تامین خودکار در شرف عملی شدن است

تفاوت های قابل توجهی در نحوه مدیریت امنیت و ایمنی در معماری بومی ابری بر خلاف زیرساخت های سنتی وجود دارد. روش های استاندارد مورد استفاده در زیرساخت های سنتی، که نیاز به مدیریت پیکربندی توزیع شده توسط هر سازمان دارند، در محیط ابری کار نمی کنند.

این خبر خوبی است، زیرا این معماری فرصتی را برای ساده سازی مدیریت امنیتی و مقرون به صرفه کردن آن برای مشاغل در هر اندازه فراهم می کند.

امنیت ریشه در سخت افزار دارد اکنون که ماژول‌های پلتفرم مورد اعتماد (TPM) تقریباً در همه جا وجود دارند و محیط‌های اجرایی قابل اعتماد یا محصورهای امن در حال تبدیل شدن به بخش رایج‌تر از CPU هستند، به طور فزاینده‌ای در دسترس است. این امر باعث افزایش استفاده از این مؤلفه‌ها می‌شود تا اطمینان حاصل شود که سیستم‌ها، برنامه‌ها و داده‌ها همان‌طور که انتظار می‌رود با استفاده از تأیید ذاتی سیستم که مقادیر وضعیت فعلی را در برابر مجموعه‌ای از مقادیر سطح انطباق مورد انتظار اندازه‌گیری می‌کند، هستند. پروژه های منبع باز با تلاش هایی مانند کنسرسیوم محاسباتی محرمانه (CCC)بر بنیاد محاسبات بومی ابری (CNCF)و کارگروه مهندسی اینترنت (IETF)برای مدیریت مقیاس‌بندی، انعطاف‌پذیری داخلی و اطمینان از یکپارچگی سیستم‌ها و نرم‌افزارها در پلتفرم‌های ابری.

درک اینکه چرا معماری بومی ابری نشان دهنده یک تغییر دهنده بازی است، مهم است. همانطور که ما از زیرساخت های سنتی به سمت مجازی سازی شده و اکنون به صورت ابری حرکت کرده ایم، حجم عظیمی از کار روی هزاران مهندس انجام شده است تا انعطاف پذیری، انعطاف پذیری و انزوا را در این طراحی معماری به روز ایجاد کنند. لایه‌ها برای فعال کردن به‌روزرسانی‌های سریع طراحی شده‌اند که بر روی بخش‌های کد خاص متمرکز هستند (مثلاً DevOps و میکروسرویس‌ها)، و همچنین توانایی جابجایی بارهای کاری برای کمک به رفع سریع آسیب‌پذیری یا بازیابی از یک حمله.

معماری بومی ابری دارای سه حوزه ممکن برای ارائه ارزیابی یکپارچگی است که کارآمدترین و زیباترین آنها از طریق اطمینان قابل اعتمادی است که ریشه در سخت افزار با استفاده از فناوری به نام گواهینامه دارد. این روش از TPM، vTPM و TEE سرور سرور استفاده می کند. دومین و متداول‌ترین روش امروزی از قابلیت‌های مورد استفاده در محیط‌های مجازی و سنتی سرچشمه می‌گیرد، جایی که یک اتصال SSH یا API برای پرس‌جویی از یک سیستم یا برنامه استفاده می‌شود و نتایج را با مجموعه‌ای از تنظیمات پیکربندی مورد انتظار مقایسه می‌کند. این روش کار می کند و امروزه بخشی از چندین محصول مدیریت وضعیت امنیت ابری (CSPM) و حفاظت از برنامه بومی ابری (CNAPP) است. این قابلیت‌ها امروزه هنوز برای اطمینان مورد نیاز هستند، اما روش تضمین یکپارچگی در پلت‌فرم‌های ابری باید در سال آینده تغییر کند و برخی از این محصولات نتایج روش اول را به‌جای انجام خود پرس‌وجو یکپارچه می‌کنند.

