تسلط بر مدل مسئولیت مشترک

[ad_1]

بر کسی پوشیده نیست که توسعه برنامه‌های بومی ابری به طور تصاعدی در حال رشد است، با توسعه Agile، IaaS و PaaS از ارائه‌دهندگانی مانند آمازون، مایکروسافت و گوگل، که نوآوری را با سرعتی که برای امنیت چالش برانگیز است، امکان‌پذیر می‌سازد.

یک بیماری همه گیر جهانی و دستورات کار از راه دور ناشی از آن فقط به این حرکت سرعت بخشیده است. و با این تغییر در کار توزیع‌شده و توسعه برنامه‌های چابک ملاحظات امنیتی بیشتر و درجه ریسک بالاتری برای کسب‌وکار وجود دارد. امنیت در فضای ابری یک مسئولیت مشترک است، اما بسیاری از سازمان‌ها درک کامل نقش خود در امنیت برنامه‌های خود را دشوار می‌دانند. عناصر زیادی برای ایمن سازی برنامه های کاربردی ابری وجود دارد که نمی توان آنها را تفویض کرد. آنها به عنوان بخشی از یک برنامه امنیتی برنامه مبتنی بر ریسک که از طراحی تا توسعه در طول چرخه عمر توسعه برنامه آنها گسترش می یابد، به توجه دقیق نیاز دارند.

با دید مناسب، تفکر مبتنی بر ریسک و اتوماسیون، برنامه‌های کاربردی مبتنی بر ابر این قابلیت را دارند که از همیشه امن‌تر باشند، در حالی که امکان توسعه و تحویل سریع‌تر را در همان زمان فراهم می‌کنند. اما برای رسیدن به این نقطه، سازمان ها باید مسئولیت های خود را درک کنند.

امنیت و انطباق زیرساخت ابری برای اطمینان از نحوه استقرار و عملکرد برنامه‌ها و داده‌ها در ابر ضروری است. اما در مورد چه چیزی در آن برنامه ها وجود دارد؟ برنامه ها از خطوط کد برنامه/زیرساخت و کتابخانه های منبع باز ساخته شده توسط توسعه دهندگان، DevOps، مدیران محصول، قهرمانان امنیتی و سایر نقش ها تشکیل شده اند.

چگونه بفهمیم که اجزای سازنده برنامه به طور موثر ایمن هستند؟ خیلی دیر است و کافی نیست که صرفاً به یک وضعیت ابری ایمن تکیه کنیم. کاهش ریسک در اوایل چرخه عمر توسعه به طور چشمگیری هزینه ها و ریسک تجاری را کاهش می دهد. برخی منابع دارند تاثیر هزینه را ارزیابی کرد تثبیت خطر در تولید اولیه چهار تا پنج برابر بیشتر از خطر کشف نشده در طول طراحی و تا 100 برابر بیشتر از خطر شناسایی شده در مرحله تعمیر و نگهداری.

برنامه های کاربردی مدرن از طریق “لوله کشی” پیچیده زیرساخت ابر ایمن به رابط های دستگاه ما ارائه می شوند. همانطور که ما برای انتقال لوله‌کشی فیزیکی به خانه‌هایمان به آب تمیز و سالم نیاز داریم، نیاز داریم که برنامه‌های ما در حین انتقال خدمات ابری، ایمن و با کیفیت باقی بمانند.

مدل مسئولیت مشترک IaaS/PaaS

بهترین راه برای اندیشیدن به امنیت در این دنیای ابری، استفاده از مدل مسئولیت مشترک است که مشتریان IaaS فقط مسئول عناصر خاصی از امنیت یک برنامه کاربردی هستند که در بالای زیرساخت قرار دارد.

در مدل سنتی مسئولیت مشترک، فروشندگان IaaS علاوه بر امنیت فیزیکی، افزونگی و موارد دیگر، مسئول پیکربندی، مدیریت و امنیت عناصر زیرساخت مانند شبکه، پایگاه‌های داده و موتورهای محاسباتی هستند. اما هر یک از مشتریان آنها مسئول امنیت و حفظ حریم خصوصی همه چیز علاوه بر آن، از طراحی گرفته تا کد و استقرار هستند.

مدل سنتی مسئولیت مشترک IaaS/PaaS

سمت مشتری مدل مسئولیت مشترک

آنچه در این مدل وجود ندارد طراحی نرم‌افزار، ریسک کد و امنیت و یکپارچگی CI/CD است – و این بخش‌ها سخت‌ترین، زمان‌برترین هستند و به یک برنامه امنیتی برنامه کاربردی خوب فکر شده و جامع نیاز دارند.

با رویکردهای جدید برای امنیت برنامه‌ها، سازمان‌ها می‌توانند خطر برنامه‌های ابری بومی خود را بهتر درک کنند و مقدار قابل توجهی از فعالیت‌های جبران خطر را در مراحل طراحی یا کدگذاری قبل از استقرار در فضای ابری خودکار کنند. این امر مستلزم داشتن یک دید گسترده اما متنی از AppSec در کل SDLC است – و ماهیت مدرن حملات مستلزم یک نمای کامل از SDLC است تا بفهمید تأثیرگذارترین ریسک تجاری کجاست.

