Çevikliği geliştirmek ve hibrit bir işgücünü desteklemek isteyen şirketler tarafından bulut altyapısının artan şekilde benimsenmesi, daha fazla geliştirme ekibinin yazılım ve ürünlere güvenlik oluşturmanın bir yolu olarak kod olarak güvenliği benimsemesine yol açtı.
Örneğin, geçtiğimiz yıl boyunca Google, bulut tekliflerinin temel bir bileşeni olarak kod olarak güvenliği zorladı ve Ocak ayında “yazılım tanımlı altyapıyı” aşağıdakilerden biri olarak belirledi. sekiz mega trend bulutun güvenliğini sağlamak. Güvenlik yapılandırmasını, geliştirme ve dağıtım süreçlerine girdi olabilecek kod olarak kodlamak, kuruluşların güvenlik yapılandırmalarını analiz etmelerine, kolayca değiştirmelerine ve yeniden dağıtmalarına ve politikalarla eşleşip eşleşmediğini değerlendirmek için güvenlik yapılandırmalarının durumunu sürekli olarak izlemelerine olanak tanır.
Google ve Google Cloud CISO başkan yardımcısı Phil Venables, sonucun analiz edilebilir güvenlik yapılandırması ve sürekli doğrulanabilir kontroller olduğunu söylüyor.
“Kod olarak güvenlikle ilgili en iyi şey, dağıttığınız yapılandırmanın tam olarak belirttiğiniz ve güvenlik gereksinimlerinizi karşılarken analiz ettiğiniz yapılandırmaya karşılık geldiğini bilmenizdir” diyor. “Dışarıdaki pek çok ihlal, mutlaka bilinmeyen bir riskin sonucu değildir, ancak genellikle kuruluşun konuşlandırılmadığını ve en çok ihtiyaç duyduğu anda faaliyet göstermediğini düşündüğü bazı kontrollerin sonucudur.”
Kod olarak güvenlik, yazılım tanımlı ağlar ve sistemler daha popüler hale geldikçe ortaya çıkan kod olarak altyapı hareketinin bir uzantısıdır. DevOps ekipleri, yazılım, kapsayıcılar ve sanal makineler oluşturmak ve dağıtmak için fiili standart olarak kod olarak altyapıyı benimsedi, ancak şimdi şirketler, bulutta yerel altyapıya geçişin kod olarak güvenliği önemli bir parçası haline getireceğine bahse giriyor. güvenlik için sürdürülebilir bir yaklaşım.
Kod Olarak Güvenlik Nasıl Çalışır?
2021’de danışmanlık firması McKinsey and Company, modern işletmelerin hareket ettiği hızda bulut uygulamasını ve altyapısını güvence altına almanın belki de tek yolu olarak kod olarak güvenliği belirledi.
Danışmanlık firması, “Bulutta değer yakalamak, çoğu şirketin bulutu iş ve teknolojilere entegre etmek, öncelikli iş alanlarında benimsemeyi sağlamak ve bulut kullanımını güvenli ve ekonomik bir şekilde ölçeklendirmek için gereken temel yetenekleri oluşturmak için bir dönüşüm motoru oluşturmasını gerektirir.” bir pozisyon kağıdına yazdı. “SaC, bulut güvenliği ve risk yönetiminde temel yetenekler geliştirmeye yönelik mekanizmadır.”
Google, konsepti çok daha işlevsel ve herhangi bir bulut altyapısının parçası haline getirmeyi amaçlıyor. Kasım ayında, şirketin Siber Güvenlik Eylem Ekibi Kod olarak Risk ve Uyumluluk (RCaC) çözümünü duyurdu.
DevOps’u benimseyen şirketler, tekrarlanabilir yazılım derlemelerinin, ister yazılım uygulamaları, ister ardışık düzen yapıları veya kapsayıcılar olsun, bir dosyada kod olarak altyapı öğelerinin yapılandırmasını belirleyebilmeye dayandığını bilir. Bu kod olarak altyapı yaklaşımı, geliştiricilerin ve operasyon uzmanlarının, dağıtılmadan önce yapılandırmayı ifade etmesine ve analiz etmesine olanak tanır.
