता है: क्या हम अपने सॉफ़्टवेयर पाइपलाइन में शामिल किए जा रहे बाहरी घटक की अखंडता पर भरोसा कर सकते हैं? जबकि कई उदाहरण मौजूद हैं, 2020 सोलरविंड्स हमला सॉफ्टवेयर आपूर्ति श्रृंखला की अखंडता में रुचि के लिए एक महत्वपूर्ण मोड़ था। क्यूबकॉन में, सॉफ़्टवेयर छवियों पर हस्ताक्षर करने के विचार के पीछे स्पष्ट गति थी: द सिगस्टोर परियोजना को सामान्य उपलब्धता के रूप में घोषित किया गया था और इसका उपयोग कुबेरनेट्स और अन्य प्रमुख परियोजनाओं द्वारा किया जा रहा है।
शोर का तात्पर्य पर्यावरण में मौजूद कमजोरियों की संख्या को कम करने से है, जो उपयोग की जा रही कंटेनर बेस छवियों को कम करने से शुरू होती है। इसमें अल्पाइन या डेबियन स्लिम जैसे छवि आधारों का उपयोग करना या "डिस्ट्रोलेस" विकल्पों पर विचार करना शामिल हो सकता है जो और भी छोटे हैं। लाभ यह है कि इन छोटी छवियों में न्यूनतम पदचिह्न होते हैं और इसलिए कमजोरियों के सामने आने की संभावना कम हो जाती है।
एक्सपोज़र: किसी भी भेद्यता के लिए, एक संगठन के रूप में हम कितने एक्सपोज़्ड हैं? निस्संदेह, हाल के उद्योग इतिहास में Log4j से बेहतर इसका कोई उदाहरण नहीं है। यह सामग्रियों के सॉफ़्टवेयर बिलों (एसबीओएम) पर चर्चा का क्षेत्र है क्योंकि यह यह जानने से संबंधित है कि घटकों का उपयोग कहीं रजिस्ट्री में छवियों के रूप में या उत्पादन में चल रहा है। दिलचस्प बात यह है कि जब यह निबंध लिखा जा रहा है, तो पहले से सूचना है कि ओपनएसएसएल 3.x में महत्वपूर्ण कमजोरियों के बारे में जानकारी जल्द ही प्रकट की जाएगी, जो संभवतः एसबीओएम के लिए एक और अच्छा उपयोग मामला होगा - हमारे संगठन में ओपनएसएसएल 3.x का उपयोग कहां किया जाता है? यह देखते हुए कि एसबीओएम कवरेज अभी भी व्यापक नहीं है, दुर्भाग्य से, ओमडिया को इस बार न्यूनतम एसबीओएम उपयोग की उम्मीद है।
संचालन टीमें स्वाभाविक रूप से एक तेजी से जटिल अंतर्निहित प्लेटफ़ॉर्म प्रदान करने और संचालित करने और इसे सुरक्षित रूप से करने पर केंद्रित हैं। शब्द "प्लेटफ़ॉर्म" यहाँ विशेष रूप से प्रासंगिक है: कुबेरनेट्स और सीएनसीएफ परियोजनाओं की बढ़ती सूची में से कई को व्यवस्थित करने में उल्लेखनीय रुचि थी (परियोजना ऊष्मायन के विभिन्न चरणों के बीच इस लेखन के अनुसार 140: सैंडबॉक्स, ऊष्मायन, स्नातक) को आसान बनाना- उपभोग करने योग्य प्लेटफार्म। सुरक्षा दर्शकों के लिए विशिष्ट रुचि, नेटवर्किंग और अवलोकन के लिए सिलियम (अंतर्निहित ईबीपीएफ कार्यक्षमता का उपयोग करके), एसपीआईएफएफई/एसपीआईआरई (पहचान स्थापित करने के लिए), फाल्को (रनटाइम सुरक्षा के लिए), ओपन पॉलिसी एजेंट (पॉलिसी-एज़-कोड के लिए) जैसी परियोजनाएं , क्लाउड कस्टोडियन (शासन के लिए), और अन्य देखने लायक हैं। उम्मीद यह है कि ये परियोजनाएं क्लाउड-नेटिव के "अवलोकन" पहलुओं के साथ तेजी से सहयोग करेंगी और GitOps जैसी प्रथाओं का उपयोग करके भी तैनात की जाएंगी।
क्लाउड-नेटिव सुरक्षा पर आशावाद के कारण
यहाँ से काँहा जायेंगे? यह पूरी तरह से स्पष्ट था कि क्लाउड-नेटिव समुदाय सुरक्षा के बारे में गहराई से परवाह करता है और इसके आसपास के कई विषयों से निपटने के साथ पूरी गति से आगे बढ़ रहा है। सुरक्षा टीमों को मार्गदर्शन यह है कि इन विभिन्न परियोजनाओं और पहलों को कैसे कार्यान्वित किया जा रहा है, इस पर शीघ्रता से प्रकाश डाला जाए। यह ध्यान रखना महत्वपूर्ण है कि कई संगठनों के लिए, यह स्पष्ट रूप से सामुदायिक परियोजना (हालांकि कुछ लोग करेंगे) का उपयोग करने के रूप में नहीं आएगा, बल्कि रेड हैट, एसयूएसई, कैनोनिकल और अन्य जैसे विक्रेताओं के पैकेज्ड प्लेटफॉर्म के हिस्से के रूप में आएगा। या सीधे क्लाउड प्रदाताओं जैसे AWS, Google Cloud, Azure, Oracle, और अन्य से।
ध्यान रखें कि, ओपन सोर्स उपयोग के संदर्भ में, वास्तव में "मुफ़्त" जैसी कोई चीज़ नहीं है - भले ही कोई परियोजनाओं के वेनिला अपस्ट्रीम संस्करण का उपयोग करना चुनता है, उन पैकेजों को बनाए रखने और सामुदायिक विकास में भाग लेने में अंतर्निहित लागत होती है।
