یک معماری بومی ابری، بازی امنیتی را در مقیاس تغییر می دهد. چه در محل استفاده شود و چه در فضای ابری، قابلیتهای تسهیل مدیریت دارایی فناوری اطلاعات در حال بهبود است. و در حالی که راه درازی برای سادهسازی رابطها و کاهش موانع مجموعه مهارتها وجود دارد – این نیز با گذشت زمان انجام خواهد شد.
تفاوت های قابل توجهی در نحوه مدیریت امنیت و ایمنی در معماری بومی ابری بر خلاف زیرساخت های سنتی وجود دارد. روش های استاندارد مورد استفاده در زیرساخت های سنتی، که نیاز به مدیریت پیکربندی توزیع شده توسط هر سازمان دارند، در محیط ابری کار نمی کنند.
این خبر خوبی است، زیرا این معماری فرصتی را برای ساده سازی مدیریت امنیتی و مقرون به صرفه کردن آن برای مشاغل در هر اندازه فراهم می کند.
امنیت ریشه در سخت افزار دارد اکنون که ماژولهای پلتفرم مورد اعتماد (TPM) تقریباً در همه جا وجود دارند و محیطهای اجرایی قابل اعتماد یا محصورهای امن در حال تبدیل شدن به بخش رایجتر از CPU هستند، به طور فزایندهای در دسترس است. این امر باعث افزایش استفاده از این مؤلفهها میشود تا اطمینان حاصل شود که سیستمها، برنامهها و دادهها همانطور که انتظار میرود با استفاده از تأیید ذاتی سیستم که مقادیر وضعیت فعلی را در برابر مجموعهای از مقادیر سطح انطباق مورد انتظار اندازهگیری میکند، هستند. پروژه های منبع باز با تلاش هایی مانند کنسرسیوم محاسباتی محرمانه (CCC)بر بنیاد محاسبات بومی ابری (CNCF)و کارگروه مهندسی اینترنت (IETF)برای مدیریت مقیاسبندی، انعطافپذیری داخلی و اطمینان از یکپارچگی سیستمها و نرمافزارها در پلتفرمهای ابری.
درک اینکه چرا معماری بومی ابری نشان دهنده یک تغییر دهنده بازی است، مهم است. همانطور که ما از زیرساخت های سنتی به سمت مجازی سازی شده و اکنون به صورت ابری حرکت کرده ایم، حجم عظیمی از کار روی هزاران مهندس انجام شده است تا انعطاف پذیری، انعطاف پذیری و انزوا را در این طراحی معماری به روز ایجاد کنند. لایهها برای فعال کردن بهروزرسانیهای سریع طراحی شدهاند که بر روی بخشهای کد خاص متمرکز هستند (مثلاً DevOps و میکروسرویسها)، و همچنین توانایی جابجایی بارهای کاری برای کمک به رفع سریع آسیبپذیری یا بازیابی از یک حمله.
معماری بومی ابری دارای سه حوزه ممکن برای ارائه ارزیابی یکپارچگی است که کارآمدترین و زیباترین آنها از طریق اطمینان قابل اعتمادی است که ریشه در سخت افزار با استفاده از فناوری به نام گواهینامه دارد. این روش از TPM، vTPM و TEE سرور سرور استفاده می کند. دومین و متداولترین روش امروزی از قابلیتهای مورد استفاده در محیطهای مجازی و سنتی سرچشمه میگیرد، جایی که یک اتصال SSH یا API برای پرسجویی از یک سیستم یا برنامه استفاده میشود و نتایج را با مجموعهای از تنظیمات پیکربندی مورد انتظار مقایسه میکند. این روش کار می کند و امروزه بخشی از چندین محصول مدیریت وضعیت امنیت ابری (CSPM) و حفاظت از برنامه بومی ابری (CNAPP) است. این قابلیتها امروزه هنوز برای اطمینان مورد نیاز هستند، اما روش تضمین یکپارچگی در پلتفرمهای ابری باید در سال آینده تغییر کند و برخی از این محصولات نتایج روش اول را بهجای انجام خود پرسوجو یکپارچه میکنند.
