Bulutta yerel teknolojinin önemi artıyor ve Linux Vakfı’nın bir parçası olan Bulutta Yerel Bilgi İşlem Vakfı (CNCF), endüstri genelinde bulut güvenliği konusunda işbirliğini destekleyen önemli bir kuruluş.
Bu işbirliği, KubeCon gibi etkinlikleri içerir Amerika ve genellikle bulutta yerel güvenliği ana konu olarak öne çıkaran Avrupa, ancak bulutta yerel güvenliğin önemini gören CNCF bir sonraki adımı attı ve ayrı bir etkinlik oluşturdu.
CloudNativeSecurityCon Kuzey Amerika 2023 (CNSC) kısa bir süre önce Seattle’da gerçekleşti ve yalnızca bulutta yerel güvenliğe odaklanan, satıcıdan bağımsız, uygulayıcı odaklı ilk konferans olarak hizmet verdi. Etkinliğe 800’ün üzerinde katılımcı ve 50 sponsor katıldı. Teknoloji uzmanlarının tüm güvenlik seviyeleri için 70’den fazla oturumu vardı.
Güvenlik İnsan Kaynaklı; Sanayi İşbirliği Bir Çözümdür
CNCF İcra Direktörü Priyanka Sharma, güvenliğin yerel bulut ve açık kaynak topluluğu için acil bir sorun olmaya devam ettiğini söyledi. Açılış konuşması sırasında, Slash Data’ya göre 7,1 milyondan fazla bulutta yerel geliştirici olduğunu söyledi.
Bulut kullanımı ve buna bağlı tehditler artmaya devam edeceğinden, endüstrinin “performansımızı yükseltmek için bir paradigma değişikliğine” ihtiyacı olduğunu vurguladı.
Kuruluşlar bulut ortamlarını güvence altına almak için üzerlerine düşeni yapıyor olsa da Sharma, yazılım güvenliği satıcısı Snyk’in “2022 State of Cloud” raporuna işaret ederek, topluluktan daha aşağıdan yukarıya bir yaklaşıma sahip olmak yerine yukarıdan aşağıya yaklaşımın en iyi yol olmayabileceğini belirtti. Kuruluşların %77’sinin zayıf eğitim ve işbirliğini büyük bir bulut güvenliği sorunu olarak gördüğünü gösteren Güvenlik Raporu”.
Farklı ülkelerde çalışan, farklı araçlar kullanan ve izlenmeyen ilkelere güvenen ekiplere sahip olmak, birçok kurumsal güvenlik senaryosunda yaygın güvenlik sorunlarıdır, ancak bulutu dahil ettiklerinde, güvenlik ortamına yönelik zorlukları daha da artırır. Bu nedenle Sharma, “Güvenlik insan gücündedir” dedi ve paylaşılan bir varlık dizini ile birlikte tüm paydaşlardan sektör düzeyinde işbirliğine sahip olmak, sektör genelinde bulut güvenliğini artıracaktır. Bulut yerel alanında yapılan inovasyon ve doğru yaklaşımla ilgili tüm konuşmalardan sonra bile, endüstrinin hala karşı karşıya olduğu bir beceri eksikliği var. CNCF, bulut tabanlı ortamda teknik uzmanlık eksikliğinin en büyük sorununu çözmek için Kubernetes ve Cloud Associate (KCSA) sertifikasını duyurdu.
CNCF, farklı odak alanları için Teknik Danışma Grupları (TAG’ler) ile birlikte organize oluyor ve kuruluşların bulut yerel ekosistemindeki projelerin güvenliğini kolaylaştırmalarına yardımcı olacak bir Güvenlik ETİKETİ arıyor. Eğitim, ortaklık ve proje katılımı yoluyla CNCF projelerini destekleyen 165 üyeli bir ekiptir. Bu grup, herhangi bir CNCF projesi için güvenlik özellikleri konusunda yardımcı olacaktır; kuruluş içindeki herhangi bir kuluçka projesi artık Güvenlik ETİKETİ tarafından bir güvenlik denetiminden geçmelidir. Kubernetes tarafından benimsenen Sigstore projesi, bu tür açık, çok satıcılı iş birliğine bir örnekti.
Önemli Konferans Konuları
Etkinlik sırasında ortaya çıkan SBOM, çalışma zamanı güvenliği, kod olarak altyapı güvenliği, güvenli politikalar ve kimlik doğrulaması için kod ve ChatGPT dahil olmak üzere temalar, bulutta yerel uygulamaların benimsenmesinin artmaya devam edeceğini ve endüstrinin zorunlu olduğunu gösterdi. bu uygulamalar için güvenliğe öncelik verin. Açık kaynak kodunun güvenliğini sağlamak için bir açık kaynak güvenlik aracına sahip olma düşüncesi mantıklıdır. Bugün CNCF’nin güvenlikle ilgili 21 açık kaynak projesi var: Açık Politika Aracısı (OPA) ve Güncelleme Çerçevesi TUF, kuluçka aşamasındaki beş projeyle daha mezun oldu ve geri kalanı korumalı alan aşamasında.
Yazılım Tedarik Zinciri Güvenliği
Konferanstaki birçok oturum, yazılım tedarik zincirinin ne anlama geldiğini ve onu güvenceye almanın neden hala önemli olduğunu anlamaya odaklandı.
Bir Yahoo temsilcisi tarafından yapılan bir konuşma, kurumsal kodun %85 ila %97’sinin açık kaynak bileşenleri kullandığını ve bunlardaki herhangi bir güvenlik açığının güvenlik tehdidi oluşturabileceğini vurguladı. Bu sorun, güvenliğin uygulama geliştirmeden CI/CD boru hattına ve üretime kadar yazılım geliştirme yaşam döngüsünün (SDLC) her aşamasında kökleşmiş olmasının önemini vurgulamaktadır.
