קונטיינרים של תוכנה משפרים את האבטחה של מחשוב ענן
מאת:
רני אסנת, 18.9.17, 16:51
"הזרקת" אבטחה בשלב מוקדם בתהליך הפיתוח מפחיתה סיכונים ומעודדת תרבות של שיתוף. עם רצון לעבודה משותפת והכלים הטכנולוגיים הדרושים העומדים לרשותם, צוותי אבטחה ו-DevOps יכולים לעבוד יחדיו כדי להזיז אבטחה מהמיקום הנוכחי שלה בסוף מחזור חיי הפיתוח אל ההתחלה.
טכנולוגיית קונטיינרים מאפשרת לארגונים לבנות, לספק ולהריץ אפליקציות ארגוניות מהר יותר וביתר קלות, יעילות וחסכוניות מאשר אי פעם. בהשוואה למכונות וירטואליות (
VMs), קונטיינרים הם קטנים בהרבה, מאותחלים מהר יותר, ויש להם ביצועים טובים יותר.
היסודות של טכנולוגיית קונטיינרים קיימים כבר עשרות שנים, אבל היו מגבלות טכנולוגיות, שעיכבו את אימוצה. ב-2013 מצא
פרויקט הקוד הפתוח Docker דרך לטפל במגבלות האלו, ולהפוך קונטיינרים לקלים בהרבה לשימוש.
מעבר מהיר ל-2017, וקונטיינרים של תוכנה הופכים לפלטפורמה המועדפת לבניית ארכיטקטורת ענן, בזכות היתרונות המשמעותיים שלהם: מהירות פיתוח, מהירות הטמעה, גמישות, סקלאביליות ושימוש חסכוני במשאבי מחשוב.
עם זאת, הם גם מציגים סיכונים חדשים:
1) הם רצים על ליבה (
Kernel) משותפת, כשהמשמעות היא, שהם חולקים מערכת הפעלה ודרייברים של התקנים יחד עם המארח שלהם - בדרך כלל מכונה וירטואלית;
י2) וצרים אתגרים עם בידוד משתמשים ותהליכים;
3) מוסיפים שכבה הפוגעת בשקיפות לגבי הפעילות בשרת;
4) וסדרי גודל עצומים של ניהול ופריסת קונטיינרים.
אבני נגף
בעוד צוותי פיתוח רבים משקיעים מאמצים מסוימים בשימוש בתהליכי אבטחה מומלצים, המטרה הראשית שלהם היא לספק קוד. בסופו של יום, זהו תפקיד קבוצת האבטחה לזהות ולנהל סיכוני אבטחה באפליקציות. אבל, למרבית מקצועני האבטחה אין מושג מהם קונטיינרים, שלא לדבר על הבנת האבטחה של הטמעתם. בנוסף, ההיסטוריה הקצרה של אבטחת סייבר הראתה, שבכל פעם, שמשיקים טכנולוגיה חדשה, ניצול הפרצות, שפוגעות בה, לא מתמהמה.
למרות אתגרים אלה, קונטיינרים מציעים חלון הזדמנויות נדיר לשיפור אבטחה ארגונית בדרך המשנה את חוקי המשחק. חלק מהסיבה לכך הוא תזמון:
קונטיינרים הפכו להיות מתאימים לארגונים בדיוק בנקודת התלכדות של גורמים שונים -
DevOps, פיתוח אג'ילי, הבשלות של ארכיטקטורות מבוססות ענן, ועניין גובר בשימוש
במיקרו שירותים לבניית אפליקציות מורכבות – כל אלה מגדירים מחדש את הדרך בה חברות ניגשות לפיתוח אפליקציות.
מגמות אלו מביאות רמות ללא תקדים של שיתופיות, אוטומציה ואג'יליות לתוך פיתוח אפליקציות, וקונטיינרים מאפשרים לכל אלה לבוא לביטוי באופן בולט מאוד.
מובילים עסקיים, IT מצמצם פערים
מקצועני אבטחה רבים רואים בקונטיינרים הזדמנות "להזריק" אבטחה אל תוך תהליך אספקת האפליקציות, במקום "להבריג אותה" לאחר מעשה. תהליכי אבטחת אפליקציות נבנו סביב ההנחה, שתחילה יש לבנות את האפליקציה, ורק אז להקשיח אותה. בעוד המגבלות של גישה זו הפכו במהירות לברורות לצוותי אבטחה, נדרשו שנים של פריצות ענק ותקיפות סייבר אחרות, ששלטו בכותרות, כדי לזכות בתשומת הלב של מובילים עסקיים ומובילי
IT אחרים.
מתוך תחושה של הזדמנות עצומה, חדשני אבטחת אפליקציות ויזמים החלו ליצור כלים ייעודיים לאבטחת קונטיינרים. בינתיים, התפיסה של הוספת אבטחה לתוך תמהיל ה-
DevOps התפתחה, וזוכה ללגיטימציה כתחום בצמיחה.
אבטחה כבר אינה עניין שלאחר מעשה
עם רצון לעבודה משותפת והכלים הטכנולוגיים הדרושים העומדים לרשותם, צוותי אבטחה ו-
DevOps יכולים לעבוד יחדיו כדי להזיז אבטחה מהמיקום הנוכחי שלה בסוף מחזור חיי הפיתוח אל ההתחלה, ולשבץ בקרות אבטחה לאורך כל הדרך.
אחד היתרונות המשמעותיים ביותר הוא ההזדמנות לאבטח אפליקציות מבפנים. במקום ליישם אבטחה כתוספת לאחר מעשה. כאשר חלקים מהאבטחה עוברים אל המפתח, ניתן לבצע בדיקות הרבה יותר מדויקות בכל רכיב.
לעת עתה, אנו עדיין מקדימים במספר צעדים את בעיית האבטחה, אבל לצוותי אבטחה יש עדיין עבודה רבה. הם צריכים להתיידד עם טכנולוגיית הקונטיינרים ולשקול בעיות אבטחת קונטיינרים בהקשר של האפליקציות הארגוניות הנבנות באמצעותם.
השורה התחתונה היא, שאבטחת קונטיינרים צריכה להיות מורכבת מתהליכים מאובטחים ועם בקרות הניתנות לאכיפה. אם משתמשים באחד אך לא באחר, לא ניתן לטפל כראוי באבטחת אפליקציות קונטיינרים. אבל כאשר משתמשים בהם יחדיו, צוותי
DevOps וצוותי אבטחה יכולים להנדס מחדש את תהליך אספקת האפליקציה בדרך שלא רק תפחית משמעותית טעויות אנוש ותשפר ניהול סיכונים ועמידה ברגולציה, אלא גם תשפיע באופן חסר תקדים על מצב אבטחת האפליקציות בארגון.
מאת
רני אסנת, ספטמבר 2017.
סמנכ"ל שיווק,
Aqua Security
