Büyük ölçekli bulut yerel dağıtımlarının artan yaygınlığı, kurumları bulut yerel güvenliğine verimlilik ve hız getirmek için ‘sola kaydırma’ DevSecOps, akıllı otomasyon, CSPM (bulut güvenliği duruş yönetimi) ve CWPP’leri (bulut iş yükü koruma platformları) birleştirmeye zorluyor. Ancak bunu kendi başlarına yapmak oldukça zorlayıcıdır. Sonuç olarak, bulut yerel güvenliği söz konusu olduğunda bazı büyük iddialarda bulunan birçok satıcı var.
Ortalıkta dolaşan bu kadar çok terim varken, tam entegre bir bulut yerel güvenlik çözümünün (diğer bir deyişle Bulut Yerel Uygulama Koruma Platformu (CNAPP) olarak da bilinir) içermesi gereken temel bileşenleri belirlemek zordur.
Bu, birçok CISO’nun neden CI/CD ardışık düzenlerinden gelen artan bir güvenlik açığı akışıyla boğuştuğunu açıklamanın bir yolu. Bu arada SecOps ekipleri, üretim ortamlarından kaynaklanan bir dizi uyarı ve yapılandırma sorunu bombardımanına tutuluyor.
Bulut yerelinin benzersiz özelliklerini ve geleneksel güvenlik yaklaşımlarının etkisiz kalacağı yerleri kavramak, güçlü bir bulut yerel güvenlik stratejisi başlatmak isteyen herhangi bir CISO için önemli bir ilk adımdır.
Bulut yerel özellikleri güvenliği nasıl etkiler?
Bulut yerel, modern uygulamaların oluşturulma biçiminde büyük bir değişime neden oldu. Yeni çevik metodolojiler, otomasyon ve açık kaynak koduna artan güven sadece bir başlangıç. Dinamik olarak ağa bağlı uygulamaların gevşek bir şekilde birleştirilmiş parçacıkları olan mikro hizmetler, her bir mikro hizmetin tipik olarak bir kapsayıcıda, sunucusuz bir işlevde veya bunların bir kombinasyonunda barındırıldığı, yerel bulut uygulamaları için tercih edilen mimari olarak ortaya çıkmıştır.
Kurumsal dağıtımlar, üretimde çalışan binlerce kapsayıcı ve işlev içerebildiğinden, kuruluşlar bulut yerel uygulamalarının dağıtımını, ölçeklenmesini ve yönetimini otomatikleştirmek için Kubernetes gibi araçları giderek daha fazla kullanıyor.
Ancak Kubernetes dünyasına girmenin güvenlik üzerinde önemli etkileri vardır ve birçok CISO’nun keşfettiği gibi, geleneksel güvenlik araçları hiçbir zaman bu dinamik olarak düzenlenmiş ortamlar için tasarlanmamıştır. Bulutta yerel uygulamalarda iş yükleri geçicidir (birkaç saatten saniyeye kadar bir süre boyunca çalışır) ve düzenleme katmanı tarafından adreslenen dahili ağa dinamik olarak atanır. Ek olarak, Kubernetes’in kendisi (ve tüm dağıtımları ve ticari sürümleri), kullanıcı rolleri, ağ oluşturma, depolama ve kaynak kullanımı açısından kendi karmaşıklığını getirir ve genel bulutlara çok benzer şekilde önemli yapılandırma riski oluşturabilir.
Kuruluşların risklerini ve genel olarak maruz kalmalarını en aza indirmek için, güvenlik açıklarının uygulamaları üretime sunmadan önce tanımlanıp ele alınabilmesi için tüm açık kaynak bileşenleri üzerinde kapsamlı görünürlük ve kontrol elde etmesi gerekecektir. Kuruluşlar, CI/CD iş akışlarında devam eden güvenlik testlerini otomatikleştirmenin yanı sıra, güvenlik kontrollerinin, koruma için her nerede olursa olsun iş yüklerini takip edebilmesini sağlamalıdır.
CNAPP – entegre ve bütünsel bir güvenlik yaklaşımı
Bulutta yerel, uygulamaların ve iş yüklerinin güvenliğini yönetme konusunda temel bir düşünce değişikliği gerektirir. Gerçekten de Gartner, geliştirme ve çalışma zamanını ayrı bir araç koleksiyonuyla güvence altına alınmış ve taranmış ayrı sorunlar olarak ele almak yerine, kuruluşların güvenlik ve uyumluluğu geliştirme ve operasyonlar boyunca bir süreklilik olarak görmeleri gerektiğini belirtiyor. İşte burada CNAPP devreye giriyor.
CNAPP, belirli güvenlik sorunlarını çözen ve bir araya getirilmesi gereken farklı nokta çözümleri kullanmak yerine, geliştirme ve üretim boyunca bulut yerel uygulamalarını güvenceye almak ve korumak için entegre bir dizi yeteneği birleştirir.