Kod bağımlılıkları, tedarik zinciri saldırılarına yol açan en yaygın nedenlerden biri haline geldi. Yazılım tedarik zinciri güvenliğiyle ilgili yakın tarihli bir rapora göre, tedarik zinciri saldırıları son üç yılda yıldan yıla %742 arttı. Bu nedenle, güvenliği sorunsuz hale getirerek DevOps iş akışının sürdürülmesini sağlamak için bir DevSecOps yaklaşımı önemlidir. DevOps merkezli ortamlarda uygulama geliştirmenin, entegrasyonun ve operasyonun ayrılmaz bir parçası olarak güvenliğe sahip olmak anlamına gelir.
“Sağa Kaydır”, “Sola Kaydır” Kadar Önemlidir
Uygulamaların bulutta devreye alınması, çoğu kuruluş için genellikle dijital dönüşüm girişimlerini desteklemek için hızlandırılmış bir girişim olmuştur, ancak çoğu aynı güvenlik sorunlarıyla karşı karşıyadır.yazılım güvenlik açıkları, yapılandırma ve izin yönetimi, uyumluluk ve tehditleri algılama ve bunlara yanıt verme gibi, geleneksel uygulamaları rahatsız etmek, bulut uygulama güvenliğini de engeller.
Bulut yerel bakış açısına göre, en çok iki eğilim göze çarpıyor. Birincisi, “sola kaydırmanın”, izlenebilen merkezi sorumluluklara ve bağımlılıklara sahip olan CI/CD güvenliği kullanımına karşılık geldiği yoldur. Güvenliği, yazılım geliştirme yaşam döngüsünde daha erken bir aşamaya, yani güvenliğin kaynak kodun oluşturulduğu andan itibaren yerleşik hale geldiğine doğru hareket etmeye işaret eder.
Ancak ikinci eğilim, mikro hizmetlere dağıtılan ve Kubernetes tarafından yönetilen iş yükü kadar çalışma zamanı ortamında neler olup bittiğini anlamada eşit derecede önem kazanan “sağa kaydırma”dır. eBPF teknolojisine dayanan CNCF (başlangıçta Sysdig tarafından başlatılan) ile Falco projesi, kuruluşların kapsayıcılarında ve ana bilgisayarlarında her işlemin ne yaptığını anlamalarına yardımcı olmayı amaçlıyor. Bulut ortamı için bir güvenlik kamerası gibidir.
Yazılım Malzeme Listesi
Log4j, gösteri sırasında birçok kuruluşun operasyonlarını pek çok farklı şekilde nasıl sekteye uğrattığının altını çizerek akıllara ilk gelen isim oldu.
Tedarik zincirine yönelik benzer yüksek profilli saldırılar, ABD federal hükümetinin aşağıdakiler için yönergeler oluşturmak üzere bir yürütme emri yayınlamasının nedeniydi: güvenlik yazılım çözümleri hükümet için kullanılır. Üçüncü taraf bağımlılıkları kullanarak yazılım oluşturmaya yönelik yaklaşım değişikliği, uygulamada tam şeffaflığın önemli olmasını sağlar.
Bu nedenle, uygulamada kullanılan tüm bileşenlerin, modüllerin ve kitaplıkların bir listesini sunacak ve ayrıca tedarik zinciri bileşenleri arasındaki ilişkiyi çizecek bir yazılım ürün reçetesi (SBOM) bulundurma yaklaşımı giderek daha önemli hale geliyor.
Konferans sırasında ilginç bir fikir alışverişi, her bir yazılım öğesi tarafından zaman içinde toplanacak meta verilerin nasıl ele alınacağını ele aldı. Bir panelde bir Google temsilcisi, yüksek kaliteli bir grafik veritabanında bu meta veriler için bir toplayıcı gibi işlev gören yeni ürünü Graph for Failure Artifact Composition’dan (GUAC) bahsetti.
Sponsor Manzarası
CNSC nispeten küçük ölçekli bir konferanstı, ancak sponsorları sektöre dağılmış satıcıları temsil ediyordu. Yaklaşık %55’i güvenlik satıcıları, %18’i biraz güvenlik sunan teknoloji satıcıları, %12’si şirket içi güvenlik ürünü kullanan ancak güvenlik ürününü tek başına bir teklif olarak satmayan teknoloji satıcıları ve %15’i güvenlik dışı satıcılardı.
Güçlü Bir Başlangıç
İlk CNSC, bulut yerel topluluğunun, bulut yerel ortamlardaki güvenlik zorluklarına ve fırsatlarına odaklanmış bir bakış için her yıl toplanacak bir yer oluşturması için güçlü bir başlangıçtı.
CNCF, farklı satıcı türlerini bir araya getirerek ve bulutta yerel güvenlik projelerini destekleyerek harika bir iş çıkarıyor. Bu, geliştiricileri güvenlik endişelerine maruz bırakıyor. Aksine, geleneksel güvenlik ekipleri de geliştiricilerle daha iyi çalışmayı öğrenmeli ve güvenlik yaklaşımlarının geliştirme öncelikleri ve iş hedefleriyle uyumlu olmasını sağlamalıdır.
Bu, bulutta yerel güvenlikle ilgili sorunları çözmeye yönelik yalnızca bir ilk adımdır. İnsanlarla daha fazla işbirliği ve gelecekte yapılacak süreç var.