Yazar | Drishti Shastri
Çevirmen | Tanrı sıkı çalışmayı ödüllendirir Sorumlu Editör | Xu Weilong
Mühür görüntüsü | Görsel Çin'de CSDN indirme
Bugünün çağında, kurumsal ağ ve veri güvenliği riskleri, şimdiye kadar hiç olmadığı kadar önemli olmamıştı. Bununla birlikte, geleneksel yöntemler (genel bulut operatörleri tarafından kullanılanlar dahil) temelde aynıdır.
Bulut yerel uygulamaların yükselişi ve güvenlik tehditleri
Bugünün çağında, kurumsal ağ ve veri güvenliği riskleri, şimdiye kadar hiç olmadığı kadar önemli olmamıştı. Bununla birlikte, geleneksel yöntemler (genel bulut operatörleri tarafından kullanılanlar dahil) temelde aynıdır.
Tehditleri önlemek yerine tehdit saldırılarına yanıt veren müdahale önlemlerine geçiş yapın. Bulut tabanlı uygulamalar giderek daha fazla değerleniyor ve mümkün olan her şekilde geleneksel bilgeliği sorguluyor.
Altyapıdan uygulama geliştirmeye kadar yığın, geleneksel yöntemler ile daha modern bulut tabanlı yöntemler arasında keskin bir karşıtlık oluşturur ve bunların çoğu başarılı modeller ve uygulamalar hakkında genel görüşlere ulaşmıştır: DevOps kültürü, sürekli teslim ve mikro hizmet mimarisi. Bulutta yerel güvenliği neden yeniden tasarlamadık? Bununla ilgili cesur yeni fikirlerimiz nerede?
Kesinlikle söylenebilir ki, uygulamaların teslim edilmesi sürecinde, bulutta yerel güvenliğin uzun süredir izlendiği söylenebilir. Geleneksel BT güvenlik ekipleri kendilerini aracı olarak görüyor. İşlerini doğru bir şekilde tamamlamaları gerekir, aksi takdirde ajansın karşı karşıya olduğu daha büyük risklerle karşılaşacaklardır.
Tüm süreçlerde yüksek güvenlik gereksinimleri vardır, ancak bu seviyeleri karşılamak için zaman, test ve revizyon gerekir. Bu, uygulama geliştirmeyi geciktirdiği ve genellikle tam koruma sağlamadığı için geliştirme ekipleri genellikle şikayet eder.
Kuruluşlar, uygulama geliştirme yaşam döngüsünü iyileştirmek ve hızlandırmak ve bulut tabanlı uygulamaları planlamak istediklerinde, güvenlik daha belirgin bir test haline gelecektir. Bulutta yerel uygulamaların çoğu, alışılmadık üretkenlik, uyarlanabilirlik ve maliyet avantajları sağlayabilen yeni modellerde çalışıyor.
Dev-ops kullanan bulutta yerel geliştirme, güvenlik bileşeni olarak DevSecOps'u da kullanır. DevSecOps, güvenliği hız, çeviklik ve sürekli teslimat sürecine dahil etmeye çalışır. Bununla birlikte, DevSecOps entegrasyonu, iş süreci işlevlerini ve denetimi görmezden gelirse ve kullanıcı güvenliği düşükse, sürekli bir dağıtım sisteminde güvenliği sağlamak zor olabilir.
Bulut yerel güvenlik açığı
Bulut yerel kesinlikle boşluklara sahip olacaktır. Biz insanız ve özellikle son tarihler ve ürün teslimatı talep ettikten sonra hatalar yapmak zorundayız. Tüm uyarılara, işaretlere ve önlemlere rağmen bazı yanlış kararlar vereceğiz. .
Uyarı verme sürecinde, insanlar GitHub'da bulunan uygulamaları örtbas etmek için Stack Exchange'den körü körüne kopyalayıp yapıştırmaya devam ettiler ve hatta rastgele bir şekilde kodu bilgisiz bir klasörden aldılar ve yalnızca şüphelenebilirlerdi. Yazarın üçüncü bir tarafla hiç tanışmadığına ve hatta konuşmadığına inanılıyor.
Mikro hizmet uygulamalarının dağıtılmış yapısı, üçüncü taraf katılımcıların riskini ortadan kaldırarak kodun tamamı dahili olarak yazıldığında bile, farklı bileşenlerin farklı ekiplere ait olabileceği anlamına gelir.
