بنیادی ڈھانچے کے بارے میں جو کچھ بھی آپ کوڈ (IaC) کے طور پر پڑھتے ہیں اس پر توجہ مرکوز ہوتی ہے کہ یہ کیسے کام کرتا ہے یا آپ یہ کیوں یقینی بنانا چاہتے ہیں کہ یہ درحقیقت اس طرح کی تعمیر کر رہا ہے جس طرح آپ اسے بنانا چاہتے ہیں۔
یہ نازک علاقے ہیں۔ لیکن کیا ہم اس بارے میں کافی سوچ رہے ہیں کہ ہم اپنی تنظیم میں اس نقطہ نظر کو کس طرح استعمال کرتے ہیں؟
As میلنڈا مارکس ESG کی طرف سے کمپنی کی ایک رپورٹ میں کہا گیا ہے، "83% تنظیموں نے IaC ٹیمپلیٹ کی غلط کنفیگریشنز میں اضافہ کا تجربہ کیا" کیونکہ وہ ٹیکنالوجی کو اپنا رہی ہیں۔
ہم کلاؤڈ سیکیورٹی الائنس کے کام سے جانتے ہیں (“کلاؤڈ کمپیوٹنگ کے لیے سرفہرست خطرات: ایگریگیس گیارہ") اور دیگر، غلط کنفیگریشنز بادل میں سب سے زیادہ خطرہ ہیں۔
IaC کی حمایت کی جاتی ہے۔ کو کم
بنیادی ڈھانچے کی تخلیق کو منظم کرتے ہوئے، سختی اور عمل کی سطح کو شامل کرکے غلط کنفیگریشنز جو اس بات کو یقینی بناتی ہیں کہ ٹیمیں وہی بنا رہی ہیں جو وہ چاہتے ہیں اور صرف وہی جو وہ چاہتے ہیں۔ اگر ~83% ٹیمیں اسے نہیں دیکھ رہی ہیں تو کھیل میں ایک گہرا مسئلہ ہے۔
چھوٹی ٹیموں پر، ایک جہاں DevOps فلسفہ کے Dev اور Ops بٹس ایک ساتھ ہیں، یہ سمجھ میں آتا ہے۔ IaC ان چھوٹی ٹیموں کو ایک ہی زبان استعمال کرنے کی اجازت دیتا ہے — کوڈ — ہر وہ کام بیان کرنے کے لیے جو وہ کر رہے ہیں۔
یہی وجہ ہے کہ ہم ٹیرافارم یا AWS CloudFormation جیسے ٹولز سے بھی اعلی سطحی تجرید دیکھ رہے ہیں۔ AWS CDK اور منصوبے جیسے cdk8s. وہ اعلیٰ سطحی تجریدات ڈویلپرز کے لیے زیادہ آرام دہ ہیں۔
کلاؤڈ سروس کا ایک ops/SRE/پلیٹ فارم کا نقطہ نظر اسی سروس کے ڈویلپر کے نقطہ نظر سے بالکل مختلف ہوگا۔ ایک ڈویلپر قطار میں کھڑی سروس کو دیکھے گا اور اس کے انٹرفیس میں غوطہ لگائے گا - شامل کرنے کے لیے ایک سادہ اینڈ پوائنٹ اور ایک پڑھنے کے لیے؟ فروخت یہ ایک آسان انضمام ہے۔
اس آپریشنل نقطہ نظر کا مقصد کناروں کو تلاش کرنا ہے۔ تو، یہ قطار کب اپنی حد کو پہنچتی ہے؟ کیا کارکردگی مستقل ہے یا یہ بوجھ کے تحت یکسر تبدیل ہوتی ہے؟
ہاں، اوور لیپنگ خدشات ہیں۔ اور ہاں، یہ ایک آسان نظریہ ہے۔ لیکن خیال برقرار ہے۔ IaC بہت سارے مسائل کو حل کرتا ہے، لیکن یہ ٹیموں کے درمیان رابطہ منقطع بھی بنا اور بڑھا سکتا ہے۔ زیادہ اہم بات یہ ہے کہ یہ آپ جس چیز کو بنانے کی کوشش کر رہے ہیں اس کے ارادے اور جو کچھ آپ نے بنایا ہے اس کی حقیقت کے درمیان فرق کو نمایاں کر سکتا ہے۔
نتیجے کے طور پر، یہ وہ جگہ ہے جہاں سیکیورٹی خدشات اکثر بڑھ جاتے ہیں۔
زیادہ تر ٹولنگ — تجارتی یا اوپن سورس — ان چیزوں کی نشاندہی کرنے پر مرکوز ہے جو بنیادی ڈھانچے کے سانچوں میں غلط ہیں۔ یہ
ایک اچھی ساخت ہے. بنانا اس
برا ہو گا. ان ٹولز کا مقصد ان نتائج کو مسلسل انضمام/مسلسل ترسیل (CI/CD) پائپ لائن کے حصے کے طور پر پیدا کرنا ہے۔
یہ بہت اچھا آغاز ہے۔ لیکن یہ ایک ہی زبان کے مسئلے کی بازگشت ہے۔
کون بات کر رہا ہے اور کون سن رہا ہے؟
جب ایک IaC ٹول کسی مسئلے کو اجاگر کرتا ہے، تو کون اس کو حل کرے گا؟ اگر یہ ڈیولپمنٹ ٹیم ہے، تو کیا اس کے پاس یہ جاننے کے لیے کافی معلومات ہیں کہ اسے ایک مسئلہ کے طور پر کیوں نشان زد کیا گیا؟ اگر یہ آپریشن ٹیم ہے، تو کیا رپورٹ میں بیان کردہ مسئلے کے نتائج ہیں؟
ڈویلپرز کے لیے، جو اکثر ہوتا ہے وہ یہ ہے کہ وہ IaC ٹیسٹنگ پاس کرنے کے لیے کنفیگریشن کو آسانی سے ایڈجسٹ کریں گے۔
آپریشنز کے لیے، یہ عام طور پر اس بات کا ہوتا ہے کہ آیا ٹیسٹ پاس ہو رہے ہیں۔ اگر وہ ہیں، تو اگلے کام پر۔ یہ دونوں ٹیموں پر دستک نہیں ہے۔ بلکہ، یہ حقیقت کے مقابلے میں توقعات کے فرق کو نمایاں کرتا ہے۔
ضرورت سیاق و سباق کی ہے۔ IaC سیکیورٹی ٹولنگ اس بات کی مرئیت فراہم کرتی ہے کہ (امید ہے کہ) کیا بننے والا ہے۔ مقصد مسائل کو روکنا ہے۔ اس سے پہلے وہ پیداوار میں آتے ہیں.
