Tot ceea ce citiți despre infrastructură ca cod (IaC) se concentrează pe modul în care funcționează sau de ce doriți să vă asigurați că de fapt se construiește așa cum doriți să o construiască.
Acestea sunt zone critice. Dar ne gândim suficient la modul în care folosim această abordare în organizația noastră?
As Melinda Marks de la ESG afirmă într-un raport al companiei, „83% dintre organizații au experimentat o creștere a configurațiilor greșite ale șablonului IaC”, pe măsură ce continuă să adopte tehnologia.
Știm din munca depusă de Cloud Security Alliance („Principalele amenințări la adresa cloud computing: Egregious Eleven„) și altele, configurațiile greșite continuă să fie un risc major în cloud.
IaC este suportat pentru reduce
Configurații greșite prin sistematizarea creării infrastructurii, adăugând un nivel de rigoare și proces care asigură ca echipele construiesc ceea ce își doresc și doar ceea ce își doresc. Dacă ~83% dintre echipe nu văd asta, există o problemă mai profundă în joc.
În echipe mai mici, una în care părțile Dev și Ops ale filozofiei DevOps sunt împreună, asta are sens. IaC permite acestor echipe mici să folosească același limbaj – cod – pentru a descrie tot ceea ce fac.
Acesta este motivul pentru care vedem abstracții la nivel mai înalt decât instrumente precum Terraform sau AWS CloudFormation în AWS CDK si proiecte de genul cdk8s. Aceste abstracții de nivel înalt sunt mai confortabile pentru dezvoltatori.
O perspectivă operațională/SRE/platformă a unui serviciu cloud va fi extrem de diferită de perspectiva dezvoltatorului aceluiași serviciu. Un dezvoltator se va uita la un serviciu de așteptare și se va scufunda în interfața acestuia - un punct final simplu de adăugat și unul de citit? Vândut. Aceasta este o integrare ușoară.
Această perspectivă operațională urmărește găsirea marginilor. Deci, când își atinge limita această coadă? Performanța este constantă sau se modifică radical sub sarcină?
Da, există preocupări care se suprapun. Și da, aceasta este o vedere simplificată. Dar ideea ține. IaC rezolvă o mulțime de probleme, dar poate, de asemenea, să creeze și să amplifice deconectarea dintre echipe. Mai important, poate evidenția decalajul dintre intenția a ceea ce încerci să construiești și realitatea a ceea ce ai construit.
Ca rezultat, aici se intensifică adesea preocupările de securitate.
Majoritatea instrumentelor - comerciale sau open source - se concentrează pe identificarea lucrurilor care nu sunt în regulă cu șabloanele de infrastructură. Acest
este un construct bun. Făcând acest
ar fi rau. Aceste instrumente urmăresc să genereze aceste rezultate ca parte a conductei de integrare continuă/livrare continuă (CI/CD).
Este un început grozav. Dar ecou la aceeași problemă de limbă.
Cine vorbește și cine ascultă?
Când un instrument IaC evidențiază o problemă, cine o va aborda? Dacă este echipa de dezvoltare, are suficiente informații pentru a ști de ce aceasta a fost semnalată ca o problemă? Dacă este vorba de echipa de operațiuni, consecințele problemei sunt prezentate în raport?
Pentru dezvoltatori, ceea ce se întâmplă adesea este că pur și simplu vor ajusta configurația pentru a face testarea IaC să treacă.
Pentru operațiuni, este de obicei o chestiune de trecere a testelor. Dacă sunt, atunci treceți la următoarea sarcină. Asta nu este o lovitură pentru nicio echipă; mai degrabă, evidențiază decalajul așteptărilor față de realitate.
Ceea ce este nevoie este contextul. Instrumentele de securitate IaC oferă vizibilitate asupra a ceea ce este pe cale (sperăm) să fie construit. Scopul este de a opri problemele înainte intră în producție.
Instrumentele de securitate IaC de astăzi evidențiază probleme reale care trebuie abordate. Preluarea rezultatelor acestor instrumente și îmbogățirea acestuia cu un context suplimentar care este specific echipei responsabile pentru cod este o oportunitate perfectă pentru o automatizare personalizată.
Acest lucru va ajuta, de asemenea, la reducerea decalajului lingvistic. Rezultatele instrumentelor dvs. sunt în esență într-o a treia limbă - doar pentru a complica lucrurile - și trebuie comunicate într-o manieră care să aibă sens fie pentru un public de dezvoltare, fie pentru un public operațional. Adesea ambele.
De exemplu, când o scanare semnalează că o regulă de grup de securitate nu are o descriere, de ce contează? Doar primirea unei alerte care spune „Adăugați o descriere pentru context” nu ajută pe nimeni să construiască mai bine.
Acest tip de steag este o oportunitate excelentă de a educa echipele care construiesc în cloud. Adăugarea unei explicații conform căreia regulile grupului de securitate ar trebui să fie cât mai specifice posibil reduce șansele de atacuri rău intenționate. Furnizați referințe la exemple de reguli puternice. Anunțați asta fără să cunoașteți intenția și alte echipe nu pot testa validitatea confirmării de securitate.
Securitatea este responsabilitatea tuturor, așa că recunoașterea decalajului de limbă dintre dezvoltatori și operațiuni va evidenția oportunități ca aceasta de a adăuga automatizări simple care oferă informații echipelor dvs. Acest lucru va ajuta la îmbunătățirea a ceea ce construiesc și, ca urmare, va genera rezultate mai bune în materie de securitate.
Despre autor
.jpg?width=690&quality=80&format=webply&disable=upscale "Scanarea IaC: O oportunitate de învățare fantastică, trecută cu vederea")
Sunt criminalist, vorbitor și analist de tehnologie care încearcă să vă ajute să înțelegeți lumea digitală și impactul acesteia asupra noastră. Pentru utilizatorii obișnuiți, munca mea ajută să explic care sunt provocările lumii digitale. Cât de mare impact are utilizarea rețelelor sociale asupra vieții private? Ce înseamnă atunci când tehnologii precum recunoașterea facială încep să fie folosite în comunitățile noastre? Ajut să răspund la întrebări de genul acesta și altele. Pentru oamenii care construiesc tehnologie, îi ajut să aplice o lentilă de securitate și confidențialitate în munca lor, astfel încât să le permită utilizatorilor să ia decizii mai clare cu privire la informațiile și comportamentul lor. Există un munte de confuzie când vine vorba de confidențialitate și securitate. Nu ar trebui să existe. Fac securitatea și confidențialitatea mai ușor de înțeles.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
