مسابقه ایمن سازی Kubernetes در زمان اجرا

موج جدیدی از استارت‌آپ‌ها به دنبال کمک به توسعه‌دهندگان هستند تا برنامه‌های کانتینری خود را پس از شروع تولید، ایمن کنند. آیا این آینده امنیت اپلیکیشن است؟

برای توسعه‌دهندگان نرم‌افزاری که عمدتاً برنامه‌های خود را به‌عنوان مجموعه‌ای از سرویس‌های میکرو می‌سازند که با استفاده از کانتینرها مستقر شده و با Kubernetes هماهنگ شده‌اند، مجموعه‌ای کاملاً جدید از ملاحظات امنیتی فراتر از ساخت پدیدار شده است. فاز.

برخلاف سخت کردن یک خوشه، دفاع در زمان اجرا در محیط‌های کانتینری باید پویا باشد: به طور مداوم رفتارهای غیرمنتظره درون یک ظرف را پس از تولید، اسکن کنید، مانند اتصال به یک منبع غیرمنتظره یا ایجاد یک سوکت شبکه جدید.

اگرچه توسعه‌دهندگان اکنون تمایل دارند زودتر و بیشتر آزمایش کنند—یا همانطور که معمولاً شناخته می‌شود به چپ جابجا می‌شوند، کانتینرها در کل چرخه عمر و در محیط‌های متفاوت و اغلب زودگذر نیاز به حفاظت جامع دارند. p>

آرون چاندراسکاران، تحلیلگر گارتنر، به InfoWorld گفت: «این امر امنیت چیزها را واقعاً چالش برانگیز می کند. «شما نمی توانید در اینجا فرآیندهای دستی داشته باشید. شما باید آن محیط را خودکار کنید تا چیزی را که ممکن است فقط برای چند ثانیه زنده بماند، نظارت و ایمن کنید. واکنش به چنین چیزهایی با ارسال یک ایمیل، دستور العملی نیست که کار کند.»

در کاغذ سفید ۲۰۱۹ خود «BeyondProd: رویکردی جدید برای امنیت بومی ابری،” Google توضیح داد که چگونه «همانطور که یک مدل امنیتی محیطی دیگر برای کاربران نهایی کار نمی‌کند، برای میکروسرویس‌ها نیز کار نمی‌کند»، جایی که حفاظت باید به «نحوه تغییر کد و نحوه دسترسی به داده‌های کاربر در میکروسرویس‌ها» گسترش یابد.

جایی که ابزارهای امنیتی سنتی بر روی ایمن سازی شبکه یا بارهای کاری فردی تمرکز می کنند، محیط های بومی ابری مدرن به رویکرد جامع تری نسبت به ایمن سازی ساخت نیاز دارند. در این رویکرد کل نگر، میزبان، شبکه و نقاط پایانی باید دائماً نظارت و در برابر حملات ایمن شوند. این معمولاً شامل مدیریت هویت پویا و کنترل‌های دسترسی به امنیت شبکه و رجیستری می‌شود.

ضروری امنیت زمان اجرا

Chandrasekaran گارتنر چهار جنبه کلیدی را برای امنیت بومی ابری شناسایی کرده است:

1. هنوز با محکم کردن پایه ها با سخت شدن خوشه ها شروع می شود.
2. اما سپس به ایمن سازی زمان اجرای کانتینر و اطمینان از نظارت کافی و ثبت گزارش در محل گسترش می یابد.
3. در مرحله بعد، فرآیند تحویل مداوم باید ایمن باشد، به این معنی که از تصاویر کانتینر قابل اعتماد، نمودارهای Helm ایمن و پیکربندی هایی که دائماً برای آسیب پذیری ها اسکن می شوند استفاده کنید. علاوه بر این، اطلاعات ممتاز باید با مدیریت مؤثر اسرار ایمن شوند.
4. در نهایت، لایه شبکه باید از امنیت لایه حمل و نقل (TLS) گرفته تا خود کد برنامه و هر گونه مدیریت وضعیت امنیت ابری که در محل وجود دارد، با تنظیم مؤثر حالت ایده آل و دائماً به دنبال انحراف از آن حالت، ایمن شود.

در یک مقاله InfoWorld در سال ۲۰۲۱، کارل هاینز پرومر، معمار فنی در شرکت بیمه آلمانی Munich Re، شناسایی کرد که “یک ابزار امنیتی موثر Kubernetes باید قادر به تجسم و تأیید خودکار ایمنی تمام اتصالات در محیط Kubernetes و مسدود کردن تمام فعالیت های غیرمنتظره. … با این حفاظت های زمان اجرا، حتی اگر یک مهاجم به محیط Kubernetes نفوذ کند و یک فرآیند مخرب را شروع کند، این فرآیند بلافاصله و به طور خودکار قبل از ایجاد خرابی مسدود می شود.”