Ekipler arasındaki iletişim engelleri, testte koordinasyon eksikliği, kalite güvencesi ve hatta uygulamadaki güvenlik açıklarının çözümü gibi bir dizi soruna neden olabilir.
Tek bir bulut tabanlı uygulama, birçok temele dağılmış binlerce kalan görevi içerebilir. Yerel veri merkezlerinde, birçok genel bulutta ve uç veri merkezlerinde garip mikro hizmetler olabilir.Son olarak, organizasyon alanında şu anda geliştirme yapamıyoruz.
Her geliştirici ve her geliştirme ekibi farklı problemlerin nasıl çözüleceğini bilir ve anlar. Yaptıkları şey, dikkatlerini ve bilgilerini buna göre geliştirmektir. Dahili bir kod ortamında, tüm departmanlar daha geniş programlarının bir bölümünü bir şekilde korusalar bile, mikro hizmetler diğer departmanlarla da iletişim kurmalıdır ve iletişim burada bir risk veya güvenlik açığıdır.
Tüm bu iddialar göz korkutucu ve korkutucu gelebilir, ancak bulut yerel, bazı çok karmaşık gerçek dünya sorunlarını çözüyor ve artık varlığını görmezden gelemeyiz. Biz güvenliğini yükseltmeye devam ederken, bulut yerel güvenlik açıkları gelişiyor ve her zaman var oluyor.
Bulut tabanlı uygulamalara yönelik büyük tehditler
Şirketler bulut tabanlı uygulamaların avantajlarını deneyimlemeye başlamalarına rağmen, bu tür sistemlerin kullanımı ve bakımının pratik yönleri hakkında çok az şey biliyorlar. Bulut ortamıyla karşılaştırıldığında, korumanın sonuçları geleneksel sistemlerden çok farklı mıdır? Koruyucu tedbirler ve tedbirler onu nasıl etkiler?
Aşağıda, bulut tabanlı ortamlar için en yüksek güvenlik sorunlarından bazıları verilmiştir:
1. Bulut yapılandırma hatası
IaaS ve bulut veri depolamasının yanlış yapılandırılması, günümüzün en yıkıcı bulut ihlallerinden ve veri sızıntılarından bazılarının ana nedenidir. Yapılandırılmış bulut güvenlik ayarlarını silmek, ortak kodlar kullanmak, belirli kaynaklara sınırsız erişim veya başka herhangi bir nedenle, yapılandırma hataları birçok bilinmeyen tehdide neden olabilir ve bunlar genellikle yalnızca utanç verici karşılaşmalardan sonra gazetelerde görülür. . En son "2019 Bulut Güvenliği Raporu", kuruluşların yaklaşık% 40'ının, ağ güvenliği için ana endişelerinin bulut platformlarının yanlış yapılandırılması olduğuna inandığını belirtti.
2. Ticari olarak yönetilen BT
"Gölge BT" veya "hileli BT" konusunda endişelenmeyin. Birkaç şirketin altyapı satın alma eğilimini bulut hizmetlerini alan ve işleten iş köprüsü müşterilerini "ticari olarak yönetilen BT" ve bir yaratıcılık ve geliştirme motoru olarak adlandırdığını söylemek abartı olmaz. "Harvey Nash / KPMG CIO 2019 Anketi", şirketlerin üçte ikisinden fazlasının şu anda işletmeler için BT yönetimini teşvik ettiğini veya buna izin verdiğini bildirdi. Bunun nedeni, bunu yapan şirketlerin sektördeki rakiplerini yenme yeteneklerinde% 52 ve daha iyi çalışan hizmetleri sağlama olasılıklarında% 38 artış olmasıdır. .
Endişe verici olan, bilgi ve ağ güvenliği uzmanlarının işbirliği olmadan bu bulut teknolojisi adalarının kuruluşlar için büyük bir güvenlik engeli haline gelebilmesidir. Bu şirketler çok hızlı gelişiyor, ancak anket gösteriyor ki Fazladan güvenlik tehlikesi dalga boyları olasılığı, ikincisinin iki katıdır.
