Безперервне сканування та захист хмарних ресурсів
Сьогодні розробники хмарних додатків дедалі частіше беруть на себе роль інженерів із безпеки. Хто б міг подумати? Безпека на рівні додатків більше не є опціональною. Крім того, від розробників вимагають створювати широкомасштабні програми, що перетворює їх також на інженерів-операторів, інженерів баз даних і, лякаюче, інженерів із безпеки.
Те, що більшість розробників не є експертами з безпеки, є очевидним. Це спричинило появу практики DevSecOps, яка передбачає навчання, інструменти та процеси для створення та розгортання більш безпечних хмарних програм. Однак той, хто намагався впровадити такі культурні зміни, знає, що це не питання тижнів. Це займає місяці, а іноді й роки.
Новий підхід: CNAP
Нові концепції можуть прискорити процес. Платформи захисту хмарних додатків (CNAP) можуть безперервно сканувати робоче навантаження та конфігурації для пошуку та виправлення проблем безпеки. Це сканування відбувається протягом усіх етапів: розробки, тестування та розгортання програм.
CNAP по суті об’єднує два типи платформ безпеки:
- Cloud Security Posture Management (CSPM): Платформи, які організації вже використовують для виявлення поверхневих неправильних конфігурацій та інших вразливостей.
- Cloud Workload Protection Platforms (CWPP): Платформи, які використовують агентське програмне забезпечення для захисту робочих навантажень.
Політика безпеки CNAP централізовано застосовується до кожного робочого навантаження, включно з мікросервісами, контейнерними чи застарілими програмами, які перебувають у розробці чи експлуатації.
Централізовані процеси безпеки використовують агентське програмне забезпечення для застосування заздалегідь визначених політик. Крім того, вони безперервно сканують додатки та їхнє середовище на наявність проблем безпеки, що виходять за межі встановлених правил. Ці рекомендації, як правило, визначаються не розробниками, а центральною командою безпеки компанії.
Що це означає?
Простіше кажучи, це безперервне виявлення проблем безпеки за допомогою централізованих політик, які безпосередньо пов’язані з безпекою та управлінням. Наприклад, безперервне сканування може визначити API, які мали б бути закриті з міркувань безпеки, хоча й повинні залишатися відкритими для роботи. Або виявити відсутність шифрування під час передачі даних додатком до баз даних.
Часто невеликі недоліки призводять до великих проблем.
Загальновідомо: чим швидше ви створюєте та розгортаєте програми, тим більшою є їхня поверхня атаки. Постійні перевірки безпеки мають дозволити вам продовжувати швидкий запуск хмарних програм і при цьому залишатися в безпеці – принаймні в рамках встановлених керівних принципів.
Порада: якщо ви займаєтеся хмарною розробкою і прагнете швидкості, варто розглянути цю технологію. У сучасному світі, після пандемічного прискорення переходу до хмарних платформ, ви можете не помічати або ще не усвідомлювати пов’язаних із цим ризиків.
