コンテナとサーバーレス プラットフォームに基づくクラウド ネイティブ アプリケーションは、世界中の組織で急速に導入されています。クラウド ネイティブ アプリケーションは、スケーラビリティ、比類のない回復力、高速な開発速度をもたらしますが、課題ももたらします。 クラウドネイティブ アプリケーションには多数の可動部分があり、一時的なアーキテクチャ コンポーネントに基づいています。これにより、操作と保守が困難になります。さらに、当然ながら安全上のリスクもあります。クラウドネイティブ セキュリティには、新しいソリューション、戦略、ツールが必要です。ここでは、企業のクラウドネイティブ セキュリティの向上に役立つ 5 つのヒントを紹介します。
クラウドネイティブとは何ですか?クラウド ネイティブ アプリケーションはクラウド用に作成され、開発、展開、テスト、アップグレードといったソフトウェア開発ライフサイクル全体がクラウド環境で完了します。 「クラウド」の概念はパブリック クラウドに限定されず、リモート リソースとローカル リソースの両方を備えたハイブリッド クラウドや、複数のクラウド プロバイダーを備えたマルチクラウド環境を意味する場合もあります。 Cloud Native Computing Foundation (CNCF) は、クラウド ネイティブ コンピューティングでは、コンテナ化、マイクロサービス構造、動的オーケストレーションの 3 種類のツールを使用する必要があると考えています。コンテナ化とは、ソフトウェアとその関連する依存関係をバインドして、ソフトウェアを移植可能かつスケーラブルにすることを意味します。動的オーケストレーションには、Kubernetes などのツールを使用してクラウド コンテナを管理することが含まれます。マイクロサービス構造によりリソースを最適化できます。コンテナは、別のクラウドネイティブ コンピューティング機能であるサーバーレス関数に置き換えることができます。 クラウドネイティブのセキュリティの課題クラウドネイティブ アプリケーションは、インフラストラクチャとアプリケーションのセキュリティにさらなる課題をもたらします。主な課題は次のとおりです。
クラウドネイティブアプリケーションを保護する方法クラウド ネイティブ アプリケーションを保護するには、セキュリティのシフトレフト、機能およびコンテナ レベルでの境界セキュリティの適用、最小の役割と最小権限の適用、アプリケーションの依存関係の保護、セキュリティ責任の共有など、複数の方法があります。 1. 安全を左にシフトする多くの企業は、クラウドネイティブ アプリケーション環境の速度、規模、動的ネットワークに対応できない既存のツールを依然として使用しています。サーバーレス機能を追加すると、インフラストラクチャ全体がより抽象化され、問題はさらに深刻になります。 サイバー攻撃者は、コンテナやサーバーレス コードの脆弱性、クラウド インフラストラクチャの構成ミスを探し、機密情報を含むエンティティにアクセスし、それを利用して権限を昇格し、他のエンティティを攻撃します。 もう 1 つの問題は、企業が CI/CD ツールを使用してアプリケーションを継続的に開発、テスト、リリースしていることです。コンテナを使用してクラウドネイティブ アプリケーションをデプロイする場合、開発者はローカル ライブラリまたはパブリック ライブラリからイメージを取得しますが、通常、これらのイメージにセキュリティ リスクが含まれているかどうかはチェックしません。 解決策の 1 つは、信頼できないイメージが CI/CD パイプラインに入るのを防ぐツールをセキュリティ チームに提供し、信頼できないイメージが本番環境に入る前にセキュリティ上の問題を引き起こすのを防ぐメカニズムを有効にすることです。開発プロセスの早い段階でイメージをスキャンして脆弱性やマルウェア コンポーネントなどを検出することにより、開発者はセキュリティ標準を強制できます。 2. 機能レベルとコンテナレベルで境界セキュリティを適用するサーバーレス アプリケーションでは、システムは、さまざまなリソースからプロジェクト トリガーを受け取ることができる複数の呼び出し可能なコンポーネントに分割されます。これにより、攻撃者はより多くの攻撃オプションと悪意のある動作を実行する方法を得ることができます。 重要な方法の 1 つは、クラウド ネイティブ環境向けに作成された API およびアプリケーション セキュリティ ツールを使用することです。これに加えて、関数レベルで境界セキュリティを使用することが一般的です。つまり、関数が通常とは異なるソースによってトリガーされたかどうかを識別し、異常がないかイベント トリガーを監視します。 コンテナ化された環境では、オーケストレーション コントロール プレーン、物理ホスト、ポッド、コンテナなど、さまざまなレベルでセキュリティを実装することが重要です。オーケストレーション セキュリティのベスト プラクティスには、ノードの分離、コンテナー間のトラフィックの制限と監視、API サーバーに対するサードパーティの認証メカニズムの使用などがあります。 3. 最小限の役割と最小限の権限クラウド ネイティブ リソース間では、頻繁なやり取りが多数発生します。