3. Çoklu bulut ürünleri satın alın
"Bulut Koruma Birliği Raporu", çoğu şirketin çoklu bulut ürünlerini satın almak için çeşitli satıcıların bulut ortamlarına güvendiğini gösteriyor. Şirketlerin yaklaşık% 66'sı çoklu bulut ayarlarına sahiptir ve bunların yaklaşık% 36'sı çoklu bulut ve hibrit sistemlerin karışımına bağlıdır.
Şu anda, bulut aslında operasyonel işlem maliyetlerini düşürmek isteyen diğer tüm şirketler için tercih edilen araç olduğundan, bulut bilişim, bulut tüketicilerine bir dizi hizmet (SaaS, PaaS, IaaS) sağlamaktadır. Bulut, tüm bağlamında güvenlik, yanıt verme hızı ve hizmet kalitesi sağlar. Bununla birlikte, bir kullanıcı bir buluttan diğerine her geçiş yapamadığında, maliyeti ve QoS ölçeklenebilirliğini koruyacaktır. Bu çoklu bulut bilişim çerçevesinin üstesinden gelmek için, bulut tabanlı sistemler arasında dinamik kaynak paylaşımı tanıtıldı. Çoklu bulut cihazlarında güvenlik daha da karmaşık bir konudur.
4. Hibrit mimari
Tanınmış "Cloud Security Alliance Report" a göre, kuruluşların yaklaşık% 55'i karmaşık, hibrit bulut bilişim ortamlarına sahiptir. Bu sistem, büyük kuruluşların kademeli olarak buluta geçmeleri için mükemmel bir yol sağlar, ancak mimari boyunca varlıkları takip etmeleri ve çok sayıda hibrit bulut bağlantısının faaliyetlerini izlemeleri zor olduğunda, güvenlik zorlukları ortaya çıkarır. Aslında, önceki bir Firemon raporu, kuruluşların% 80'inin hibrit güvenlik izleme ve yönetim araçlarının sınırlamalarına ve karmaşıklığına meydan okuduğunu gösterdi.
5. karanlık veriler
Tıpkı telekomünikasyon endüstrisindeki karanlık fiber gibi, karanlık veriler de işletmeler ve işletmeler için geçerlidir. Burada pek çok gelişmemiş, çoğunlukla düzenlenmemiş veri var, sadece varlar ve hiçbir şey yapmıyorlar.
Ne yazık ki, koyu lifler, yalnızca onları aydınlatarak güç ve bant genişliğini artırmanın avantajlarını açıkça temsil etse de, tanımlanıp göz ardı edilse bile, karanlık veriler, kullanıcının elinde hata yapıp yapmadığına veya kullanıcının menziline girip girmediğine bakılmaksızın bir güvenlik riski de olabilir. dış.
Karanlık verilerle ilgili çoğu tartışma, organizasyonların potansiyel değerine ve faydasına odaklanma eğilimindedir. Aslında, bu beklentiler, karanlık verilerde kilitli olan bilgi ve ilgiyi yaratmak ve kullanmak için sermaye (fon, ekipman ve zaman) harcamaya istekli kuruluşlar için şüphesiz kazançlıdır. Bu aynı zamanda, birçok şirketin kendi adına çalışmayı düşünmeseler bile, kısa vadede veya planlama sürecinde daha fazla karanlık ayrıntı paylaşmayı neden reddettiklerini de açıklıyor.
Potansiyel olarak çekici birçok bilgi kaynağı gibi, şirketler de karanlık veriler, müşterileri ve bulut operasyonları hakkındaki karanlık verilerin veya karanlık verilerin, sürekli sağlık ve refahları için riskler getirebileceğinin farkında olmalıdır. Doğrudan kontrol ve yönetimlerinin ötesinde. Son araştırmalara göre, kuruluşların% 40'ı hala konteyner ortamları için bir güvenlik stratejisinin planlanması veya temel aşamasında.
6. Konteynerler ve konteyner düzenlemesi
Yüzeyde uygulamalar geliştirmek için kapsayıcılar kullanırsanız veya mevcut tek kaynaklı (monolitik) uygulamaları kapsayıcıya alınmış bir ekosisteme getirirseniz, kapsayıcı ortamının garip güvenlik tehditleri oluşturduğunu anlamanız gerekir. İlk günden itibaren bu tehditlerle başa çıkmaya hazır olmalısınız. Üretim endüstrisinde kurulacak ve çalıştırılacak kendi konteynerinizi oluşturmaya başlayın.