Kod olarak güvenlik, birçoğunun DevSecOps olarak adlandırdığı bir yaklaşımla güvenlik için aynı şeyi yapmayı amaçlar. Kod olarak güvenlik, hangi güvenlik testinin yapılması gerektiği, güvenlik açığı taraması için kriterler, şifreleme gereksinimleri ve erişim kontrolleri dahil olmak üzere çeşitli öğelerin güvenlik yapılandırmasını ifade eder.
SBOM’ları Nasıl Etkiler?
Google, yazılım malzeme listelerini (SBOM’ler) daha açık ve işlevsel hale getirmeye yönelik mevcut çabaları, kod olarak yazılımın geleceğinin önemli bir bileşeni olarak görmektedir. Bir yazılım programının bileşenleri, herhangi bir derleme sırasında analiz edilebilir ve kod olarak güvenlik dosyasında açıklanan ilkeler uygulanabilir. Log4j gibi belirli bir tehdide karşı savunmasız olan bir bileşenin kullanılması yapıyı durdurabilir. Yüksek seviye gibi diğer gereksinimler Yazılım Yapıları (SLSA) için Tedarik Zinciri Düzeyleriayrıca belirtilebilir, diyor Google’dan Venable.
“Bu mekanizma, daha zengin kararlar almaya başlamanıza izin veriyor” diyor. “Güvenlik politikasını uygulamak için ortamın bu programlanabilirliği, herhangi birimizin geleneksel şirket içi ortamlarda yapabildikleriyle karşılaştırıldığında oldukça dönüşümsel.”
Google’a, kod olarak güvenlik alanında çığır açan başkaları da katıldı. Güvenliği kademeli olarak geliştirilebilen bir yapılandırma dosyası olarak kodlamaya yönelik büyüyen hareket, güvenlik şirketi Tenable Network Security’nin bir kod olarak güvenlik teknolojisi üreticisi Accurics’i satın almasına yol açtı.
Tenable Network Security’nin baş teknoloji sorumlusu Renaud Deraison, “Sorunları bulutta ortaya çıktıkları yerde değil, kodda oluşturma noktasında bulmak ve düzeltmek çok daha etkili.” satın almayı açıklayan bir blogda söyledi. “Bu şekilde, dağıtılanın varsayılan olarak güvenli olduğundan ve herhangi bir düzeltmenin bir yama veya operasyonel sonradan düşünülmüş olmaktan ziyade basit bir birleştirme isteği olduğundan emin olabiliriz.”
Güvenlik yapılandırmalarının yakında herhangi bir zamanda koda yerleştirileceğine herkes ikna olmuş değil. Sonatype’ın baş teknoloji sorumlusu ve kurucu ortağı Brian Fox, yazılım tanımlı altyapı bileşenleriyle birlikte seyahat eden konfigürasyon dosyalarının denetim yeteneği ve gelişmiş değişiklik yönetimi gibi önemli faydalar sağlayabilmesine rağmen, şirketlerin teknolojiyi benimsemek için hala çok gerici olduğunu söylüyor. bir yazılım-yönetim ve güvenlik firması.
Sonatype’ın sağladığı bir hizmet olan riskli yazılım bileşenlerinin tanımlanmasını otomatikleştirebilen yazılım bileşimi analizi (SCA) hizmetleri, kod olarak güvenliğin otomatikleştirilmiş faydalarından bazılarını sağlar. Fox, çoğu işletmenin yazılımlarını hangi bileşenlerin oluşturduğu hakkında hiçbir fikri olmadığını söylüyor.
“Bununla evlat edinme döngüsünün çok başındayız” diyor. “Kod olarak altyapının anlamlı olmasının tüm nedenleri, kod olarak güvenlik ile anlamlı olacaktır, ancak endüstri henüz tam olarak orada değil, çünkü pek çok insan bunu yapacak mekanizmalara sahip değil, boşverin. kodu.”