تحقق کامل این انتقال چندین سال طول خواهد کشید و با پلتفرم ارکستراسیون ابری و کتابخانههای امروزی امکانپذیر است. محصولات CSPM و CNAPP این توانایی را دارند که برای ادامه خدمت به سازمان هایی که نیاز به دید ترکیبی از دارایی ها دارند، سازگار شوند، همانطور که در مراحل انتقال زیر توضیح داده شده است. روش سوم در حال حاضر در حداقل یک ارائه دهنده ابر تجاری موجود است و با اجرای کامل آن در یک محیط اجرای مورد اعتماد (TEE) برای جلوگیری از دستکاری، حجم کاری را ایمن می کند. اگر منابع لازم برای کار کامل در TEE را دارید، گزینه سوم بسیار خوب است.
اولین روش ارائه شده در این وبلاگ با هدف کاهش هزینه ها در عین ارائه یک راه حل زیبا که در پلت فرم ارکستراسیون کانتینر تعبیه شده است، از بین بردن نیاز به نرم افزار اضافی که محتویات یک کانتینر را بازجویی می کند و باید این نرم افزار خارجی را مدیریت کند، می باشد.
مراحل پیاده سازی اتوماسیون از طریق تاییدیه داخلی در مقیاس:
- حمایت از کتابخانه ها: کتابخانه ها پشتیبانی از ارزیابی یکپارچگی کد در یک ظرف با استفاده از گواهی اکنون در دسترس هستند. شواهد متعددی از مفاهیم با استفاده از این تکنیک انجام شده است، از جمله یکی توسط RedHat و موردی که در زیر در پروژه کارآموزی توسط جان اشمیت در زمانی که در مرکز امنیت اینترنت (CIS) در سال 2023 در مرکز امنیت اینترنت (CIS) در سال 2023 توضیح داده شده است. گزینه های مدیریت کلید و رمزنگاری به طور مناسب انتخاب می شوند.
- مستندات و استانداردها: تعدادی از مهندسان از چندین سازمان در حال کار برای طراحی مدلهای مورد انتظار برای پیکربندی خودکار و تضمین یکپارچگی در یک محیط ابری بومی هستند. این مرحله فراهم می کند اسناد برای یکسان سازی و استانداردسازی رویکردهایی برای اطمینان از اینکه خطمشیها و اندازهگیریها همانطور که انتظار میرود با استفاده از احراز هویت ثابت در سراسر پلتفرمها باشد.
- گزارش انطباق: گزارش نویسی انطباق با مجموعه ای از سیاست ها یا اندازه گیری ها به راه حل حاکمیت، ریسک و انطباق (GRC)، محصول CNAPP یا CSPM در صورت استفاده. از طرف دیگر، قابلیت اطمینان را می توان در سیستم مدیریت کانتینر حفظ کرد تا از انطباق اطمینان حاصل شود و قابلیت های اصلاح و جداسازی در یک محیط ابری بومی فعال شود.
ما احتمالاً شاهد ظهور تدریجی این قابلیت خواهیم بود زیرا بر روی نرم افزار منبع باز ساخته شده است و پلتفرم های مدیریت ابری باید فرآیند پیکربندی این قابلیت را ادغام و تسهیل کنند.
اول، ما میتوانیم انتظار داشته باشیم که یک قابلیت اصلی در پلتفرمهای ارکستراسیون کانتینری که معمولاً مورد استفاده قرار میگیرند (مانند VMWare/Broadcom، RedHat OpenShift و Xen) ظاهر شود. یک قابلیت اولیه میتواند روشی برای ایجاد الگوها فراهم کند تا اطمینان حاصل شود که نرمافزار با مجموعهای از سیاستها و اندازهگیریهای مورد انتظار مطابقت دارد (مثلاً معیارها). با گذشت زمان، این الگوها باید در سطوح استاندارد شده و برای انتخاب در دسترس باشند، مانند مواردی که توسط معیارهای CIS تعریف شده است. اولین تکرارها بسیار شبیه به پلتفرم های ابری امروزی خواهد بود، جایی که مدیر باید دانش داشته باشد.
