作者| Drishtiシャーストリー
翻訳|彼Zebian |徐ヴェイロン
カバー写真| CSDNは、視覚的な中国をダウンロード
現代では、企業ネットワークとデータのセキュリティ上のリスクは、このような画期的な出来事ではありませんでした。それにもかかわらず、従来の方法(パブリッククラウド演算子を使用することを含む方法が)実質的に同一です。
クラウドネイティブアプリケーションに上昇し、セキュリティの脅威
現代では、企業ネットワークとデータのセキュリティ上のリスクは、このような画期的な出来事ではありませんでした。それにもかかわらず、従来の方法(パブリッククラウド演算子を使用することを含む方法が)実質的に同一です。
脅威に対処するための攻撃の脅威ではなく、ターンを防止するための対応策。クラウドネイティブアプリケーションは、従来の知恵を疑問視するためにあらゆる可能な方法でますます注目を受けています。
アプリケーションスタック伝統的な方法へのインフラの開発とクラウドベースの著しい対照の間でより現代的な方法の中から、パターンや慣行のほとんどが正常に主流のビューに達している:DevOpsチーム文化、連続配信とをマイクロサービスアーキテクチャ。我々はしていないのはなぜネイティブ雲それの安全性を再想像?我々はそれで大胆な新しいアイデアはどこですか?
これは、アプリケーションの配信の過程で、クラウドネイティブのセキュリティは、長期的なフォローになっていると言うことは安全です。従来のITセキュリティチームは、独自の仲介として扱われます。彼らは正しく機関が直面している仕事、あるいは顔より大きなリスクを完了する必要があります。
彼らはすべてのすべてのプロセスにおける安全性の高い要求を持っていますが、これらのレベルを満たすためには、テストおよび改訂、時間がかかります。それはアプリケーションの開発を遅らせるだろうし、多くの場合、完全な保護を保証することはできませんので、開発チームは、多くの場合、文句を言うので。
組織はスケジューリングとネイティブのクラウドアプリケーションを改善するために、アプリケーションのライフサイクルを改善し、加速したいときは、セキュリティがより顕著テストになるだろう。ほとんどのクラウドアプリケーションは、新しいモデル上でネイティブに実行、これらのモデルは型にはまらない、生産性、柔軟性、およびコストの利点を提供することができます。
さらにセキュリティコンポーネントとしてクラウド開発ネイティブDevSecOpsを使用してのDev-OPS。DevSecOpsは、安全速度、敏捷性と連続配信プロセスを組み込むようにしてみてください。ユーザーの統合、ビジネス・プロセスおよび制御機能と安全性を無視してDevSecOpsが低い場合は、継続的デリバリーシステムのセキュリティを提供することは困難です。
クラウドネイティブの抜け穴
クラウドネイティブ確かに脆弱性が発生します。私たちは人間であり、間違いなく、特に厳しい時期で、製品の出荷後に、間違いを犯すだろう。すべての警告、サインやノートにもかかわらず、我々は判断のいくつかのエラーを行います。
警告を発行する処理では、人々はGitHubの上で見つかった、あるいはランダムにランダムなコード無知フォルダから引き出され、できる唯一の不思議アプリケーションをカバーするために、盲目的にスタックExchangeからコピーして貼り付けを続けます著者は会っていないか、全くない第三者と話を決して信じています。
内部全書き込みサードパーティ参加者のリスクを排除することにより、コードの場合には、異なる成分が異なるチームによって所有されてもよいマイクロサービスアプリケーション手段の分散性質。
チーム間のコミュニケーションの障壁は、テスト、調整、さらにはアプリケーションの脆弱性の決済の品質保証の不足などの問題の範囲を引き起こす可能性があります。
単一のクラウドネイティブアプリケーションは、分散に基づいて残りのタスクの何千もを含むことができます。ローカルデータセンター、エッジ、数多くのパブリッククラウドのデータセンターでは奇妙なマイクロサービスを有していてもよく、最終的には、組織の分野では、我々は現在開発に見えることはできません。
すべての開発者およびすべてのチームは、さまざまな問題を解決する方法を学ぶことを知っています。彼らは何をやっていることはそれに応じて自分の知識や関心を開発しています。内部コードの環境では、すべてのセクターがある場合でも、自分自身にいくつかの方法で、より広範なプログラムの一部を保護するために、マイクロ・サービスは、他の部署との連絡、及びリスクコミュニケーションここかな脆弱性である必要があります。
すべてのこれらの主張は、気力をくじくと怖い音ではないが、クラウドネイティブが実際にいくつかの非常に複雑な現実を解決し、我々は、もはやその存在を無視することができます。私たちはそのセキュリティをアップグレードし続けているため、常に開発されており、常に存在してきたネイティブの脆弱性を曇らせます。
ネイティブクラウドアプリケーションへの主要な脅威
同社は、クラウドネイティブアプリケーションの利点を体験し始めたが、彼らはこのようなシステムの取り扱いやメンテナンスの実用的な側面について少し知っているが。クラウド環境で比較すると、結果の保護は非常に異なっている従来のシステムと比較する場合には?どのように保護対策とセーフガードは、それに影響を与えますか?
