كيف تقدم استقرار Kubernetes في السنوات الأخيرة؟
نشرت: 2022-01-20
كيف تطورت سلامة Kubernetes في العقود الجديدة؟
كان هناك تطور غير مسبوق في اعتماد Kubernetes ، مع ما يقرب من 70 في المائة من الشركات التي وسعت استخدامها كنتيجة مباشرة للوباء. ينتج عن ذلك تحدي أمان المؤسسة بشكل لم يسبق له مثيل ، مما يجعل التعقيد المعزز والنقاط العمياء.
لا تتمتع مجموعات الحماية حقًا برؤية لكل مشروع Kubernetes فردي ، مما يجعله غير قابل للتحقيق إلى حد كبير لتأمينها جميعًا بالسرعة التي يعمل بها المطورون.
ليس فقط السمعة المتزايدة لـ Kubernetes هي التي تخلق صعوبة. الطبيعة الديناميكية للبنية السحابية الأصلية هي أيضًا حالة. في حقيقة بسيطة ، تقول 61 في المائة من الشركات إن بيئاتها السحابية تتغير كل دقيقة أو أقل ، وتقريباً يقول ثلثهم إنهم يتكيفون على الأقل في كل ثانية. يؤدي كل هذا التحول إلى زيادة هائلة في تنوع الأجهزة الجديدة وهويات الأجهزة المقابلة - سواء كانت خدمات صغيرة أو حاويات أو آلات رقمية. هويات المعدات هي الشهادات والمفاتيح التي تستخدمها الأنظمة للتحدث مع بعضها البعض بطريقة مشفرة ، مع الحفاظ على البيانات خالية من المخاطر ومحمية.
في حين أن معظم هذه الأغراض سيتم تدويرها لأعلى ولأسفل في فرق من الثواني ، فإنها مع ذلك تحتاج إلى معرف ، والذي يجب إدارته خلال دورة حياته الكاملة. هذا حيث يصبح الأمر صعبًا. تواجه الشركات الآن صعوبات في إصدار كل هذه الهويات والتعامل معها بالسرعة والحجم المطلوبين للإجراء الفعال لشركات السحابة. ومع ذلك ، يؤدي هذا إلى خلق مشكلات أمنية إضافية وانقطاعات في التطبيقات بسبب سوء إدارة هويات الآلة. يعني هذا أيضًا عادةً وجود الكثير من هويات الأجهزة المعزولة على الشبكات ، والتي تشكل جميعها خطرًا أمنيًا كاملاً.
هل هناك عدد أكبر بكثير من الاعتداءات من قبل ، أم أننا نلاحظ فقط استهداف Kubernetes بدقة أكبر؟
مع وجود الكثير من الشركات التي تطبق Kubernetes أكثر من أي وقت مضى ، فإنها تجعل المتسللين يرونها في وزن خفيف جديد. لذا ، لا يقتصر الأمر على أننا نشهد هجمات أكثر من ذي قبل ، بل إن مجرمي الإنترنت يكتشفون بدائل جديدة لتحقيق مكاسب مالية. في الوقت الحالي في عدد الأشهر السابقة ، شهدنا عصابة الجرائم الإلكترونية Staff TNT تستخدم ميزة مجموعات Kubernetes التي تم تكوينها بشكل خاطئ. بعد الحصول على الإدخال الأول ، تم تجهيز البرامج الضارة الخاصة بهم ، والتي يطلق عليها اسم Hildegard ، لإمكانية الوصول إلى أرقام أعلى للحاويات من خلال استخدام مفاتيح SSH غير الآمنة وهويات الجهاز الأخرى قبل نشر برنامج التشفير.
