Полная версия
Цифровая системная архитектура
– Использование сервисной сетки
Термин «сеть сервисов» определяет дополнительный уровень в сети, который добавляет больше функций и улучшает безопасность микросервисов. Ячеистая сеть подразумевает наличие вспомогательных устройств для сервисов, которые работают как прокси. Использование ячеистой сети в микросервисах предоставляет разработчикам возможность:
– упрощение взаимодействия между сервисами
– обнаружение ошибок связи и сбоев
– шифрование и проверка данных
– оптимизируйте разработку, тестирование и развертывание приложений
– Защищенное хранение данных
Отдельные сервисы могут быть разработаны с использованием различных технологий. Они должны обеспечивать безопасное хранение данных всеми сервисами и сводить к минимуму вероятность раскрытия сервисов из-за используемых уязвимостей.
Три основными рекомендациями по разработке защищенного хранилища данных, приведенными ниже.
Шифрование данных
Шифрование данных, хранящихся в базе данных, помогает сохранить информацию в безопасности в случае взлома, поскольку ее невозможно прочитать.
Существуют два подхода к шифрованию данных:
При передаче – данные шифруются при отправке из одной службы в другую. Службы-получатели расшифровывают и считывают полученную информацию. Это помогает свести к минимуму вероятность утечки данных, вызванной нарушением каналов передачи данных.
Данные в режиме ожидания – данные шифруются для дальнейшего хранения на жестком диске. Такой подход помогает включить дополнительные меры безопасности микросервисов при хранении данных и сохраняет их неразглашенными в случае потери.
Управление жизненным циклом данных
Жизненный цикл данных определяет время, в течение которого данные должны существовать в системе. Подумайте, какие данные следует удалять автоматически, в зависимости от даты создания записей. Это помогает оптимизировать использование хранилища данных и уменьшить объем информации, которая потенциально может быть раскрыта из-за нарушения безопасности.
Создание резервных копии
Из-за распределенного характера архитектуры микросервисов создание резервной копии включает настройку базы данных каждой службы.
Рекомендуется выполнять следующее.
– Проведение аудитов, чтобы определить важные данные, которые следует резервировать для оптимизации использования ресурсов
– Настройка инструментов автоматического создания резервных копий
– Проверка возможностей восстановления резервных копий без ошибок
– Хранение резервных копии данных на выделенных серверах
Управление конфиденциальными данными
Конфиденциальные данные включают учетные данные для входа, секреты, токены и ключи, которые помогают предоставлять доступ пользователям и интерпретировать зашифрованную информацию. Ниже приведены три основных метода управления конфиденциальными данными.
– Не вводите жестко учетные данные для входа
Не встраивайте конфиденциальные данные и учетные данные для входа непосредственно в исходный код вашего приложения. Жесткое кодирование может привести к серьезной уязвимости в архитектуре микросервисов, поскольку хакеры могут получить доступ к секретам для получения несанкционированного доступа к сервисам.
– Следуйте принципу наименьших привилегий
Один из принципов безопасности микросервисов заключается в максимально возможном ограничении доступа пользователей и служб. Определенные роли должны иметь доступ только к службам, ресурсам или приложениям, которые им требуются для выполнения поставленных задач.
– Используйте специализированные решения для сохранения секретности
Многие готовые к использованию решения могут помочь хранить конфиденциальную информацию и управлять ею, включая учетные данные для входа, токены, ключи и т. д. Кроме того, они предлагают дополнительные функциональные возможности для улучшения архитектуры безопасности микросервисов, включая автоматический мониторинг и проверку соответствия требованиям.
Тремя лучшими готовыми к использованию специализированными решениями для сохранения секретности являются:
– Менеджер секретов AWS
– Управление ключами Google Cloud
– Хранилище ключей Microsoft Azure
API Gateway + брандмауэр
Шлюз API соединяет интерфейс и серверную часть. Он принимает запросы от пользователей и направляет их на микросервисы. Основная функциональность API включает аутентификацию, авторизацию и маршрутизацию запросов.
Брандмауэр – это дополнительный уровень безопасности микросервисов, который защищает сети и приложения от распространенных эксплойтов. Брандмауэр может фильтровать трафик, обнаруживать подозрительную активность, следовать пользовательским правилам безопасности и т. д.
Шлюз API может работать без брандмауэра. Однако для обеспечения максимальной безопасности в микросервисах рекомендуется реализовать комбинацию шлюза API и брандмауэра, например:
API gateway: AWS API Gateway + Брандмауэр: AWS Web Application Firewall (WAF)
API-шлюз: Google Cloud Load Balancer + Брандмауэр: Google Cloud Armor
Мониторинг безопасности микросервисов
Постоянный мониторинг приложений помогает гарантировать отсутствие проблем с безопасностью и отсутствие несанкционированного доступа пользователей.