تحقق کامل این انتقال چندین سال طول خواهد کشید و با پلتفرم ارکستراسیون ابری و کتابخانه‌های امروزی امکان‌پذیر است. محصولات CSPM و CNAPP این توانایی را دارند که برای ادامه خدمت به سازمان هایی که نیاز به دید ترکیبی از دارایی ها دارند، سازگار شوند، همانطور که در مراحل انتقال زیر توضیح داده شده است. روش سوم در حال حاضر در حداقل یک ارائه دهنده ابر تجاری موجود است و با اجرای کامل آن در یک محیط اجرای مورد اعتماد (TEE) برای جلوگیری از دستکاری، حجم کاری را ایمن می کند. اگر منابع لازم برای کار کامل در TEE را دارید، گزینه سوم بسیار خوب است.

اولین روش ارائه شده در این وبلاگ با هدف کاهش هزینه ها در عین ارائه یک راه حل زیبا که در پلت فرم ارکستراسیون کانتینر تعبیه شده است، از بین بردن نیاز به نرم افزار اضافی که محتویات یک کانتینر را بازجویی می کند و باید این نرم افزار خارجی را مدیریت کند، می باشد.

مراحل پیاده سازی اتوماسیون از طریق تاییدیه داخلی در مقیاس:

1. حمایت از کتابخانه ها: کتابخانه ها پشتیبانی از ارزیابی یکپارچگی کد در یک ظرف با استفاده از گواهی اکنون در دسترس هستند. شواهد متعددی از مفاهیم با استفاده از این تکنیک انجام شده است، از جمله یکی توسط RedHat و موردی که در زیر در پروژه کارآموزی توسط جان اشمیت در زمانی که در مرکز امنیت اینترنت (CIS) در سال 2023 در مرکز امنیت اینترنت (CIS) در سال 2023 توضیح داده شده است. گزینه های مدیریت کلید و رمزنگاری به طور مناسب انتخاب می شوند.
2. مستندات و استانداردها: تعدادی از مهندسان از چندین سازمان در حال کار برای طراحی مدل‌های مورد انتظار برای پیکربندی خودکار و تضمین یکپارچگی در یک محیط ابری بومی هستند. این مرحله فراهم می کند اسناد برای یکسان سازی و استانداردسازی رویکردهایی برای اطمینان از اینکه خط‌مشی‌ها و اندازه‌گیری‌ها همان‌طور که انتظار می‌رود با استفاده از احراز هویت ثابت در سراسر پلتفرم‌ها باشد.
3. گزارش انطباق: گزارش نویسی انطباق با مجموعه ای از سیاست ها یا اندازه گیری ها به راه حل حاکمیت، ریسک و انطباق (GRC)، محصول CNAPP یا CSPM در صورت استفاده. از طرف دیگر، قابلیت اطمینان را می توان در سیستم مدیریت کانتینر حفظ کرد تا از انطباق اطمینان حاصل شود و قابلیت های اصلاح و جداسازی در یک محیط ابری بومی فعال شود.

ما احتمالاً شاهد ظهور تدریجی این قابلیت خواهیم بود زیرا بر روی نرم افزار منبع باز ساخته شده است و پلتفرم های مدیریت ابری باید فرآیند پیکربندی این قابلیت را ادغام و تسهیل کنند.

اول، ما می‌توانیم انتظار داشته باشیم که یک قابلیت اصلی در پلتفرم‌های ارکستراسیون کانتینری که معمولاً مورد استفاده قرار می‌گیرند (مانند VMWare/Broadcom، RedHat OpenShift و Xen) ظاهر شود. یک قابلیت اولیه می‌تواند روشی برای ایجاد الگوها فراهم کند تا اطمینان حاصل شود که نرم‌افزار با مجموعه‌ای از سیاست‌ها و اندازه‌گیری‌های مورد انتظار مطابقت دارد (مثلاً معیارها). با گذشت زمان، این الگوها باید در سطوح استاندارد شده و برای انتخاب در دسترس باشند، مانند مواردی که توسط معیارهای CIS تعریف شده است. اولین تکرارها بسیار شبیه به پلتفرم های ابری امروزی خواهد بود، جایی که مدیر باید دانش داشته باشد.