سازمان ها باید ارزیابی کنند تصویر کاملی از خطر آنها-از طراحی تا کد تا ابر:

  1. دید-درک ریسک شما با مشاهده خطرات امنیتی و انطباق شما با موجودی بی‌درنگ دارایی‌ها، رفتار کد برنامه و زیرساخت، دانش توسعه‌دهنده، هشدارهای امنیتی شخص ثالث، داده‌های حساس و تأثیرات تجاری شروع می‌شود.
  2. ایمن با طراحی –شما باید مطمئن شوید که امنیت در مرحله طراحی – قبل از اینکه هر کدی نوشته یا متعهد شود – بررسی شده است.
  3. مدیریت تغییر-سازمان‌ها باید روی ریسک‌هایی تمرکز کنند که در مراحل اولیه توسعه و بر اساس تأثیر تجاری مهم هستند. تغییرات مواد در برنامه‌ها و زیرساخت‌ها باید به دقت ارزیابی شوند، در حالی که سایر تغییرات را می‌توان با سرعت بیشتری تأیید کرد یا نادیده گرفت و در نتیجه تحویل محصول را تسریع کرد.
  4. امنیت و یکپارچگی CI/CD-به عنوان یک فرآیند همیشه در حال اجرا، بسیار قابل اعتماد و حساس، CI/CD اغلب نادیده گرفته می شود. بسیاری از حملات در گذشته نه چندان دور از این پاشنه آشیل چرخه توسعه با جاسازی کد مهاجمان در تعهدات کد بومی یا سایر فرآیندهای خودکار CI/CD سوء استفاده کردند. سازمان‌ها باید اطمینان حاصل کنند که عملیات CI/CD با یکپارچگی و بررسی‌های امنیتی ایمن هستند.
  5. خطرات برنامه و زیرساخت با هم-برای ایمن سازی مناسب برنامه های خود، باید خطرات برنامه ها و زیرساخت های خود را در یک پلتفرم مرتبط کنید.
  6. اتوماسیون-همچنین باید از اتوماسیون برای محدود کردن اشتباهات ناشی از خطای انسانی، اطمینان از ثبات در اجرای سیاست‌ها و افزایش سرعت فرآیند DevSecOps استفاده شود. سازمان‌ها باید این فرآیند را با دقت مدیریت کنند، زیرا اتوماسیون همچنین می‌تواند دسته جدیدی از مسائل را معرفی کند، مانند شرایط مسابقه، راه‌اندازی نابهنگام، اعتبارسنجی حالت ناقص برای موارد لبه و غیره.

Infrastructure-as-Code (IaC)

عنصر انسانی ریسک با IaaS و PaaS به دلیل قدرتی که اکنون مدیران ابر دارند تغییر کرده است. به جای خرید، پیکربندی و استقرار سرورها در یک دوره زمانی چند ماهه، یک مدیر می‌تواند یک خوشه Kubernetes یا یک سطل ذخیره‌سازی S3 را بچرخاند، داده‌های مشتری را بارگیری کند و آن‌ها را با سیاست‌های هویت و مدیریت دسترسی (IAM) مرتبط در زمان بی‌سابقه در معرض اینترنت قرار دهد. از طریق زیرساخت به عنوان کد (IaC) با استفاده از GitOps به جای ClickOps.

ظهور IaC به ما این امکان را داده است که تغییرات زیرساختی را به همان روشی که هر کد برنامه را تغییر می‌دهد مشاهده، ارزیابی و پاسخ دهیم. سازمان‌ها باید قوانین حاکمیتی و اتوماسیون یکسانی را برای بررسی تغییرات در زیرساخت قبل از رسیدن به تولید، همراه با تجزیه و تحلیل بلادرنگ پیکربندی نادرست ابر اعمال کنند.

چالش اصلی زمینه است! همه ابزارهای IaC در بازار امروز به پیکربندی نادرست امنیتی به عنوان یک بعد نگاه می کنند (به عنوان مثال، یک سطل S3 رمزگذاری وجود ندارد؛ یک پایگاه داده ابری فاقد SSL برای اتصالات ورودی و غیره است) و این باعث ایجاد هشدارهای پر سر و صدا می شود. خطرات زیرساخت ابری و برنامه‌هایی که در بالای آن اجرا می‌شوند ذاتاً به هم مرتبط هستند – اتصال نقاط و درک خطر واقعی تغییرات از پذیرش هشدارها به صورت واقعی دشوارتر است!

هنگام ایمن سازی برنامه های خود در فضای ابری، به ابزارها و فرآیندهای سنتی متکی نباشید. فن‌آوری‌های امروزی رویکردهای جدیدی را امکان‌پذیر می‌کنند که به شما کمک می‌کند تا ریسک را به روش‌های کاملاً جدیدی درک کرده و جبران کنید و برنامه‌های کاربردی ابری را ایمن‌تر از همیشه کنید.

[ad_2]

به این مطلب امتیاز دهید

توجه و هشدار
طبق ماده 12 فصل سوم قانون جرائم رایانه ای هرگونه کپی برداری از تگ سرویس و سایت های آن پیگرد قانونی دارد.
هرگونه کپی برداری از قالب و مطالب شرعا حرام بوده و پیگرد قانونی دارد وقابل پیگیری خواهد بود!
همچنین سایت یا وبلاگ متخلف گزارش dcma می شود!
منبع تگ سرویس
رمز فايل : www.tagservice.ir
۳ سال به صورت حرفه ای با وردپرس کار میکنم و به کارهای وب و سئو و همچنین برنامه نویسی علاقه مندم.
نوشته ایجاد شد 307

نوشته های مرتبط

متنی که میخواهید برای جستجو وارد کرده و دکمه جستجو را فشار دهید. برای لغو دکمه ESC را فشار دهید.

بازگشت به بالا
تبلیغات class=