أفضل الممارسات للتغلب على التكوين الخاطئ للحاوية
وهو يحث صناع القرار في مجال تكنولوجيا المعلومات على وضع إستراتيجيات أفضل وتغيير ما هو الأمثل للبيئة الجديدة فقط – تحويل الأصول لتقليل التعقيد واحتمال الخطأ البشري والتكلفة. وفقًا لـ Firment، يعد التكوين الخاطئ للحاوية أحد أعراض المشكلات الأكبر المتعلقة بعمليات الترحيل التي لم تتضمن الهندسة المعمارية وممارسة التحديث.
الإستراتيجية الجيدة تعني فقدان القليل
من الواضح أن إدارة تكوين الشبكة والحاويات يمكن أن تكون صعبة – بدءًا من معرفة تخصيص الموارد لتوسيع نطاق الحاوية، أو كيفية الحفاظ على الحالة والاستمرارية مع تجنب الانحراف، علاوة على الاهتمام بتأمين الصور والسجلات الخاصة والعامة والأذونات وما شابه.
ويوصي بلتراميني قادة تكنولوجيا المعلومات بتوزيع الخيارات بدءًا من اختيار نموذج التشغيل – الخدمة الذاتية للمطور في البنية التحتية كوحدات التعليمات البرمجية أو كتالوجات الخدمة، أو عبر فريق النظام الأساسي المركزي – وهيكلة المؤسسة وفقًا لذلك. يجب أيضًا أن تتعاون فرق الأمان والتطوير بشكل وثيق لتقليل التأخير في النظام. وبالإضافة إلى ذلك، ينبغي تحديد معايير القبول في وقت مبكر وتجنب العوائق التنظيمية لعدم الامتثال لبدء تشغيل الأنظمة.
يوصي بلتراميني بتسخير قادة تكنولوجيا المعلومات أتمتة، التشفير وعمليات التكامل الأصلية، مع جميع الأقسام المشاركة في تأليف التعليمات البرمجية المشتركة أو تغييرها حيثما أمكن ذلك. وهذا يعني تفصيلًا لكل عملية، وسياسات الحاوية والكبسولة، وتكوينات وقت التشغيل التفصيلية ومحاسبة الموارد. يجب تخصيص ملفات تعريف الأمان حول مكالمات النظام والوصول إلى نظام الملفات والثنائيات والمكتبات وتقييد القدرات وما إلى ذلك.
هناك حاجة إلى نهج منظم لتغطية جميع القواعد بهذه الدرجة من التعقيد في المكدس. على سبيل المثال، في كل حجرة فقط، تشمل الاعتبارات الصور والتطبيقات وأنظمة التشغيل والمستخدمين وأي أسرار مخفية والمزيد، كما يقول بلتراميني.
يسلط كريس جنكينز، مهندس الحلول الرئيسي في Red Hat، الضوء أيضًا على الدراسة الدقيقة للحاويات وتنسيقها بالإضافة إلى ما يوجد بداخلها. لا تنس أن العديد من الإخفاقات الأمنية يمكن أن تعود إلى إهمال الأساسيات مثل تحديث و رقعةعمل, ناهيك عن الاستخدام غير المدروس للمفاتيح الخاصة مقابل المفاتيح العامة.
اجعل الأمر أكثر بساطة عندما تستطيع
يحث جينكينز قادة تكنولوجيا المعلومات على البدء بطريقة نظيفة، وإبقائها بسيطة حيثما أمكن ذلك. “أنت تريد أن تبدأ بفعل شيء صحيح. أعطهم أ [clean] الصورة الأساسية التي يمكنهم البدء عليها وتقليل الألم.
يحث جينكينز مطوري البرامج على استخدام الحزم اللازمة لتشغيل التطبيق فقط. على سبيل المثال، إذا تم تثبيت 50000 حزمة ولم يتم استخدامها مطلقًا، فمن المحتمل أن تكشف عددًا كبيرًا من نقاط الضعف المحتملة. بدلاً من ذلك، فإن نهج جينكينز هو البدء بـ صفحة فارغة يمكن الاعتماد عليها في أعمال تطوير التطبيق، حيث يمكن فهم الحالة الأمنية أو مؤشر الصحة لصورة معينة.
ويقول: “إننا ننتج صورًا أساسية كل ستة أسابيع”. “ثم نقوم بإجراء تحليل التعليمات البرمجية للتحقق من كافة التعليمات البرمجية. سيكون لدى المطورين أيضًا التبعيات من الكود والتي سوف تستدعي مكتبات أخرى.”
يجب أن تكون فاتورة المواد أو الوصفة النهائية غير القابلة للتغيير مطابقة لهذه الصورة المحددة ويتم التحقق منها. ويقول إنه إذا تغير أي شيء، أو إذا حدث خطأ في التوضيح أو لم يتطابق المفتاح، فلا تنشره.
من الواضح أن المنظمات الصغيرة قد تجد هذا المستوى من إدارة المخاطر أمرًا صعبًا. قد يكون من الممكن النظر في تقسيم جميع المهام، على سبيل المثال، من خلال التنقل بين المهام المختلفة في أيام مختلفة من الأسبوع، لتغطية كل شيء من حيث الأمن السيبراني.
توجد الكثير من الأدوات المختلفة للمساعدة في هذا الأمر، خاصة في مجال المصادر المفتوحة.
