PEXA, son birkaç yıldır güvenlik araçlarında bir konsolidasyona giderek, ortaya çıkan tehditlere karşı maruziyetini daha kolay haritalayabilmek için AWS ve Palo Alto Networks’ün bir karışımına geçti.
PEXA’dan Anish Dharmakkan.
Bulut güvenliği lideri Anish Dharmakkan, AWS Summit Sydney’de iki güvenlik aracı kurulumunu karşılaştırarak, 2021’de Log4j’e maruz kalmanın anlaşılmasına yönelik çabalarla, bu yılın başlarında ortaya çıkan XZ Utils arka kapısını karşılaştırdı.
Dharmakkan, “2021’de sistemlerimizi taramak için kullandığımız çok sayıda araç, çok sayıda ev yapımı araç ve üçüncü taraf ve diğer yazılım satıcıları vardı, bu nedenle Log4j gibi şeyler ortaya çıktığında oldukça hızlı ve kararlı bir şekilde tepki vermemiz gerekiyordu” dedi.
Dharmakkan, konteynerleri, bulut bilişimi, CI/CD işlem hattı ve “yüzlerce” kod deposu genelinde “her şeyi haritalandırmamızın ve ardından güncellemeye devam etmemizin yaklaşık 12 saat sürdüğünü” söyledi.
Süreci, Palo Alto Networks’ün Prisma Cloud’unun “tam paket” uygulamasına dayanan PEXA’nın şu anki süreciyle karşılaştırdı.
‘XZ gerçekleştiğinde yapmamız gereken tek şey CVE’yi girmekti [common vulnerabilities and exposures identifier], [to] araştırmak [and] Dharmakkan, “CVE’yi bulun ve bu Prisma’nın onu nerede gördüğünü ortaya koyacaktır” dedi.
“Herhangi bir ek tarama başlatmamıza gerek yok; sadece CVE’yi sorgulamamız gerekiyor ve bu da size iş yükünüzde nerede bulunduğunu söylüyor.”
Dharmakkan, PEXA’nın üretime aktarılması planlanan kodlarda bulunan güvenlik açıklarını tespit etmek için Prisma’da bir bot kullandığını söyledi.
“Bu nedenle, belirlediğimiz politikalara göre, ‘yüksek’ ve ‘kritik’ seviyeler varsa, [rated vulnerabilities] kod tabanında ve oluşturulan yapıtta, bunları üretime zorlamayın.
“Bu yüzden otomatik olarak işaretliyor. Ama benim gibi paranoyaksanız, ‘CVE’yi görürseniz, bana bir Slack mesajı veya e-posta gönderin’ diyen bir uyarı ayarlayabilirsiniz, böylece ek görünürlük elde edersiniz.”
Prisma Cloud’un kurulum şekli, geliştiricilerin tespitler konusunda “kendi çalışma alanlarında” uyarılmaları anlamına geliyor ve Dharmakkan, bunun “çok büyük bir zaman tasarrufu” olduğunu söyledi.
“Sorunları sınıflandırmak için çok fazla zaman harcamıyoruz,” dedi. “Nerede olduğunu biliyoruz [they are, and] “Doğrudan savunmaya geçiyoruz.”
Dharmakkan, PEXA’nın kullandığı Amazon web uygulama güvenlik duvarı (WAF) da dahil olmak üzere çeşitli Amazon güvenlik servisleri ile Prisma Cloud arasında da bir miktar etkileşim olduğunu sözlerine ekledi.
“Prisma Cloud, WAF yapılandırmanızı okur ve sizi uyarır – ‘Hey, bir API’niz var, ancak sizi sıfır güne karşı koruyan kuralı AWS WAF’ta uygulamadınız’.
“Yani, iki güvenlik sistemi birbirleriyle konuşuyor ve en iyi güvenlik yapılandırmasına sahip olduğumuzdan emin oluyoruz.”
PEXA’nın sunumu, Palo Alto Networks’ün desteklediği siber güvenlik aracı konsolidasyon konseptinin bir örneği olarak kullanıldı.
Ry Crozier, AWS’nin konuğu olarak AWS Summit Sydney’e katıldı.