Aşağıdakiler en yaygın konteyner güvenlik riskleridir:
Tam güvenliği sağlayın
Bulutta yerel güvenliğe yaklaşmak için en iyisi geleneksel manuel güvenlik tekniklerini kullanmamaktır. Buna ek olarak, başarılı bir DevSecOps oluşturmak için BT departmanı, otomasyon ve güvenlik personelini DevOps ekibine entegre etmeye odaklanmalıdır. Kapsayıcı altyapısındaki mikro hizmet mimarisi paketi nedeniyle, bulut tabanlı uygulamalar geleneksel uygulamalardan daha hızlı ölçeklenebilir. Yukarıdakiler, manuel güvenlik yöntemlerinin muhafaza edilemeyecek kadar yavaş olduğu ve otomasyonun zorunlu olduğu anlamına gelir. Güvenlik ekibini DevOps grubuna dahil etmek, bir sorun keşfedildiğinde değiştirilmek yerine güvenliğin uygulama koduna dahil edilmesini sağlar. Bu aynı zamanda soruna verilen yanıtı hızlandırabilir ve netleştirebilir.
Kapsamlı siber güvenliği sağlamada büyük potansiyele sahip beş DevSecOps sütunundan bahsedelim:
Tüm bu sütunlar odak alanlarıdır, bu nedenle iş güvenliği tutarlı ve tam olarak uygulanır ve daha fazla inceleme gerektirir. Her uygulama ayağı için departmanlar arası bir vizyon sağlamak için, tüm sütunlar yatay olarak yönetilir. Bu yönetişim modelleri her bir sütun için geçerlidir ve sütunların karşılıklı yarar sağlayacak şekilde işlemesini sağlar.
Yeni güvenlik prototiplerine talep
İstatistikler, 2021 yılına kadar şirketlerin% 92'sinin bulut tabanlı şirketler olacağını gösteriyor.
Bunu söyledikten sonra, genellikle bir organizasyonun başını belaya sokan şey, 5.000 dolarlık bir uygulama ve bunun için 5 dolarlık bir güvenlik sistemi oluşturmaktır. Bulut güvenliği söz konusu olduğunda, güvenlik eşittir veya daha önemli bir faktördür. Bu nedenle, DevSecOps konseptinin mümkün olan en kısa sürede uygulanması ve ciddiye alınması gerekir.
DevSecOps, uygulama geliştirme sürecinin tüm aşamalarında uyumluluk sağlar ve uygulamaların tasarlanması ve kurulmasından sorumludur. İlk adım, ekibin veya kuruluşun yapısını değerlendirmek ve ekibi veya kuruluşu temsil etmek için prosedürler oluşturmaktır.
İlk adım, herkesin korumadan sorumlu olmasını sağlamak için ekipler arasında siloların tahsis edilmesidir. Geliştirme ekibi uygulamayı güvenlik nedenleriyle oluşturduğundan, Ops yazılımı daha hızlı teslim edecek ve size gönül rahatlığı sağlayacaktır çünkü geliştiricilerin kararlılık ve korumanın gerekli olduğunu bildiklerini anlarlar.
Aslında, acil güvenlik denetimleri için bir süreç olması gerekir.
Sunucu kayıtları, değişiklikleri kimin yaptığını, hangi değişikliklerin yapıldığını ve değişikliklerin ne zaman yapıldığını gösterir Bunlar, programı gözden geçirirken bilinmesi gereken önemli gerçeklerdir. Korumayı sürdürmenin en kolay yolu, sistemin her zaman en son yazılım güncellemelerini çalıştırdığından emin olmaktır. Güvenlik düzeltmesi aylar almaz ve hızlı ve otomatik olmalıdır. aynı, API'ler ve yeni özellikler geliştirilirken olası güncellemeler yapılmalıdır, Yazılımın sorumluluk almasını önlemek ve çökmeleri önlemek için çerçevenin yama yapmasını önlemek.
Bulutta yerel uygulamalar oluştururken, yazılımınızı korumak için hala tek bir güvenlik yöntemi yoktur. Buluttaki sunucu kaynaklarını korumak için çok yönlü bir yaklaşım benimsemeniz gerekir. Konteynırınızı korumak için birkaç strateji benimsemeniz gerekir. Sonuçta, güvenliği uygun öncelik listesine koymak için bir DevSecOps stratejisine ihtiyacınız var.
