بر چالش های محافظت از برنامه های ابری غلبه کنید


با گرایش به سمت برنامه های کاربردی cloud cloud ، مجموعه جدیدی از چالش های امنیتی در حال ظهور است. در اینجا راه حل هایی برای حل این مشکلات آورده شده است.

تصویر: وانت - stock.adobe.com

تصویر: وانت – stock.adobe.com

بیماری همه گیر COVID-19 جهان را به دوران تحول عظیم تجارت دیجیتال سوق داده است. کیف های محکمتر نیاز به راه حل های مقرون به صرفه را برای پاسخگویی به این چالش های جدید ضمن پشتیبانی از عملیات تجاری ایجاد کرده اند. این امر منجر به تغییر ناگهانی و بی سابقه ای در پذیرش برنامه هایی شده است که بومی ابر هستند.

اما این مهاجرت از مکانی به مکانی مجموعه جدیدی از چالش های امنیتی را به همراه دارد. در حالی که برنامه های ابری بومی به اندازه کافی ایمن در نظر گرفته شده اند ، هنوز فرصت های عملیاتی وجود دارد. کانتینرها ، ارکسترراتورها و API های موجود در زیرساخت های اطراف برنامه ، مناطق جدید حمله هستند. علاوه بر خود سرویس ابری ، هر یک از این لایه ها مجموعه ای از تنظیمات تعریف شده توسط کاربر را دارند که برای کمک به کاربران در اجرای سیاست های امنیتی خود طراحی شده اند. این پیکربندی دستی با خطاهای کاربر و پیکربندی غلط همراه است که شرکت را در برابر حملات احتمالی باز می کند.

خوشبختانه مراحلی وجود دارد که می توانید برای اطمینان از امنیت برنامه های ابری بومی خود انجام دهید که به زمان و منابع زیادی احتیاج ندارند:

1. تمام برنامه ها را برای آسیب پذیری اسکن کنید

مهاجمان به ندرت مستقیماً بعد از کاربردهای مهم می روند. در عوض ، آنها به دنبال یک پیوند ضعیف ، یک برنامه داخلی داخلی یا یک برنامه بازاریابی هستند که برای یک دوره یک بار تبلیغات طراحی شده است. سپس آنها از طریق ظروف و ارکسترهای شما عبور می کنند تا به جواهرات تاج برسند. به همین دلیل مهم است که هنگام تغییر نرم افزار ، همه نرم افزارهای خود را آزمایش کنید.

2. سیاست های پیاده سازی را برای آنچه قابل قبول است تنظیم کنید و رانش / استثنا را ارزیابی کنید

از اتوماسیون برای اجرای سیاست هایی استفاده کنید که اشتهای ریسک شما را منعکس می کنند. سپس به طور منظم رانش را که هنگام تغییر تنظیمات امنیتی ابر ، کانتینرها و / یا ارکسترررها یا تغییر منابع استقرار خود تغییر می دهد ، ارزیابی کنید. برای تشخیص این موضوع ، منابع مجاز باید برای هر تنظیم امنیتی لیست شده و هر استقرار به استثناها ارزیابی شود.

3. API های خود را تست کنید و از تست fuzz استفاده کنید
از آنجا که نرم افزار مدرن شامل استفاده مجدد از کد شخص ثالث است ، توابع از طریق API با هم پشتیبانی می شوند. شما باید از ایمن بودن API های خود مطمئن شوید. برای انجام این کار ، باید خروجی مورد انتظار برای ورودی را بفهمید و موارد غیر منتظره را آزمایش کنید.

آزمایش فاز مدتی است که وجود دارد ، اما وقتی رفتار محو کردن برای آزمایش پارامترهای عملکرد API اعمال می شود ، واقعاً می درخشد. ابتدا ، مکانیزم blur یک عملیات معتبر را ضبط می کند ، سپس برای ایجاد رفتار و خطاهای غیر منتظره ، پارامترهای عملکرد را روی مقادیر غیر منتظره تنظیم می کند.

4- اسرار خود را شناسایی و مدیریت کنید

API ها اغلب نیاز به انتقال اسرار دارند تا یک قطعه کد بتواند با قطعه کد دیگری صحبت کند. این اسرار ممکن است شامل رمزهای عبور ، کلیدهای SSH ، نشانه ها و غیره باشد. اشتباهات رایج هنگام کار با اسرار شامل قرار دادن آنها در کد ، چرخاندن آنها و بایگانی نکردن آنها است. در واقع ، یکی از رایج ترین اشتباهات ذخیره سازی ساده اسرار در یک فایل پیکربندی پروژه در متن ساده یا در متغیرهای محیط است. خوشبختانه ، اسکن تشخیص مخفی می تواند اسرار را به طور تصادفی یا عمدی در مخزن کد شما درگیر کند ، به توسعه دهنده اجازه می دهد تا راز افشا شده را قبل از استفاده در حمله حذف و باطل کند. اسرار را می توان از طریق راه حل های خاص طراحی شده مانند Vault از HashiCorp یا AWS Secrets Manager مدیریت کرد.