لاحظ هجوم آخر أن الأشخاص الخبثاء في Azure قادرين على التعامل مع المناسبات السحابية للعملاء الآخرين فقط ضمن تقديم Microsoft للحاويات كمساعدة. يعد تسلل "Azurescape" هذا توضيحًا مختلفًا لكيفية استخدام المهاجمين لـ Kubernetes لسرقة معلومات دقيقة أو السماح بتعدين التشفير أو تنفيذ تعليمات برمجية خطرة. بينما يتمتع مطورو السحابة بالازدهار في فهم Kubernetes ، فمن غير الممكن فعليًا أن يكونوا في وضع يسمح لهم بتنفيذ ضوابط ثبات قوية لكل مناسبة سحابية فردية. يتم إبلاغ المتسللين بهذا الأمر ويستفيدون منه جيدًا من خلال تطوير تقنياتهم وإجراءات الهجوم. هذا هو ما نراه من أمثال الأموال شخص و Docker يتعرضان لانتهاكات بارزة.
نظرًا لاكتساب Kubernetes قبولًا أكبر بكثير ، نتوقع زيادة تنوع الاعتداءات. هذا ما لم تبدأ الشركات بالطبع في القيام بدور حيوي إضافي في الدفاع عن بيئات Kubernetes الخاصة بهم.
ما هي الأخطاء المتكررة التي تصنعها المؤسسات داخل عمليات نشر Kubernetes الخاصة بها؟
تعد سهولة الاستخدام والإجراءات الأساسية اللازمة لنشر Kubernetes أحد مزاياها العديدة. بعد قولي هذا ، يتسبب هذا أيضًا في حدوث خطأ واحد من أكثر الأخطاء الفادحة انتشارًا التي تسببها الشركات. يعتمد عدد قليل جدًا على الخيارات الافتراضية لـ Kubernetes ، والتي تسمح بنشر تطبيقات جديدة بسرعة ، على الرغم من أن هذه الخيارات ليست محمية بطبيعتها. على سبيل المثال ، تشير إرشادات الشبكة إلى أنه يمكن لجميع التطبيقات التواصل مع بعضها البعض دون قيود. وفي الوقت نفسه ، يمكن للأغراض أيضًا استخدام أي صورة حاوية ، ومجموعة متنوعة من الملفات الثابتة ذات التعليمات البرمجية القابلة للتنفيذ ، بغض النظر عما إذا كانت قد وصلت من مصادر غير موثوق بها. يؤدي هذا الاعتماد المفرط إلى فتح المؤسسات أمام مجموعة كاملة من نقاط الضعف التي ينتج عنها مجرمو الإنترنت بشكل كبير.
هناك العديد من الأنشطة التجارية غير الرسمية الشائعة التي تنشأ عند وصولها إلى Kubernetes وهي التهيئة الخاطئة لهويات الجهاز وسوء إدارتها. هذا احتمال مخيف ، بشرط أن تنتهي صلاحية هذه الهويات بعد فترة زمنية وجيزة وهي ضرورية لحماية الحقائق في العبور بين الأغراض. إذا تم تكوين هذه الهويات بشكل خاطئ أو نسيانها ، فمن الممكن للمتسللين سرقة أو تزوير تلك الهويات واستخدامها لتنفيذ الهجمات. لا يمكن أن يؤدي هذا فقط إلى فشل أعباء العمل الكبيرة ، ولكن يمكن أن تكون المعلومات والحقائق الدقيقة في غير محلها ، ويمكن تقديم تحكم أكبر للمهاجم الذي يحاول العثور على مجرد شبكة كاملة.
هذا أمر مؤكد عندما تعتقد أن حدوث انفجار في هويات الماكينة مقترنًا بالطابع الديناميكي للسحابة يشير إلى أن إدارة الدليل ببساطة غير قابلة للتحقيق. في الوقت نفسه ، يشير التحسين المستمر للهويات الجديدة إلى أن ثغرات الأمان يتم فتحها بانتظام حيث يقوم البناة ببناء المزيد والمزيد من البرامج الإضافية دون استخدام إدارة الجودة لاختبارها مقابل توقعات الحماية.
بالإضافة إلى ذلك ، تفشل المنظمات في الحصول على المساءلة عن استقرارها. سوف يحتاجون إلى الامتثال بشكل أفضل لممارسات الأمان الأكثر فاعلية واحتضان مجتمع DevSecOps حيث يتم إنشاء السلامة كأولوية مثالية منذ البداية. إن الفشل في القيام بذلك يتسبب في وقوع الشركات في المشاكل. مع تزايد الحاجة إلى موفري الخدمات الرقمية ، يركز البناة باستمرار على مجرد الإنشاء والابتكار لتسريع الوقت اللازم للقطاع. بدلاً من ذلك ، يتعين عليهم تحسين التوافق مع مجموعات الأمان في عمليات نشر Kubernetes الخاصة بهم لضمان استمرار حمايتهم ومراقبتهم بحثًا عن أي صعوبات قد تظهر.