次の最高のセキュリティ問題のいくつかは、クラウドベースの環境です。
1.クラウド・コンフィギュレーション・エラー
構成エラーのIaaSやクラウドデータストレージは、今日の最も壊滅的なクラウド違反やデータ漏洩のいくつかの主な理由です。あなたは、クラウドのセキュリティ構造化設定、一般的なタグ、特定のリソースまたはその他の理由のために無制限のアクセスを削除するかどうか、設定エラーは、多くの場合のみ恥ずかしいの出会いの後に新聞で見られる多くの未知の脅威につながることができます。最新の「2019クラウドセキュリティ報告書、」組織の約40%がクラウドプラットフォームは、ネットワークのセキュリティ上の彼らの主な焦点を誤って設定されると信じています。
ITの2.経営管理
「ITシャドウ」や「ITをローグ」心配しないでください。いくつかの企業は、インフラマークの傾向を取得する顧客の業務やビジネスブリッジクラウドサービス「ITの商業の管理」と呼ばれるだけでなく、創造性とエンジンの開発を受信すると言っても過言ではありません。「ハーベイ・ナッシュ/ KPMG CIO 2019調査では、」企業が推進するか、IT管理できるようにするためのレポートは述べ、同社の三分の二以上があります。そうする能力が会社ビート競合他社産業は38%で、従業員の可能性を改善するために、より良いサービスを提供するために、52%増加したためです。
懸念は、情報とネットワークセキュリティの専門家には協力がない場合、これらのクラウドセキュリティバリア島は巨大な組織になる可能性が、あります。これらの企業は非常に急速に発展、しかししていることを調査が示す冗長安全上の問題の可能性が二倍、後者である波長。
3.購入曇った製品
ほとんどの企業は曇った製品を購入するために、クラウド・ベンダーのさまざまなに依存していることを「クラウドIUCN報告書」を示しています。会社の約66%は、曇りを配置した前記ミックス曇りやハイブリッドシステムを依存し約36%。
現在、クラウドによる実際に私たちは、このように顧客にクラウドコンピューティングサービスの範囲(SaaSの、PaaSの、IaaSの)クラウドを提供する、コストを処理し、そのほかの事業活動の全てのための最適なツールを減らしたいです。クラウドは、その全体の文脈、迅速な対応とサービスの品質を確保しています。QoSおよびスケーラビリティを維持するための費用がかかりますしかし、たびにユーザーが別のクラウドに1つのクラウドから移行することはできません。この曇ったコンピューティングフレームワークを克服するためには、システムダイナミクスを共有するクラウドベースのリソースの間に導入されます。曇ったデバイスでは、セキュリティはさらに複雑な問題です。
4.ハイブリッドアーキテクチャ
有名な「クラウドセキュリティアライアンス報告書」によると、組織の約55%は、複雑な、ハイブリッド・クラウドコンピューティング環境事業を展開しています。システムは、大規模な組織のためのクラウドへの段階的移行のための優れた方法を提供しますが、彼らは資産を追跡し、ハイブリッドクラウドを接続する多くの活動の全体のアーキテクチャを監視することは困難であるとき、それはセキュリティ上の課題を与えます。実際には、Firemonは、以前の組織の80%がセキュリティの監視および管理ツールの制限及び混合の複雑さに挑戦していることを示した報告書を発表しました。
5.データ暗いです
ダークファイバの通信業界のようにダークデータは、ビジネスや商業に適用されます。未開拓のデータの多くは、彼らは何もほとんどが規制されていない存在しないされ、何もしなかったがあります。
残念ながら、明確なダークファイバーにもかかわらず、彼らは、ユーザーのユーザーの手や秋の範囲に現れるように関係なく、エラーの、セキュリティ上のリスクがあるかもしれない、彼らは特定された場合でも、増加したパワーと帯域幅の唯一の利点を表すために点灯し、暗いデータを無視されます外。