ظرف یک یا دو سال، زمانی که الگوهای رایج برای انتخاب سطوح انطباق نرم‌افزارها و سیستم‌عامل‌های محبوب از پلتفرم هماهنگ‌سازی کانتینر در دسترس هستند، باید شاهد پیشرفت‌های ثابتی باشیم. توانایی ایجاد خط‌مشی‌ها و اندازه‌گیری بسته‌های نرم‌افزاری اضافی در طول زمان افزایش می‌یابد و توانایی مدیریت این توانایی نیز آسان‌تر می‌شود. همچنین با در دسترس‌تر شدن تنظیمات پیکربندی و تضمین یکپارچگی، قابلیت گزارش انطباق را تکامل خواهیم داد.

اگر علاقه مند به کسب اطلاعات بیشتر یا پیوستن به پیشبرد این کار هستید، لینک گروه کاری احراز هویت از راه دور IETFکنسرسیوم محاسباتی محرمانه، بنیاد محاسبات بومی ابری و پروژه‌های منبع باز همگی گزینه‌های ممکن هستند.

---

خلاصه پروژه برای اثبات طراحی مفهومی (جان اشمیت)

یک پروژه هم ترازی خط مشی به سرور CIS Ubuntu 20.04 LTS v2.0.1 و معیارهای Kubernetes v1.7.1 پیشنهاد شد که در آن رانش را می توان با تضمین TPM اندازه گیری کرد.

این پروژه به دنبال کمک به سازمان‌های ایالتی، محلی، قبیله‌ای و منطقه‌ای (SLTT) است که از خدمات محروم هستند، در ارائه جایگزین‌های کم‌هزینه و تعبیه‌شده برای پلتفرم‌های تهیه نرم‌افزار پولی. بعد از کمی تحقیق مناسب به نظر می رسید لینوکس IMAبا توجه به قابلیت‌های احراز هویت از راه دور نشان داده شده آن، از نظر قابلیت آزمایش شود. لینوکس IMA یک زیرسیستم در هسته لینوکس است که در کرنل لینوکس 2.6.30 در سال 2009 معرفی شد. این سیستم می تواند هش های تضمین شده با TPM فایل های IMA را در برابر یک مقدار ذخیره شده برای تایید یکپارچگی فایل اندازه گیری، ذخیره و ارزیابی کند. IMA همچنین می‌تواند خط‌مشی‌های پیش‌فرض و بارگذاری‌شده اختیاری را اعمال کند و امکان پوشش تعداد بیشتری از معیارها را فراهم کند. نمونه‌هایی از چنین سیاست‌هایی ممکن است شامل ایجاد یک خط‌مشی زمان اجرا سفارشی باشد که تغییرات فایل را در صورت وقوع یادداشت می‌کند، یا هدایت IMA به اندازه‌گیری گزارش‌های رویداد. اگر هش فایل با مقدار ذخیره شده مطابقت نداشته باشد، سیاست اجرا ممکن است شامل پاسخی برای جلوگیری از دسترسی به یک شی باشد.

آزمایش در یک محیط vSphere 8 انجام شد که در آن یک خوشه Kubernetes با پشتیبانی vTPM برای IMA و با یک pod مستقر که یک سرور Ubuntu 20.04 LTS را اجرا می‌کرد، ایجاد شد. آزمایش تا 54.5٪ از توصیه های Work Node Level 1 را نشان داد Kubernetes نسخه 1.7.1 در CIS معیارها بلافاصله با قوانین قابل تنظیم IMA موجود امکان پذیر شد. بر این اساس، در معیار سرور اوبونتو 20.04 LTS v2.0.1 مدیریت یکپارچگی فایل را توصیه می کند. با این حال، دانلود را توصیه می کند دستیار، برنامه شخص ثالث به دلایل امنیت، هزینه و سهولت مدیریت، راه حل های تعبیه شده برای کسانی که منابع کمتری دارند ترجیح داده می شوند. اثبات مفهوم توانایی اطمینان از اینکه مجموعه‌ای از خط‌مشی‌ها و معیارها را می‌توان برای محیط‌های کانتینری، از جمله سیستم‌های عامل و برنامه‌های در حال اجرا در کانتینرها تأیید کرد، نشان داد.