ما الخطوات التي يمكن أن تتخذها الشركات بشكل استباقي للاحتفاظ ببنية Kubernetes الأساسية الخاصة بها آمنة وسليمة من المهاجمين؟
يُظهر التحقيق من Canonical أن أكثر من شخص في شركتين يواجه تحديًا بسبب نقص إمكانات Kubernetes داخل الممتلكات. يمكن لمؤسسات العمل 1 التي يمكن أن تتخذها للتعامل مع فجوة المهارات المتصاعدة هذه المشاركة مع الخبراء لتثقيف الموظفين وصقل مهاراتهم حول كيفية العناية بالبنية التحتية Kubernetes. في الوقت نفسه ، ستحتاج الشركات إلى تسريع نضج السحابة للتأكد من أنها على دراية بجميع التحديات وطرق التخفيف من حدة التهديدات. على الرغم من أن فرق النمو متحمسة بشأن المعدات الموجودة تحت تصرفهم وتنشغل في إنشاء تطبيقات سحابية أصلية بمعدل ، لا تزال مجموعات الأمان تكافح من أجل الحفاظ عليها.
ومع ذلك ، فإن زيادة نضج السحابة ليست مهمة سهلة. تعد تقنيات السحابة الأصلية جديدة ، وقد قيدت معظم المؤسسات الوعي والخبرة بها. هذا هو السبب في أنه من المهم جدًا أن تعمل الشركات مع رفقاء يمكنهم تقديم الإمكانات والعمليات والمعدات المهمة للمساعدة في تطوير السحابة الأصلية المحمي والسريع.
تحتاج الشركات أيضًا إلى تبني أنظمة الأتمتة. يتكون هذا من أتمتة إصدار هويات الماكينة وتكوينها وإدارتها ، بحيث يمكن للمطورين نشر تطبيقات جديدة دون الحاجة إلى التأكيد على أمان أو سلامة البنية التحتية التي ينشرون فيها.
ستضمن الأتمتة إزالة التوتر من الموظفين المرهقين. وبدلاً من ذلك ، يمكنهم تركيز وقتهم وطاقتهم على تحقيق الفائدة للشركة. سيؤدي ذلك إلى ضمان رؤية معينة في الوقت الجاد ، والالتزام بمعايير السلامة ، والقدرة على الاستجابة لمخاطر الحماية في الوقت الفعلي.
ما الوظيفة التي يؤمن بها الصفر في المشاركة في الدفاع المستمر عن Kubernetes؟
الاعتماد الصفري على سيكون له دور متزايد الأهمية للمشاركة في الأمن المستمر لـ Kubernetes. مع وجود عدد غير قليل من المواقف وأعباء العمل المتزايدة ، من المستحيل التعامل مع كل هويات معدات هؤلاء الأشخاص وأن يكونوا مجهزين للتحقق من صحة كل برنامج وشخص في الإجراء. هذا حقيقي بشكل خاص عندما يتم تدوير بعض الحاويات لأعلى ولأسفل في ثوانٍ.
لذلك ، يجب تنفيذ أسلوب عدم الاعتقاد حيث يفترض أن كل تطبيق يريد التحقق والمصادقة طوال الوقت.
من أجل القيام بالمهمة داخل بيئات السحابة الأصلية ، يجب تعزيز الثقة عند درجة عبء العمل مع اكتساب هويات الماكينة موقعًا أساسيًا. ستكون الأتمتة أمرًا حيويًا لرعاية هذه الهويات مع عدم الاعتماد على تكتيك مقابل رسوم ستواكب التطور الحديث والنطاق المطلوب لأغراض التنظيم الشامل.
Chintan Bellchambers ، مدير العناصر ، Jetstack