آج کی IaC سیکیورٹی ٹولنگ حقیقی مسائل کو اجاگر کر رہی ہے جن پر توجہ دینے کی ضرورت ہے۔ ان ٹولز کا آؤٹ پٹ لینا اور اسے اضافی سیاق و سباق کے ساتھ افزودہ کرنا جو کوڈ کے لیے ذمہ دار ٹیم کے لیے مخصوص ہے کچھ حسب ضرورت آٹومیشن کے لیے ایک بہترین موقع ہے۔
اس سے زبان کے فرق کو پر کرنے میں بھی مدد ملے گی۔ آپ کے ٹولنگ سے آؤٹ پٹ بنیادی طور پر تیسری زبان میں ہوتا ہے — صرف چیزوں کو مزید پیچیدہ بنانے کے لیے — اور اسے اس انداز میں بات چیت کرنے کی ضرورت ہے جو ترقی یا آپریشن کے سامعین کے لیے سمجھ میں آئے۔ اکثر دونوں۔
مثال کے طور پر، جب کوئی اسکین جھنڈا لگاتا ہے کہ سیکیورٹی گروپ کے اصول میں کوئی تفصیل نہیں ہے، تو اس سے فرق کیوں پڑتا ہے؟ صرف ایک الرٹ حاصل کرنا جس میں کہا گیا ہے کہ "سیاق و سباق کے لیے تفصیل شامل کریں" کسی کو بہتر بنانے میں مدد نہیں کرتا ہے۔
اس قسم کا جھنڈا ان ٹیموں کو تعلیم دینے کا بہترین موقع ہے جو کلاؤڈ میں بن رہی ہیں۔ اس وضاحت کو شامل کرنا کہ سیکیورٹی گروپ کے قوانین کو ممکنہ حد تک مخصوص ہونا چاہیے، بدنیتی پر مبنی حملوں کا موقع کم کر دیتا ہے۔ مضبوط قوانین کی مثالوں کے حوالے فراہم کریں۔ نیت جانے بغیر اسے کال کریں، اور دوسری ٹیمیں سیکیورٹی کی تصدیق کی درستگی کی جانچ نہیں کر سکتیں۔
سیکیورٹی ہر کسی کی ذمہ داری ہے، لہذا ڈویلپرز اور آپریشنز کے درمیان زبان کے فرق کو تسلیم کرنے سے آپ کی ٹیموں کو بصیرت فراہم کرنے والے سادہ آٹومیشنز کو شامل کرنے کے اس طرح کے مواقع نمایاں ہوں گے۔ اس سے وہ جو کچھ بنا رہے ہیں اسے بہتر بنانے میں مدد ملے گی اور اس کے نتیجے میں سیکیورٹی کے بہتر نتائج برآمد ہوں گے۔
مصنف کے بارے میں
.jpg?width=690&quality=80&format=webply&disable=upscale "IaC سکیننگ: ایک لاجواب، نظر انداز سیکھنے کا موقع")
میں ایک فرانزک سائنسدان، اسپیکر، اور ٹیکنالوجی تجزیہ کار ہوں جو آپ کو ڈیجیٹل دنیا کا احساس دلانے میں مدد کرنے کی کوشش کرتا ہوں اور اس کا ہم پر اثر پڑتا ہے۔ روزمرہ کے صارفین کے لیے، میرا کام یہ بتانے میں مدد کرتا ہے کہ ڈیجیٹل دنیا کے چیلنجز کیا ہیں۔ سوشل میڈیا کے استعمال سے آپ کی رازداری پر کتنا بڑا اثر پڑتا ہے؟ اس کا کیا مطلب ہے جب ہماری کمیونٹیز میں چہرے کی شناخت جیسی ٹیکنالوجیز کا استعمال شروع ہو رہا ہے؟ میں اس جیسے اور مزید سوالات کے جوابات دینے میں مدد کرتا ہوں۔ ٹیکنالوجی بنانے والے لوگوں کے لیے، میں ان کے کام پر سیکیورٹی اور پرائیویسی لینس لگانے میں ان کی مدد کرتا ہوں، تاکہ وہ صارفین کو اپنی معلومات اور رویے کے بارے میں واضح فیصلے کرنے کے قابل بنا سکیں۔ جب رازداری اور سلامتی کی بات آتی ہے تو الجھن کا پہاڑ ہوتا ہے۔ نہیں ہونا چاہیے۔ میں سیکیورٹی اور رازداری کو سمجھنے میں آسان بناتا ہوں۔