Peki, Bulut Yerel Uygulama Platformunun gerçek bir CNAPP olarak nitelendirilebilmesi için sahip olması gereken temel nitelikler nelerdir?
Kulağa bariz gelebilir, ancak özel olarak bulut yerel ortamları için oluşturulmamış çözümler CNAPP değildir. Dolayısıyla, kapsayıcı güvenlik açıklarını tarayan ancak yerel bulutun diğer yönlerinden habersiz olan bir çözüm bir CNAPP değildir.
CISO’lar, her tür bulut yerel iş yükünü (kapsayıcılar, sunucusuz işlevler ve VM’ler) analiz edebilen, izleyebilen, izleyebilen ve kontrol edebilen ve bulut yerel altyapının tam yığını içinde arayüz oluşturabilen ve çalışabilen çözümler arayışında olmalıdır: Kubernetes, altyapı olarak kod (IaC) araçları, birden çok genel bulut sağlayıcısı ve daha fazlası.
Bir CNAPP, her bir ortam için denetimleri ve ilkeleri yeniden yapılandırmaya gerek kalmadan çoklu bulut ve hibrit bulut güvenliğini desteklemelidir; böylece bir kez güvenceye alabilir, her yerde minimum çabayla çalıştırabilirsiniz.
- Tam yaşam döngüsü güvenliği sağlar
Bir CNAPP’nin CI/CD ardışık düzenine yerleştirilmesi ve geniş bir modern DevOps araçları paketiyle entegre edilmesi gerekir. Bir çözüm, derleme aşamasında kodu tarayamıyorsa ve derlemeden dağıtıma kadar bütünlüğü koruyamıyorsa (böylece denetlenmemiş görüntülerin üretimde çalıştırılması engellenir), bu gerçek bir CNAPP değildir.
CISO’ların, sola kaydırma ve çalışma zamanı koruması için ayrı çözümler kullanmanın güvenlik açıkları yaratacağının ve kuruluşların, bunları hızla önceliklendirmek ve hafifletmek için hiçbir bağlam olmaksızın, durmadan güvenlik açıklarını ve çalışma zamanı olaylarını takip etmesine yol açacağının farkında olması gerekir.
- Gerçek zamanlı koruma sağlar
CNAPP’ler yalnızca bir izleme veya tarama çözümünden daha fazlası olmalı, saldırıları olduğu gibi durdurabilmelidir. Ne yazık ki, en sağlam ‘sola kaydırma’ koruması veya ortamın sertleştirilmesi bile, sıfırıncı gün açıklarına veya kaçınma teknikleri kullanan karmaşık çalışma zamanı saldırılarına karşı koruma sağlamayacaktır.
Bulut yerel saldırıları, bulut yerel uygulamalarıyla aynı hızda hareket eder ve çalışma zamanı parçası, günümüzde CNAPP olarak adlandırılan pek çok şeyin yetersiz kaldığı yerdir. Başkalarının göremediği saldırıları durdurmak için kapsayıcılar, sanal makineler ve sunucusuz iş yükleri için cerrahi ve gerçek zamanlı koruma sağlayan çalışma zamanı ilkeleri içeren çözümleri tercih edin.
Buna ek olarak, CISO’lar, çalışma zamanında konteyner iş yüklerinin değişmezliğini garanti edecek – kod enjeksiyonu gibi herhangi bir değişikliği yasaklayan – ve iş yüklerini izlemeyi ve herhangi bir şeyi engellemeyi mümkün kılan güvenlik kontrolleriyle birlikte, sürüklenme önleme yeteneklerine sahip çözümler arayışında olmalıdır. kapsayıcı kesintisi veya yeniden başlatma olmadan şüpheli kapsayıcı etkinliği.
Derin entegrasyon ve yerleşik kontroller için gidin
Günümüzün CISO’larının, geliştirmeden üretime kadar bulut tabanlı saldırıları durdurma ve aynı zamanda temeldeki altyapıyı güvence altına alma görevi için özel olarak oluşturulmuş kurumsal düzeyde bulut yerel güvenlik çözümlerini dağıtması gerekiyor. Ancak birçok satıcı CNAPP tarzı çözümler sunduğunu iddia ederken, birçoğu uygulama yaşam döngüsü boyunca yetersiz kalıyor.
Uygulamaları ilk günden ve gerçek zamanlı olarak korumak isteyen kuruluşlar için, neye ve neden arayacağına dair biraz bilgi ve içgörü, bulutta yerel geliştirmelerini ve dijital dönüşümlerini hızlandırırken benzeri görülmemiş koruma ve azaltılmış riskten yararlanmalarını sağlayacaktır. .