Рекомендации по обнаружению проблем с безопасностью-
1. Журналы и мониторинг ключевых показателей
Мониторинг журналов – один из основных подходов, помогающих выявлять технические проблемы и проблемы безопасности. Рекомендуется внедрить централизованную систему управления журналами для мониторинга всех действий с целью обнаружения нарушений безопасности или подозрительной активности.
Мониторинг важнейших показателей помогает разработчикам обнаруживать проблемы с безопасностью микросервисов или необычные действия. Вот некоторые показатели, которые помогают определить подозрительную активность::
– неудачные попытки входа в систему
– случаи сброса пароля
– попытки входа в систему без пароля
– изменения разрешений пользователей
– сетевой трафик
– время простоя системы
2. Сканирование уязвимостей
Возможные бреши в системе безопасности можно обнаружить путем проведения сканирования уязвимостей. Автоматизированные инструменты могут анализировать кодовую базу и обнаруживать фрагменты кода, содержащие возможные уязвимости в системе безопасности. Разработчикам следует дополнительно проверять отмеченные фрагменты кода. Наиболее популярными инструментами являются:
– SonarQube
– Checkmarx SAST
– Veracode
3. Тестирование на проникновение
В двух словах, тестирование на проникновение – это имитация точечной атаки на приложение со стороны этичных хакеров. Это помогает заранее обнаружить уязвимости в системе безопасности. Все уязвимости, обнаруженные этичными хакерами во время тестирования безопасности микросервисов, должны быть задокументированы и доведены до сведения разработчиков.
Аудит программного кода – разбивка процессов
Новые решения подразумевают множество сервисов, которые безопасно обрабатывают большие наборы данных и предоставляют богатую функциональность в одном месте. Основные функции приложения заключаются в следующем.
– Агрегирование новостей. Система анализирует активность пользователей и собирает наиболее актуальные новости из разных источников.
– Коммуникационная платформа. Пользователи могут отправлять прямые сообщения, создавать групповые чаты и выполнять аудио- и видеозвонки. Кроме того, они могут делиться экранами и использовать общедоступные каналы.
– Платформа, основанная на блокчейне. Пользователи могут обменивать криптовалюту, создавать смарт-контракты и запускать аукционы, основанные на блокчейне.
– Функциональность социальных сетей. Приложение предоставляет расширенные функции социальных сетей, включая создание тем и постов. Пользователи могут оставлять комментарии, реакции и опросы.
– Прямые трансляции. Пользователи могут запускать прямые трансляции, делиться экранами и отправлять файлы. Кроме того, пользователи могут встраивать внешние ресурсы в свои прямые трансляции.
Заключение
Безопасность микросервисов направлена на то, чтобы разработчики создавали защищенные приложения с минимальным количеством уязвимостей.
Основными рекомендациями по безопасности микросервисов являются:
– Аутентификация и авторизация
– Защищенная связь между микросервисами
– Защищенное хранение данных
– Управление конфиденциальными данными
– API gateway + брандмауэр
Для мониторинга и обнаружения ветвей безопасности рекомендуется выполнить следующее:
– мониторинг журналов и ключевых показателей
– сканируйте приложение для обнаружения уязвимостей
– проведите тестирование на проникновение
@@@@@@@@@@@@@@@@@@@@@@@@@@@
– Облако: возможность или риск для кибербезопасности?
Унифицированные платформы безопасности легко интегрируются с собственными службами безопасности поставщиков, чтобы гарантировать, что облачные пользователи уважают свою долю модели совместной ответственности и поддерживают политики нулевого доверия во всех принципах облачной безопасности: контроль доступа, защита сети. Информационная система угроз – это инструмент поддержки принятия решений, который обеспечивает соответствие виртуальному серверу, защиту рабочей нагрузки и данных и мониторинг угроз.
Обработка данных в облаке
Кроме того, прежде чем хранить свои данные у поставщика облачных услуг, вам следует оценить, насколько это просто или громоздко, если вы хотите снова удалить данные из облака. Потому что стирать данные в облаке не так просто, как дома на собственном компьютере. Поставщики облачных услуг часто хранят несколько копий файлов в разных центрах обработки данных, чтобы обеспечить высокую доступность данных. Даже после отмены или «удаления» некоторые облачные провайдеры по-прежнему сохраняют данные в течение некоторого времени на случай, если отмена или удаление будут отменены (что случается достаточно часто). Поэтому рекомендуется ознакомиться с условиями и положениями поставщика облачных услуг.