İdeal bir bulut yerel güvenlik çerçevesi nasıl görünür?
Bulut tabanlı geçişlere izin vermek için şirketlerin bir güvenlik stratejisi tasarlamadan önce aşağıdaki ek gereksinimleri göz önünde bulundurması gerekir:
Öyleyse, bulut çözümünüzün hangi yerel güvenliğe sahip olması gerekir? Kısaca derleyici özelliklerine odaklanalım. Yazar, ana işlevlerin aşağıdaki gibi olduğuna inanmaktadır:
Sunucularda, VM'lerde, veritabanlarında, yazılımlarda ve API hizmetlerinde, uygulamalar dağıtılsa bile, kısa vadede hala dinamik kaynaklar ve kapsayıcılar vardır ve bulut tabanlı veri merkezinde görünürlük ve karar desteğine hala ihtiyaç vardır. Bu farklı katmanlarda elde edilen veriler, gerçek zamanlı seçim işlemi için motora girmelidir.
Bir kaza veya saldırı durumunda, güvenlik çözümleri etkiyi azaltacak ve kontrol edecektir. Bu argüman, geri döndürülemez bir hasar oluşmadan önce kötü niyetli davranışı önleyebilecek hızlı karar verme ve anlayışlı kontrol önlemlerine eşittir. Bulut tabanlı bir ortamda, akıllı algılama sistemi, izinsiz girişlerin oluşumunu tam olarak belirleyebilir ve yerel kontrolü etkileyebilir.
Tüm dağıtılmış bileşenler ve API hizmetleri nedeniyle, bulutta yerel iş yükü güvenlik araştırmaları karmaşık olabilir, bu nedenle izleme ve güvenlik araştırmaları performans etkisini ve depolama gereksinimlerini en aza indirmelidir. Bu, merkezi bir izleme mimarisini içerir, ağ darboğazları yoktur ve iş yükleri genişletilebilir.
Container iş yükleri, bulutta yerel bir ortamda Kubernetes, Openshift, Amazon ECS veya Google GKE tarafından yönetilebilir. Dağıtımı otomatikleştirmek için (isteğe bağlı olarak) Puppet, Ansible veya Chef kullanabilirsiniz. Güvenlik araçları, korunacak iş yüküyle birlikte otomatik olarak dağıtılabilir ve bulut ortamı, bu tür bileşenlerle sahip olunması gereken bir entegrasyon olmalıdır.
Birinci nesil fiziksel sunucuların ve sanal makinelerin yerini alan olay odaklı konteynerler ve uygulamalar için güvenlik, görünürlüğü en üst düzeye çıkarmak ve riski azaltmak için doğru giriş noktasını bulmalı, aynı zamanda yaratıcılığa izin vermeli ve sürekli bulut dağıtımının karmaşıklığına uyum sağlamalıdır .
sonuç olarak
Genel ortamdan bulut tabanlı ortama geçiş yapmak kulağa çok çekici geliyor, ancak bunu yapmaya karar verdiğinizde olası tüm güvenlik sorunlarını değerlendirdiğinizden emin olun. Bu sorunlarla başa çıkmak için yeterli kaynak ve ekip olup olmadığını değerlendirin. Ve en önemlisi, bu dönüşümü gerçekleştirmek istiyorsanız, işiniz gerçekten öne çıkabilir ve büyüyebilir.
Umarım bu makale sizin için yararlıdır, yorum alanında bizimle görüşmeye hoş geldiniz.
WeChat QQ uygulaması ihlaller nedeniyle engellendi; Microsoft dünyanın en büyük botnet'ini kırdı; VS Code 1.43 yayınlandı | Geek Headlines
Resmi duyuru! Alibaba 5G'ye girdi, yeni altyapı geliştirmek için XG laboratuvarı kurdu
Sınır teknolojisini keşfetmek: bilgi grafiği oluşturma süreci ve yöntemi
Almanya'da salgın bölgesinde kalan Wuhan programcıları: verileri sabahın erken saatlerinde indirin, internet hızı çalışmayı etkiler
Bulut yerelinin güvenlik açıkları ve tehditleri nelerdir? Bulut yerel ne kadar güvenli? İşte bilmek istediğiniz her şey!
Xiaobai'yi programlamak basit bir Bitcoin sistemini simüle eder ve sizi bir dalga yazmaya götürür! (Kodlu) | Blog seçimi