ダークデータに関するほとんどの議論は、組織の潜在的な価値と有用性に集中する傾向があります。実際には、暗闇の中でロックされたデータの組織的知識と関心を作成し、利用するために資本(お金、機器及び時間)のために費やすことをいとわない、これらの見通しは間違いなく有益となります。これはまた、多くの企業が代わって作業が予定していない理由を説明するが、短期的にまたは計画プロセスの濃い内容で、さらに交流を拒否しました。
情報資源の引力ポテンシャルの多くと同じように、企業も危険で彼らの継続的な健康と幸福を与える可能性があり、その暗い雲操作に関するその暗いまたは暗いデータと顧客データとデータを実現しなければなりません、それらの直接制御および管理範囲を超えました。最近の研究によると、計画段階では、まだ組織またはコンテナのセキュリティ環境に関する基本方針の40%。
前記容器及び容器の配置
あなたは、コンテナやコンテナへの生態系の既存の単一ソース(モノリシック)アプリケーションの表面上を使用してアプリケーションを開発する場合、コンテナは、セキュリティ上の脅威をもたらす奇妙な環境を理解する必要があります。初日から、あなたは、これらの脅威に対応する準備ができているはずです。あなた自身のコンテナの構築を開始、コンテナがインストールされ、製造業で実行されます。
以下は、最も一般的なコンテナ・セキュリティリスクです。
特権マーク:でも、それらの容器をよく理解している人も、コンテナの特権の意味を知っているかもしれません。容器の特権符号は、ほぼすべての操作サーバの実行、実行し、クライアントのリソースへのアクセスを得ることができます実行することができます。侵入者が保護されたグループのロゴに私を入力した場合、この手段は、それらが破損する可能性があること。
無制限の相互作用:その目標を達成するために、コンテナが相互作用しなければなりません。しかし、コンテナとコンテナサービスとマイクロショートデザインの数は、通常、最小特権の考え方に沿って、ネットワークまたはファイアウォール規則を実行することは困難であることを意味しています。しかし、あなたの目標は、必要な対話コンテナの攻撃面を減らすためにできるコンテナを作成する必要があります。
アイソレーションの不足:コンテナのセキュリティは両刃の剣です。短い人生、限られた機能に加えて、彼らの不変の特性はまた、安全性の種々の利点を提供します。しかし、コンテナは、ホストを攻撃するために使用することができます。私たちは、先に説明し、この危険性は、特権のマークの付いた容器の中に存在しています。基礎となるホストは、設定ミスの多くの他の脅威によって影響を受ける可能性があります。
完全なセキュリティを確保
クラウドネイティブのセキュリティに近いために、それは、従来の手動安全技術を使用するのが最善ではありません。また、成功したDevSecOpsを構築するために、IT部門はDevOpsチームのチームに自動化し、セキュリティ担当者に焦点を当てるべきです。コンテナのインフラストラクチャでのマイクロサービスアーキテクチャのパッケージのため、あなたがより速く、クラウドベースのアプリケーションの伝統的なアプリケーションよりも拡大することができるようにします。手段の上に手動による方法では、セキュリティを維持するために遅すぎると自動化が必須であること。安全性を確保するために設定されたセキュリティチーム分類DevOpsチームは、問題は、一度それが修正されることが判明するのではなく、アプリケーションコードに含まれています。また、スピードアップや質問への応答を明確にすることができます。
柱は、包括的なネットワークセキュリティを確保するための大きな可能性を持っている5本のDevSecOpsの柱、およそレッツ・トーク:
セキュリティコンプライアンスの展開パイプライン:分析ツール、統合パイプラインとどのようにコンプライアンスと監査DevSecOpsとクラウドネイティブの開発パイプラインに。
セキュリティとコンプライアンスクラウドプラットフォーム:IDおよびアクセス管理の評価、計測と制御、インフラの保護、データ保護、およびイベントへの応答。