با راه اندازی های امنیتی زمان اجرا آشنا شوید

به طور طبیعی، ارائه‌دهندگان اصلی ابر – Google Cloud، خدمات وب آمازون، و Microsoft Azure- سخت در تلاش هستند تا این نوع حفاظت را در سرویس‌های Kubernetes مدیریت‌شده خود ایجاد کنند. اریک بروور، معاون گوگل به InfoWorld گفت: «اگر ما این کار را به درستی انجام دهیم، توسعه‌دهندگان برنامه‌ها نباید کارهای زیادی انجام دهند، باید به صورت رایگان در پلتفرم تعبیه شود.

با توجه به گفته‌ها، حتی این غول‌های ابری نیز نمی‌توانند به تنهایی به امنیت این دنیای جدید امیدوار باشند. بروئر گفت: “هیچ شرکتی به تنهایی نمی تواند این مشکلات را حل کند.”

اکنون، گروهی از فروشندگان، استارت آپ ها و پروژه های منبع باز به سرعت در حال رشد هستند تا سعی کنند این شکاف را برطرف کنند. چاندراسکاران گفت: “اکوسیستم رو به رشدی از استارت آپ ها در این فضا وجود دارد.” “جنبه های اساسی سخت کردن سیستم عامل یا ایمن کردن زمان اجرا کمی کالایی می شود، و ارائه دهندگان بزرگ ابر این را به صورت آماده در پلتفرم ارائه می دهند.”

از این رو، فرصت برای استارت‌آپ‌ها و پروژه‌های متن‌باز بر قابلیت‌های پیشرفته‌تر متمرکز می‌شود، مانند حفاظت از حجم کار ابری، مدیریت وضعیت امنیتی، و مدیریت اسرار، اغلب با قابلیت‌های هشدار و اصلاح مبتنی بر یادگیری ماشینی «هوشمند» که در بالا قرار دارند. به عنوان نقطه تمایز.

Deepfence

Take Deepfence، که در سال ۲۰۱۷ توسط Sandeep Lahane، یک مهندس نرم افزار که قبلا در FireEye و Juniper Networks کار می کرد، تاسیس شد. Lahane به InfoWorld گفت که Deepfence با تعبیه یک حسگر سبک وزن در هر میکروسرویسی که می‌تواند سطح حمله شما را اندازه‌گیری کند، روی آنچه در طول زمان اجرا اتفاق می‌افتد تمرکز می‌کند. او گفت که Deepfence در کار “کسب درآمد از درمان آن درد، حفاظت در زمان اجرا برای استقرار دفاع های هدفمند است.”

Deepfence ابزار زیربنایی ThreatMapper را در اکتبر ۲۰۲۱ منبع باز کرد. برنامه را اسکن، نقشه‌برداری و رتبه‌بندی می‌کند. آسیب پذیری ها صرف نظر از جایی که در حال اجرا است. اکنون، این استارت‌آپ به دنبال ایجاد پلتفرم خود برای پوشش طیف وسیعی از خطرات امنیتی زمان اجرا است.

سیسدیگ

Sysdig یکی دیگر از فروشندگان نوظهور در این فضا است که ابزار امنیتی زمان اجرا منبع باز Falco را ایجاد کرده است.< /p>

همانند ThreatMapper، Falco بر تشخیص رفتار غیرعادی در زمان اجرا تمرکز دارد. “Falco مصرف رویدادهای هسته را آسان می کند و آن رویدادها را با اطلاعات Kubernetes و بقیه پشته بومی ابری غنی می کند.” صفحه GitHub آن خوانده می شود. فالکو مجموعه ای غنی از قوانین امنیتی دارد که به طور خاص برای Kubernetes، Linux، و cloud-native ساخته شده است. اگر قانونی در سیستمی نقض شود، فالکو یک هشدار ارسال می‌کند و کاربر را از نقض و شدت آن مطلع می‌کند.»

Loris Degioanni مدیر ارشد فناوری Sysdig به InfoWorld گفت: “من متوجه شدم که جهان در حال تغییر است و تکنیک هایی که قبلا استفاده می کردیم در دنیای مدرن کار نمی کنند.” وقتی دیگر به شبکه دسترسی ندارید، تشخیص بسته آن را قطع نمی‌کند. بنابراین، ما با اختراع مجدد داده‌هایی که می‌توانید برای کانتینرها با نشستن بر روی یک نقطه پایانی ابری و جمع‌آوری تماس‌های سیستمی جمع‌آوری کنید، یا به عبارت ساده‌تر، فرآیند تعامل یک برنامه کاربردی با دنیای خارج، شروع کردیم.