5. نظارت و محافظت از ترافیک شرق / غرب در میان غلاف ها

ترافیک در این زیرساخت ابر همچنین می تواند باعث مشکلات امنیتی شود ، مانند زیر سیستم های Kubernetes که داده ها را با منابع ناشناخته یا مخرب تبادل می کنند و خوشه را به خطر می اندازد. برای مقابله با این امر ، ساختارهای محافظت از شبکه (دیوارهای آتش را در نظر بگیرید) باید بین گروه هایی از کانتینرها (ماژول ها) اعمال شود که از تشدید مجوزهای کاربر ، تغییر مسیر زیرساخت ها به برنامه های غیر مجاز و غیره جلوگیری می کند. خط مشی های شبکه قوانینی هستند که بر چگونگی برقراری ارتباط زیر سیستم ها با سایر زیر سیستم ها و سایر نقاط نهایی حاکم هستند.

6. امنیت میزبان کانتینر

علاوه بر نظارت بر ترافیک در زیرساخت برنامه خود ، می خواهید از دسترسی هکر به ظرفی که حاوی برنامه قابل دسترسی از اینترنت است جلوگیری کنید. به عنوان مثال ، اگر مهاجمی برای دسترسی به برنامه ها و برنامه های مهم ، ظروف را خزنده کند ، ممکن است در صورت عدم تأیید صحت داده های وارد شده توسط برنامه ، در ابتدا از طریق اعتبارنامه های در معرض ، وابستگی های خارجی یا با اجرای دستورات دسترسی پیدا کند. از اینجا ، مهاجم می تواند سو explo استفاده ای را که به مهاجم متصل است تحویل داده و اجرا کند و منتظر دستورات یا اصلاحات پیکربندی سیستم پرونده کانتینر باشد تا امتیازات آن را افزایش دهد.

حرکات جانبی همچنین می تواند زمانی محقق شود که مهاجم میزبانهای دیگر را در شبکه کانتینر کشف کند. برای انجام این کار ، شما می خواهید وابستگی ها و کانتینرهای خود را در حین توسعه اسکن کنید ، اما همچنین ثبت تماس سیستم را برای همه کانتینرها در خوشه Kubernetes خود فعال کنید.

با اجرای خط مشی شبکه برای خوشه Kubernetes شما ، محفظه ای که به خطر بیفتد نمی تواند از طریق اینترنت اتصال خروجی به مهاجم ایجاد کند. به همین ترتیب ، بهره برداری اجرایی از حفاری غلافهای دیگر در یک شبکه خوشه به دلیل محدودیت های سیاست جلوگیری می شود.

هنگام اجرای یک راه حل امنیتی CI ، سادگی و یکپارچگی به دست می آورید. با ایجاد اسکن امنیتی به عنوان یک محصول جانبی خودکار از روند کار طبیعی برنامه نویسان خود ، می توانید به طور موثر و کارآمدتری خطرات امنیتی و رعایت آن را کاهش دهید.

سیندی بلیک یک مبلغ ارشد امنیتی در است GitLab، استارتاپی که بازار انفجاری DevOps را با رویکردی نوآورانه با یک برنامه واحد برای کل چرخه عمر نرم افزار هدایت می کند. سیندی در حال همکاری در زمینه بهترین روش ها برای راه حل های امنیتی یکپارچه برای برنامه های DevSecOps با شرکت های بزرگ است. کتاب اخیر وی ، 10 قدم برای تهیه نرم افزار نسل بعدی ، تجربه امنیت سایبری وی را با تجربه توسعه نرم افزار و نرم افزار ترکیب کرده و پیچیدگی تکامل نرم افزار امروزی را به مشاوره برنامه عملی عملی ساده می کند.

انجمن هفته اطلاعات متخصصان فناوری اطلاعات و متخصصان صنعت را با مشاوره ، آموزش و نظرات فناوری اطلاعات گرد هم آورده است. ما تلاش می کنیم تا رهبران فن آوری و متخصصان موضوع را برجسته کنیم و از دانش و تجربه آنها برای کمک به مخاطبان IT خود استفاده کنیم … مشاهده بیوگرافی کامل

ما از نظرات شما در مورد این موضوع در کانال های رسانه های اجتماعی خود استقبال می کنیم [contact us directly] با س questionsال در مورد سایت.

بینش بیشتر




منبع: tasiveh-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>