コードの整合性:ソフトウェア開発プロセスでは、コンプライアンスは何の問題の管理、コンプライアンス、リスク軽減することを確実にするために、コードのフレームワークとしてみなされています。
機密情報の管理:ハイブリッドクラウドのクラウドベースのビジネス・モデル内の機密情報を管理し、鍵と証明書。
コンテナのプライバシー:コンテナのセキュリティポリシーに適合させる方法を、どのようにリンクコンテナのセキュリティの脅威へとどのように検討し、船舶のオペレーティングモデルを検査します。
すべてのこれらの柱は、それゆえ、常に、完全に、安全なビジネスアプリケーションの重点分野であり、更なる検討が必要。各ピラーの分野横断的なビジョンの実現、すべての水平ガバナンスの柱を提供するために。ガバナンス・モデルは、相互に有益な方法での動作を保証するために、各柱と柱に適用されます。
保護された納期:アプリケーションとクラウドインフラストラクチャプラットフォームの安定性、コンプライアンスやセキュリティのサポートを確保します。
セーフモード:多様性の顧客の検収をサポートするためにモデル化し、安全な場所と脅威を開発。
情報の保護:内部および外部の顧客データ保護の両方からその従業員を確認してください。
リスク評価:ギャップ分析電流アーキテクチャ、容器戦略とクラウドインフラストラクチャ、およびアプリケーションを含みます。
技術的な手術の変更ログ: 3-6ヶ月のロードマップと戦略実施計画を促進するために、プロジェクトの成果を提供することにより、秩序ある戦術的な実行バックログを作成します。
新しいセキュリティプロトタイプの必要性
統計は2021年で、企業の92%がクラウドネイティブの企業になることを示しています。
通常、組織はそれのための$ 5,000人のアプリケーションと$ 5のセキュリティシステムを構築するために苦労している、と述べました。クラウドセキュリティでは、同じまたはそれ以上に重要なファクターのセキュリティ。したがって、DevSecOpsの概念は、できるだけ早くと真剣に実装する必要があります。
アプリケーション開発プロセスのすべての段階におけるDevSecOpsは、コンプライアンスを提供し、設計およびインストールするアプリケーションの責任されています。自然や実体を評価するため、グループまたはエンティティに代わって手続きを確立する最初のチーム。
最初のステップは、誰もが保護のために責任があることを確実にするためには、チーム間の島を割り当てることです。彼らは、開発者が理解しているので速いソフトウェアオプスの配信、およびは、あなたの心の平和を作るように、セキュリティ上の理由からビルドアプリケーションへの開発チームは、知っているので、安定性と保護が不可欠です。
実際には、プロセスは、すぐにセキュリティチェックを行わなければなりません。
サーバーのレコードがどの変更、修正されたとすると、すべての重要な事実を知るレビュープロセスにある変更を行うために誰が表示されます。保護された滞在する最も簡単な方法は、システムを常に最新のソフトウェアアップデートを実行していることを確認することです。数ヶ月を過ごすために迅速かつ自動でなければならなくてもセキュリティ修正。同様に、新しい機能やAPIを開発する際には、潜在的なアップデートであるべき責任を取り、崩壊を防ぐためのパッチを防止するためのソフトウェアフレームワークを防止します。
あなたはクラウドネイティブアプリケーションを作成すると、まだあなたのセキュリティソフトウェアを保護するために、単一の方法はありません。クラウドサーバリソースを保護するためには、多面的なアプローチが必要です。あなたのコンテナを保護するには、いくつかの戦略を取る必要があります。最終的に、あなたは場所のセキュリティ優先リストに入れたい、あなたはDevSecOps戦略を必要とします。
以下のような理想的なネイティブクラウドセキュリティフレームワークを見て?