Degioanni امنیت زمان اجرا را با محافظت از خانه خود مقایسه کرد که با دید شروع می شود. او گفت: “این دوربین امنیتی برای زیرساخت کانتینری شماست.”

Aqua Security

استارت آپ اسرائیلی Aqua Security که در سال ۲۰۱۵ تأسیس شد، همچنین توسط یک پروژه منبع باز، Tracee پشتیبانی می‌شود. بر اساس فناوری eBPF، Tracee امکان نظارت بر امنیت کم تأخیر برنامه‌های توزیع‌شده در زمان اجرا، پرچم‌گذاری را فراهم می‌کند. فعالیت مشکوک در صورت وقوع.

«لحظه ای که دیدم کانتینرها همه چیز را در داخل بسته بندی می کنند و عملیاتی که افراد روی دکمه ای برای اجرا کلیک می کنند، برای من واضح بود که امنیت را نیز در آن بسته بندی کنم، بنابراین به عنوان یک توسعه دهنده نیازی نیست منتظر بمانم». CTO امیر جربی. توسعه دهندگان حرفه ای امنیتی نیستند و نمی دانند چگونه در برابر حملات پیچیده محافظت کنند، بنابراین به یک لایه امنیتی ساده نیاز دارند تا بتوانند نیازهای ساده خود را اعلام کنند. این جایی است که حفاظت در زمان اجرا وارد می شود.”

سایر ارائه دهندگان امنیت زمان اجرا

سایر شرکت‌های فعال در این فضا عبارتند از Anchore، Lacework، Palo Alto Networks’ TwistLock، Red Hat’s StackRox، Suse’s NeuVector و Snyk.

منبع باز برای خرید برنامه نویس بسیار مهم است

یکی از عوامل مشترک در بین این شرکت ها اهمیت اصول منبع باز است. Chandrasekaran گارتنر گفت: «مشتریان در این فضا به منبع باز اهمیت می دهند و نمی خواهند راه حل های کاملاً اختصاصی را به کار گیرند. آنها می‌خواهند با شرکت‌هایی کار کنند که در جوامع منبع باز شرکت می‌کنند و راه‌حل‌های تجاری را در کنار نرم‌افزار منبع باز ارائه می‌دهند، زیرا این پایه و اساس فناوری بومی ابری است.

این احساسی است که مدیران اجرایی در تمام استارت‌آپ‌هایی که InfoWorld با آنها صحبت کرده است، منعکس شده است. در جامعه بومی ابری، تمرکز زیادی روی منبع باز است. آنها از زمانی که فروشندگان ردپای و سهم بزرگی در منبع باز دارند، قدردانی می‌کنند، بنابراین می‌توانند چیزهایی را امتحان کنند، ببینند شما چه می‌کنید و کمک کنند.» “ما یک شرکت تجاری هستیم، اما بسیاری از این محصولات مبتنی بر منبع باز هستند.”

برای Phil Venables، CISO در Google Cloud، رویکرد منبع باز به امنیت بومی ابری برای حل چنین مشکل پیچیده ای حیاتی است. او به InfoWorld گفت: “ما به طور فزاینده ای شبیه یک سیستم ایمنی دیجیتال هستیم.” rel=”nofollow”>برنامه های عمومی باگ بونت. “این باعث می‌شود ما آماده پاسخگویی به هر آسیب‌پذیری باشیم و چیزها را به پروژه‌های منبع باز بازگردانیم، بنابراین دیافراگم گسترده‌ای برای یافتن چیزها و پاسخ به آنها داریم.”

این رویکرد باز و شفاف برای امنیت زمان اجرا در آینده ای که برنامه های کاربردی توزیع شده با تهدیدهای توزیع شده منحصر به فرد همراه هستند، حیاتی خواهد بود. غول‌های ابری به ایجاد این حفاظت در پلتفرم‌های خود ادامه خواهند داد و دسته جدیدی از استارت‌آپ‌ها برای ارائه حفاظت جامع مبارزه خواهند کرد. اما، در حال حاضر، مسیر رو به جلو برای تمرین‌کنندگانی که وظیفه دارند برنامه‌های کانتینری خود را از طریق تولید ایمن کنند، همچنان مسیر دشواری است.