يقول دينيش ماجريكار، كبير مسؤولي التكنولوجيا (CTO) في مزود الخدمات Civo، إن بعض الأدوات يمكن أن تساعد المؤسساتتحول اليسار‘ بشأن أمن الحاويات. إنها توفر وظائف مثل فحص الحاويات أثناء الإنشاء وإعداد التقارير في مسارات التكامل المستمر والتسليم المستمر (CI/CD) حول المشكلات المعروفة. تتضمن الأمثلة ما إذا كانت منافذ الشبكة مفتوحة، أو كيفية تعريف المكتبات، أو ما إذا كان إصدار Java أو Node.js قديمًا.
يقول ماجريكار إن تقديم تعليقات مستمرة للمطورين أمر “مهم حقًا”. ويوصي باختيار الحد الأدنى من الامتيازات والأذونات، والحد الأدنى من عمليات التثبيت والتبعيات – على الرغم من أن صناع القرار في مجال تكنولوجيا المعلومات يحتاجون إلى موازنة ذلك مع متطلبات تصحيح الأخطاء.
ويضيف ماجريكار: “يمكنك ارتكاب الأخطاء في كل مكان”. “باستخدام Kubernetes، هناك 100 شيء مختلف يمكنك تغييره. قد لا تكتشف شيئًا كان ينبغي عليك أن تقول “نعم” له والذي تم تعيينه حاليًا على “لا”، وهذا ليس بالضرورة الحاويات أيضًا، ولكن بيئة Kubernetes المُدارة التي تعمل بداخلها.
يقول: “عليك الآن تنسيق تغيير كلمة المرور ونشر التعليمات البرمجية الخاصة بك في الإنتاج في نفس الوقت، على سبيل المثال”. “أنت بحاجة إلى استخدام تجربتك أيضًا فيما يتعلق بالأسرار والتخزين وأشياء من هذا القبيل بدلاً من ذلك. يعود هذا إلى القليل من التعليم، وأعتقد أن هناك تدريبًا محددًا يركز على الأمن [such as certified Kubernetes security specialist (CKS)] و/أو القراءة.”
عادي صدخول واختبار التكوين يمكن أن يكون هذا أمرًا أساسيًا للكشف عن نقاط الضعف في الوصول القائم على الأدوار وغياب أفضل الممارسات، كما هو الحال فيما يتعلق بتجزئة الشبكة أو إدارة الأسرار – لأسباب ليس أقلها أن المشكلات المحتملة تتغير باستمرار أيضًا، كما يقول.
يضيف مارك بوست، الرئيس التنفيذي لشركة سيفو: “قد تحتاج الشركات الصغيرة إلى رمي النرد أكثر بسبب التكلفة”. “قد تتمكن في بعض الأحيان من تشغيل الأشياء، ثم دفعها للخارج، وقبل أن تعرف، يتم إنتاجها على الرغم من أنك لم تتمكن من تقويتها. لذا، فإن التوصية هنا أيضًا هي التأكد من العودة إليها مرة أخرى.”
يجب على المنظمات التحقق مرة أخرى من الأمور بنفسها. لا تترك الأمر كله لمزود الخدمات المُدارة، على افتراض أنه قد تحمل هذه المسؤولية كل ال حماية تتم معالجة.
ويضيف ماجريكار: “يمكن أن يكون النقل بالحاويات قويًا للغاية، ولكن مع القوة الكبيرة تأتي مسؤولية كبيرة”.
تقليل الأسطح الهجومية العامة
ويشير كريستال مورين، استراتيجي الأمن السيبراني في Sysdig، إلى أن “ما يقرب من 66% من السجلات” لا تزال عامة – وليست داخلية، وليست خاصة، ولا يديرها البائع. وتقول إن هذه الأمور غالبًا ما تكون “مجرد سحب شيء ما من الإنترنت، وإلقائه في البنية التحتية الخاصة بك”.
تتم عمليات الفحص أثناء دفع التحديثات إلى الصورة العامة، وقد لا يكون فريق أمن تكنولوجيا المعلومات على علم بحدوث ذلك. هذه مشكلة يعتقد مورين أن أمن تكنولوجيا المعلومات وفرق المطورين بحاجة إلى معالجتها
يبقى التحول إلى اليسار والدرع إلى اليمين من أفضل الممارسات: تأكد من تعزيز الأمان في البداية ومواصلة الحماية على الواجهة الخلفية. تأمين الحاويات في مرحلة الإنتاج من خلال الكشف عن التهديدات في الوقت الفعلي وسياسات للتنبيه والاستجابة في الوقت المناسب، بما في ذلك أتمتة الاستجابة للحوادث.
وتشير إلى أنه بدون الأتمتة، قد يكون هناك نقص في الوقت أو القدرة أو القدرة.
“أدركت المؤسسات التي تركز على الأمن السحابي الأصلي الآن أن الأمن يمثل مشكلة تواجهها المؤسسة. يقول مورين: “يجب على الجميع أن يكونوا على دراية بما يفعلونه وكيف يمكنهم المساعدة”.
كما أن دمج الأمان عبر المؤسسة بأكملها يوفر قيمة لجميع المستخدمين وفي النهاية لكل عميل.
يقول مورين: “إذا ذهبت وتحدثت مع الآخرين حول الأمن، فقد يفهمون ربما 40%”. “نحن بحاجة إلى التعاون بشكل أفضل في جميع أنحاء العمل، والتنسيق معًا، وليس فقط كأشخاص مهووسين بالتقنية خلف الكواليس. تحول إلى اليسار، وجعل التنمية أكثر أمنا. ومن الواضح أن هذا كثيرًا صورة أكبر من مجرد حاويات.“