クラウドベースの変換を可能にするために、企業はセキュリティポリシーを設計する前に、以下のさらなる要件を考慮する必要があります。
安全オートメーションの高い基準:クラウドベースのシステムを作ることができなかった再発防止策に基づく日常的なセキュリティ・オペレーションは、事実上無制限の動的なまま。これは、手動ワークフローの選択ではありません。ネイティブクラウドセキュリティの需要は自動的に感度を検出し、大規模なことです。
カオスデザイン:マイクロサービスアーキテクチャは、一緒に実行時に、多くのソフトウェアコンポーネントは、任意の関数のために使用することができます。セキュリティの観点から、検出および制御ロジックのこの手段は、操作上の安全性の事前知識に依存しません。CHAOSエンジニアリングネイティブクラウドのセキュリティが含まれている必要があり-効率的かつ効果的にテストを実行します。
迅速地元と追わ覆い、特定のトレースを:ネイティブプログラムは、基本的に、コンピューティングアプリケーションが割り当てられている雲です。このエコシステムでは、グローバル・セキュリティを容易に選択することができません行います。だから、あなたはすぐに悪質な履歴書のシステム全体の普及の前に傾向を識別し、地元への影響をカバーできるようにすることを、重点施策を決定します。セキュリティ上の決定は、100%正確ではありませんが、が、ローカル操作と高速リカバリはあなたのための既存のシステムは、より互換性を提供することができます。
次に、あなたのクラウドソリューションは、ネイティブセキュリティを持つべき?要するに、コンパイラ機能上のフォーカスをしましょう。著者は次のように主な機能であると考えています。
ミックススタックの可視性と意思決定支援
サーバーでは、VM、データベース、ソフトウェア、およびAPIサービス、アプリケーションの配布が、短期的にはまだであっても、動的なリソースとコンテナは、まだ雲の可視性と意思決定支援のプライマリデータセンターに必要です。これらの異なる層上のデータは、リアルタイム選択プロセスのために、エンジンに得られるべきです。
爆風半径を制限するための迅速な対応と警告機能
事故や攻撃のセキュリティソリューションの場合、影響を軽減し、制御します。この引数は、不可逆的な損傷が発生する前に、悪意のある動作を防ぐことができ、迅速な意思決定と洞察力の制御措置と同等です。クラウドネイティブ環境では、インテリジェントな検出システムは、完全に侵入の存在を認識し、局所制御に影響を与えることができます。
密接に監視および調査
すべての分散コンポーネントやAPIサービスは、マシンのワークロードの安全性の調査は非常に複雑であるクラウドので、監視および安全性の調査は、パフォーマンスへの影響とストレージ要件を最小限に抑える必要があります。これは、集中型アーキテクチャを監視、ネットワークがボトルネックではなく、ワークロードを拡張することができる含みます。
自動化ツールとの統合
ワークロードのコンテナは、クラウドネイティブ環境でKubernetes、Openshift、アマゾンECSやGoogle GKE管理を行うことができます。あなたは、(任意で)人形、Ansibleシェフまたは自動的にデプロイ実行を使用することができます。自動的にワークロード、クラウド環境の保護を展開することができるセキュリティツールは、このようなコンポーネントの前提と統合する必要があります。
第一世代は、物理サーバと仮想マシン、イベント駆動型の容器やアプリケーションを交換するために、クラウド・デリバリーの複雑さの創造性と継続的な適応を可能にしながら、セキュリティは、可視性を最大化し、リスクを軽減するために右のエントリポイントを見つける必要があります。
結論
クラウドネイティブ環境から移行するには、全体的な環境は、音は非常に魅力ないが、我々はそうすることを決定したとき、評価するために発生する可能性のあるすべての安全上の問題は、ことを確認して、これらの問題に対処するための十分なリソースやチームがあるかどうかを評価します。この変更を達成する必要がある場合は、最も重要なのは、あなたのビジネスは本当に目立つし、成長することができます。
うまくいけば、このあなたに有用な製品、そして我々は議論するコメント欄を歓迎します。
推奨読書
☞マイクロチャネルQQ小さなプログラムが原因凹凸の閉鎖された、世界最大のボットネットにおけるMicrosoftの大ブレイク、VSコード1.43リリース|オタクのヘッドライン
☞被災地におけるドイツ武漢のプログラマ:早朝のダウンロードデータ、衝突速度の仕事
☞ 脆弱性および脅威はネイティブ何を曇らせますか?ネイティブどのようにクラウドのセキュリティ?ここであなたが知る必要があるすべてです!
☞ シンプルな白のアナログビットコインシステム、手の波をプログラミングし、書き込みにあなたを取ります!(コード付)|ボーウェンおすすめ
あなたは私は好きなよう真剣に、すべてのポイントを見て