サーバーレス関数またはインスタンスごとに固有の権限を構成できると、セキュリティを大幅に向上できます。アクセス制御は、機能ごとに IAM を使用するか、コンテナにきめ細かい権限を適用することで強化できます。少し時間を取って、各機能またはコンテナに対して最小限のロールまたは権限セットを作成してください。これにより、クラウド ネイティブ アーキテクチャの 1 つのポイントが侵害された場合でも、発生する損害は最小限に抑えられ、他のコンポーネントで権限昇格の問題が発生するのを防ぐことができます。 4. アプリケーションの依存関係を保護するサーバーレス関数とアプリケーション コードは、多くの場合、npm や PyPI などのリポジトリから依存関係を取得します。 アプリケーションの依存関係を保護するには、完全なオープンソース コンポーネントとその脆弱性データベースを含む自動化ツールが必要です。同様に、開発プロセス中に安全な動作をトリガーできるクラウドネイティブのオーケストレーション ツールも必要です。これらのツールを継続的に実行することで、潜在的に危険なコード パッケージやコンテナーが生産ラインで実行されるのを防ぐことができます。 5. 安全に対する責任の共有開発者、DevOps、セキュリティ チーム間の緊密な関係を構築します。開発者はセキュリティの専門家ではありませんが、コードを安全に記述できるようにセキュリティの実践方法を教えることはできます。セキュリティ チームは、アプリケーションがどのように開発、テスト、展開されるか、またプロセスでどのようなツールが使用されるかを把握し、これらのプロセスにセキュリティ要素を効果的に追加できるようにする必要があります。 クラウド ネイティブでは、セキュリティと開発を管理するためのさまざまなエンタープライズ方法が必要になるため、さまざまなチーム間のギャップをできるだけ早く減らすことが重要です。クラウド ネイティブの導入は、企業がコラボレーションと共有の文化を育む貴重な機会です。 結論はこの記事では、保護する必要があるエンティティの数の多さや、絶えず変化する環境と構造など、クラウド ネイティブの課題について触れています。同様に、クラウド ネイティブ環境を改善できる 5 つのベスト プラクティスが示されています。
レビュービジネスのペースが加速するということは、サーバーレス アプリケーションなどのクラウド ネイティブ アプリケーションが企業でますます導入され、クラウド ネイティブ セキュリティもさらに注目されるようになることを意味します。この記事で紹介した 5 つのセキュリティ提案のうち、ソフトウェア セキュリティ関連の提案が大部分を占めていることは容易に想像できます。セキュリティ レフト シフト、アプリケーション依存性の保護、DevSecOps セキュリティ コラボレーション全体の実現など、結局のところ開発セキュリティと切り離せないものです。この観点から、クラウドネイティブの活用により、DevSecOpsとAPIセキュリティの重要性はさらに高まります。 |
<<: Containerd の使い方を 1 つの記事で解説
>>: クラウドネイティブの初体験: K8s への Springboot アプリケーションのデプロイ
ウェブマスターさん、こんにちは。友情リンクと百度コレクションを交換しましょう。最近、QQでよく似たメ...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス実際、多くの人から「専門...
ツールウェブサイトとは何ですか?まず、Wikipedia の 3 つの概念グループを理解しましょう。...
何らかの理由で、元のサーバースポンサーがネットワークケーブルを抜いてしまい、ウェブサイトにアクセスで...
Nexusbytes は現在、米国西海岸のロサンゼルス データ センターの VPS をフラッシュ セ...
最近、多くの友人が Xinchen に大きな問題について苦情を言っています。なぜサイトがホームページ...
安全を保つため、あるいは一時的に妥協するため、選択肢は異なりますが、目的は同じです。すべては発展のた...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています映画監督が...
buyvm が公式に発表しました: 1G メモリから始まる専用 KVM スライス シリーズは、無料の...
ユーザーが受信した 2 つのテキスト メッセージには、署名と返信がまったく異なっていました。アカウン...
ライブストリーミング電子商取引は、商品の販売とアイドル化をうまく組み合わせています。 10月20日夜...
誰もがホステオンについてよく知っているはずです。9月中旬頃に公式がLevel3に接続し、ウェブマスタ...
近年、5G、人工知能、デジタルツインなどの技術の継続的な発展により、モノのインターネットの潮流がさら...
[[250357]]フェイフェイ・リー氏は去り、グーグルAI中国センターのリー・ジア所長も去った。今...
<Binzhou SEO Optimization Market Analysis>はB...