خمسة وسبعون بالمائة من الحاويات قيد التشغيل بها نقاط ضعف عالية أو حرجة ، وفقًا لدراستنا الأخيرة. والأسوأ من ذلك ، أن هذه العيوب بها تصحيحات متاحة ، لذا يمكن إصلاحها (لكن لم يتم إصلاحها). لن يفاجأ العديد من قدامى الصناعة بإحصائيات مثل هذه ، لكن ألم يكن من المفترض أن تكون الأشياء أفضل في السحابة؟
ستكون الأمور أفضل ، وبالنسبة لبعض الناس تكون كذلك بالفعل. يمكن للفرق الأكثر تقدمًا ودقة تقليل عدد الحاويات المعرضة للتشغيل العاملة إلى 5٪ أو أقل. وهم يحققون ذلك من خلال تحويل اختبار الأمان إلى اليسار في خطوط أنابيب توصيل البرامج الخاصة بهم وبناء تدفقات عمل معالجة مبسطة وسهلة للمطورين والمشغلين على حدٍ سواء. لطالما كان إنشاء عمليات جيدة حول التكنولوجيا اللامعة هو أعظم المشاكل الأمنية ، ولا يختلف الأمر في السحابة.
جلب العادات السيئة إلى السحابة
لا يُحدِّث الترحيل إلى السحابة أعباء العمل أو العمليات التي تدور حولها بطريقة سحرية ، ولا يُعد الأمان استثناءً. في الواقع ، غالبًا ما يكون الأمان هو آخر شيء نريد معالجته لأنه يميل إلى إبطاء كل شيء آخر.
لنأخذ مثال المصادقة متعددة العوامل (MFA). يعرف معظمنا ، أو سمع على الأقل ، أن هذا شيء يجب أن نطبقه ، خاصة بالنسبة للحسابات الأكثر أهمية للحماية. ولكن هل لديك أسلوب العائلي المتعدد (MFA) الذي تم إعداده في جميع حساباتك المصرفية؟ ربما لا يفعل معظمنا. لا يبدو أن لدينا الوقت أبدًا ، والمطالبة الإضافية التي تطلب منك تأكيد هويتك في كل مرة تصبح مزعجة
السحابة ليست مختلفة تمامًا لأنها يديرها البشر. تظهر بيانات Sysdig أن 48٪ من المؤسسات لم يتم تمكين أسلوب العائالت المتعددة MFA بها على حسابها الأكثر تميزًا ، المستخدم الجذر. علاوة على ذلك ، تستخدم 27٪ من المؤسسات هذا الحساب للمهام الإدارية ، مقابل نصيحة أفضل الممارسات السحابية و مركز أمن الإنترنت (CIS) المبادئ التوجيهية المعيارية.
نظرًا لأن إدارة الهوية والوصول (IAM) هي أحد عناصر التحكم في أمان السحابة الأكثر أهمية ، يجب أن نسعى جاهدين لتطوير عمليات سحابية أصلية جديدة حولها. يجب على فرق السحابة إنشاء أدوار IAM محددة النطاق لمهام محددة بدون أذونات إضافية ، بالإضافة إلى تدريب المستخدمين على كيفية عمل الأدوار المفترضة.
أوه ، ويرجى تمكين MFA!
الأمن "التحول إلى اليسار" غير مكتمل
يستغرق تحويل تدفق عملية معقد وقتًا ، وعادةً ما يحدث على مراحل. تُظهر البيانات أن 48٪ من الصور يتم فحصها بحثًا عن نقاط الضعف لأول مرة إما في خط أنابيب CI / CD أو في سجل الحاوية - أي قبل نشرها في وقت التشغيل.
من ناحية أخرى ، يعني هذا أن العديد من الشركات تعمل بنجاح على "تغيير الأمان إلى اليسار". من ناحية أخرى ، يتم فحص 52٪ المتبقية من الصور لأول مرة في وقت التشغيل ، مما يؤخر اكتشاف نقاط الضعف الخطيرة المحتملة. جزء من السبب هو أننا ما زلنا نميل إلى تأخير التقييم الأمني لتوفير الوقت. تفسير آخر محتمل هو أن مجموعة فرعية من أعباء العمل لا يتم تضمينها في ولاية "التحول إلى اليسار". على وجه التحديد ، تقع العديد من تطبيقات الجهات الخارجية التي لا تحتوي على أي رمز مخصص تم إنشاؤه بواسطة المؤسسة نفسها ضمن هذه الفئة. على سبيل المثال ، قد لا يتم تكوين مكونات Kubernetes وخوادم الويب وموازنات التحميل إلا بعد فترة طويلة من اكتمال مراحل اختبار البرنامج.
في كلتا الحالتين ، يحدث "التحول إلى اليسار" ، لكنه غير مكتمل. تستخدم الفرق الأكثر تقدمًا خطوط أنابيب CI / CD الخاصة بهم لاختبار جميع العناصر الأثرية للأمان ، بما في ذلك مكونات البنية التحتية مثل بيانات النشر للمضيفين والمجموعات والحاويات والمزيد.
يمكن ويجب أن يتحول قبول المخاطر إلى اليسار أيضًا
عندما نتحدث عن قبول المخاطرة ، غالبًا ما نفكر في الأمر على أنه الملاذ الأخير: "لا يوجد شيء آخر يمكنني القيام به في هذه المرحلة ، لذلك أقوم بتوثيقه وأتمنى الأفضل."
ومع ذلك ، فكلما أسرعنا في اكتشاف مصادر المخاطر لدينا ، سنكون أفضل تجهيزًا لإنشاء وسائل تخفيف فعالة لها. قد لا نزال نشغل 75٪ من حاوياتنا مع نقاط ضعف عالية أو حرجة ، ولكن إذا نظرنا بنشاط في المخاطر المرتبطة بهذه الثغرات وقمنا بتنفيذ ضوابط لتقليلها ، فقد لا يكون وضعنا الأمني سيئًا للغاية.
نظرًا لأننا قلقون أكثر فأكثر بشأن أمان سلسلة توريد البرامج ، يجدر بنا أن نسأل عن عدد الثغرات الأمنية في وقت التشغيل الموجودة في مكون تابع لجهة خارجية لم نقم ببنائه - وأن برنامجنا لا يستخدمه حتى. يمكن أن يؤدي تحديد التبعيات الضعيفة في وقت مبكر من عملية تسليم البرنامج إلى توفير الكثير من الوقت وتقليل التعرض للمخاطر بشكل كبير. لن تتمكن من إصلاح كل عيوب ، ولكن يمكن إدارة الكثير من خلال عناصر تحكم أمنية إضافية. على الأقل ، يجب توثيق العيوب من أجل الرؤية
ألا يوجد أمل؟
يتم تشغيل مليارات الحاويات في السحابة اليوم. سيزداد هذا العدد فقط ، مما يوسع سطح الهجوم والمخاطر المحتملة. في الواقع ، يمكن أن تكون البيئة الجديدة ذات الأدوات الجديدة فرصة للابتكار ، أو يمكن أن تكون بداية لجبل آخر من الديون التقنية. السحابة هي فرصتنا للبدء من جديد والحصول عليه بالشكل الصحيح هذه المرة. قد نضطر فقط إلى الإبطاء في البداية والاستثمار في بناء تلك العمليات السحابية الأصلية للتأكد من أننا نقوم بها بشكل صحيح.