Облако позволяет хранить любые данные, которые вы хотите. Иногда это могут быть очень личные данные, такие как семейные фотографии, цифровые банковские выписки или налоговые документы. Поэтому вам следует уделить особое внимание обеспечению безопасности ваших данных на серверах поставщика облачных услуг. Хакерская атака на центр обработки данных, принадлежащий поставщику облачных услуг, выгодна преступникам, потому что там хранится информация многих пользователей. Кроме того, у злоумышленников обычно есть время спланировать свой взлом и найти черный ход в центр обработки данных.
Правильная реализация и фактическая безопасность мер безопасности, принятых поставщиками облачных услуг, обычно не позволяют проверить их правильность. Вот почему самый безопасный способ – это когда вы сами берете на себя шифрование данных и храните ключ у себя. Однако те, кто защищает свои данные таким образом, должны учитывать недостатки, связанные с удобством: зашифрованные данные не должны расшифровываться в облаке. Следовательно, их необходимо загрузить и расшифровать локально, чтобы продолжить работу с ними. Хотя зашифрованные данные также можно синхронизировать между несколькими устройствами, тогда ключ и, в конечном итоге, программное обеспечение для шифрования должны присутствовать на каждом устройстве. Это затрудняет совместную одновременную работу нескольких человек над документом.
Облачная нативная (Cloud Native) безопасность
Облачные технологии как технологии, которые позволяют организациям создавать и запускать масштабируемые сайты приложений в современных и динамических средах, таких как публичные, частные и гибридные облака. Контейнеры, сервисные сети, микросервис, неизменная инфраструктура и декларативные API демонстрируют этот подход.
Облачные технологии, такие как бессерверные, в частности, снижают бремя, связанное с оркестровкой и мониторингом операций инфраструктуры. Не беспокоясь об инфраструктуре, разработчики могут посвятить время и энергию созданию инструментов, которые питают компанию и приносят доход.
Облачная безопасность и ответственность
В традиционном ИТ-подходе все обязанности лежат на организации конечного пользователя – от контроля доступа до электричества и физической безопасности установки. Тем не менее, облачные вычисления освобождают облачного провайдера от значительной части этих задач. Много задач, но не все. Организация конечных пользователей по-прежнему несет ответственность за защиту данных, которые она размещает на облачном сайте, в соответствии с хорошо известной моделью «общей ответственности».
Чтобы обеспечить безопасность «облачной» инфраструктуры, важно точно понимать, где находятся обязанности, поскольку они варьируются в зависимости от услуг, которые вы потребляете. К сожалению, многие организации не добиваются успеха. К сожалению, распространены различные проблемы, включая отсутствие критических исправлений, потенциальную компрометацию учетных записей, публичное освещение облачных сервисов хранения и принятие трафика в модули Kubernetes из любого источника. Прогнозируется, что к 2025 году по крайней мере 99% сбоев облачных сайтов будут связаны с клиентом.
Безопасность периметра больше не применяется, когда периметр растворяется
Традиционные подходы заключаются в возведении стены вокруг инфраструктуры и наблюдении и блокировке снаружи. С переходом на некоторые облачные технологии, такие как бессерверные, периметр растворяется. Например, WAF будет защищать только функции, запущенные шлюзом API. Поэтому WAF будет бесполезен, если ваши функции запускаются различными источниками событий, такими как события облачного хранилища, непрерывная обработка данных и изменения базы данных.
Кроме того, традиционные подходы к внешнему сканеру и брандмауэру не имеют контекста для обеспечения безопасности с точностью. Сканеры и средства защиты периметра не понимают и видят ресурсы, которые они оценивают и защищают. Это отсутствие понимания приводит к ошибкам и ложным срабатываниям. Эксперты должны пойти и отремонтировать их, найти уязвимость и устранить пробелы, такие как ложные негативы. Такие процессы, которые основаны на человеческих и ручных усилиях, не являются эволюционными.
Каковы риски использования облака?
Аналогичным образом, доступ через незащищенные сети, такие как точки доступа Wi—Fi в аэропорту, представляет опасность. В этих сетях злоумышленники могут перехватить учетные данные и использовать их не по назначению. Это особенно важно, если двухфакторная аутентификация не используется. Вот почему в идеале данные передаются в облако только в зашифрованном виде. Например, если вы создали текстовый документ на своем ПК и загружаете его в свое онлайн-хранилище, передача может происходить в зашифрованном или незашифрованном виде. Теоретически, если файл передается в незашифрованном виде, он доступен для просмотра посторонним лицам, которые вмешиваются в вашу передачу данных. Шифрование передачи данных может быть выполнено путем передачи данных через защищенное соединение с использованием «https». В случае, если поставщик не предлагает возможность такого транспортного шифрования, дальнейшее использование сервиса должно быть поставлено под сомнение.