ظرف یک یا دو سال، زمانی که الگوهای رایج برای انتخاب سطوح انطباق نرمافزارها و سیستمعاملهای محبوب از پلتفرم هماهنگسازی کانتینر در دسترس هستند، باید شاهد پیشرفتهای ثابتی باشیم. توانایی ایجاد خطمشیها و اندازهگیری بستههای نرمافزاری اضافی در طول زمان افزایش مییابد و توانایی مدیریت این توانایی نیز آسانتر میشود. همچنین با در دسترستر شدن تنظیمات پیکربندی و تضمین یکپارچگی، قابلیت گزارش انطباق را تکامل خواهیم داد.
اگر علاقه مند به کسب اطلاعات بیشتر یا پیوستن به پیشبرد این کار هستید، لینک گروه کاری احراز هویت از راه دور IETFکنسرسیوم محاسباتی محرمانه، بنیاد محاسبات بومی ابری و پروژههای منبع باز همگی گزینههای ممکن هستند.
خلاصه پروژه برای اثبات طراحی مفهومی (جان اشمیت)
یک پروژه هم ترازی خط مشی به سرور CIS Ubuntu 20.04 LTS v2.0.1 و معیارهای Kubernetes v1.7.1 پیشنهاد شد که در آن رانش را می توان با تضمین TPM اندازه گیری کرد.
این پروژه به دنبال کمک به سازمانهای ایالتی، محلی، قبیلهای و منطقهای (SLTT) است که از خدمات محروم هستند، در ارائه جایگزینهای کمهزینه و تعبیهشده برای پلتفرمهای تهیه نرمافزار پولی. بعد از کمی تحقیق مناسب به نظر می رسید لینوکس IMAبا توجه به قابلیتهای احراز هویت از راه دور نشان داده شده آن، از نظر قابلیت آزمایش شود. لینوکس IMA یک زیرسیستم در هسته لینوکس است که در کرنل لینوکس 2.6.30 در سال 2009 معرفی شد. این سیستم می تواند هش های تضمین شده با TPM فایل های IMA را در برابر یک مقدار ذخیره شده برای تایید یکپارچگی فایل اندازه گیری، ذخیره و ارزیابی کند. IMA همچنین میتواند خطمشیهای پیشفرض و بارگذاریشده اختیاری را اعمال کند و امکان پوشش تعداد بیشتری از معیارها را فراهم کند. نمونههایی از چنین سیاستهایی ممکن است شامل ایجاد یک خطمشی زمان اجرا سفارشی باشد که تغییرات فایل را در صورت وقوع یادداشت میکند، یا هدایت IMA به اندازهگیری گزارشهای رویداد. اگر هش فایل با مقدار ذخیره شده مطابقت نداشته باشد، سیاست اجرا ممکن است شامل پاسخی برای جلوگیری از دسترسی به یک شی باشد.
آزمایش در یک محیط vSphere 8 انجام شد که در آن یک خوشه Kubernetes با پشتیبانی vTPM برای IMA و با یک pod مستقر که یک سرور Ubuntu 20.04 LTS را اجرا میکرد، ایجاد شد. آزمایش تا 54.5٪ از توصیه های Work Node Level 1 را نشان داد Kubernetes نسخه 1.7.1 در CIS معیارها بلافاصله با قوانین قابل تنظیم IMA موجود امکان پذیر شد. بر این اساس، در معیار سرور اوبونتو 20.04 LTS v2.0.1 مدیریت یکپارچگی فایل را توصیه می کند. با این حال، دانلود را توصیه می کند دستیار، برنامه شخص ثالث به دلایل امنیت، هزینه و سهولت مدیریت، راه حل های تعبیه شده برای کسانی که منابع کمتری دارند ترجیح داده می شوند. اثبات مفهوم توانایی اطمینان از اینکه مجموعهای از خطمشیها و معیارها را میتوان برای محیطهای کانتینری، از جمله سیستمهای عامل و برنامههای در حال اجرا در کانتینرها تأیید کرد، نشان داد.