Во многих случаях особый риск представляет доступ через смартфон. Если учетные данные хранятся в приложении службы, для доступа к облаку достаточно просто зайти в приложение. Что удобно с одной стороны, с другой стороны, означает, что вредоносные программы на смартфоне также могут иметь легкий доступ к данным в облаке. Если смартфон попадет в чужие руки в результате утери или кражи, облачные данные будут в безопасности ровно настолько, насколько защищен доступ к смартфону. Так, например, те, кто защищает свой смартфон только с помощью четырехзначного PIN-кода, ставят этот барьер довольно низко. Кроме того, обычно нет гарантии, что используемые приложения будут передавать данные в зашифрованном виде. В отличие от использования современных интернет-браузеров, здесь пользователи, как правило, не предупреждаются о рисках незашифрованного соединения. Таким образом, использование смартфона в небезопасных точках доступа может представлять угрозу безопасности.
Динамические среды требуют динамической безопасности
Приложение с новой и самобытной структурой требует четкого подхода к безопасности. Невозможно использовать один и тот же подход к обеспечению безопасности компьютеров, которые так разнообразны:
– Виртуальные машины
– Контейнеры
– Контейнер как услуга
– Бессерверные функции
В отличие от кода, тесно связанного с монолитной базой данных приложений, переход на микросервис позволяет получить меньшие фрагменты кода, а также меньшую и более простую связь.
Безопасность Cloud Native требует высокой точности видимости и контекста
Разрастание облачных городов растет быстрее, чем способность обеспечить его безопасность. Видимость – будь то высокая точность или даже плохая верность – является проблемой. И ограниченная видимость без более широкого контекста приводит к ошибочным выводам. Отсутствие централизованного администрирования и видимости увеличивает вероятность необнаруженных ошибок конфигурации, а также неспособность количественно оценить риски. Оповещения, в которых нет контекста, требуют вмешательства человека, что приводит к задержкам в мерах по смягчению последствий и усталости от оповещений.
«Облачная» безопасность должна решить проблему контекста. Эффективная нативная безопасность на облачном сайте требует подробной информации об использовании подозрительных действий. Вы должны знать не только IP-адрес источника, но и место назначения, протокол, пользователя и группу, содержимое и функции приложения и т. д.
Облачная безопасность, процессы и технологии
Чтобы решить проблему отсутствия безопасности, вызванной быстрой эволюцией цифровых экосистем, организации должны внедрить интегрированную облачную платформу безопасности, которая включает в себя искусственный интеллект (ИИ), автоматизацию, интеллект, обнаружение угроз и возможности анализа данных.
Защита сайта публичного облака требует постоянной оценки и защиты, тесно интегрированной с инфраструктурой и приложениями. Инструменты, бюджет безопасности и специализированный персонал не растут так быстро, как количество инструментов, которые организации используют в рамках своей цифровой трансформации.
Безопасность Cloud Native интегрирована
Cloud Native относится как к безопасности платформы и инфраструктуры, так и к непрерывной безопасности на сайте приложения.
Безопасность должна быть интегрирована в активы, которые вы хотите обезопасить. Это относится к нескольким слоям, от ОС (операционной системы) до контейнера и приложения. Чтобы защитить приложение, необходимо зайти в него, чтобы понять потоки данных и транзакции, чтобы обеспечить точную оценку и защиту. Интегрированная безопасность также позволяет вашей рабочей нагрузке быть мобильной, от облака до одного контейнера. Безопасность идет рука об руку с сайтом приложения.
Приложение безопасности с существующими инструментами
Угрозы развиваются быстрее, а критически важные для бизнеса приложения и платформы продвинулись до такой степени, что традиционные подходы к безопасности больше не подходят. Ясно, что традиционные методы, стратегии и технологии безопасности не сталкиваются с современными сложными угрозами и сложными гибридными компьютерными экосистемами.
Использование старых инструментов приводит к огромной и сложной программе, состоящей из мозаики из нескольких инструментов, приобретение которой требует специализированного персонала. Такая программа также характерна ложными срабатываниями и сложным развертыванием.
С другой стороны, такие подходы современных «облачных» инструментов служат мультипликатором силы. Модели, управляемые искусственным интеллектом, могут наблюдать за поведением приложений после их развертывания, чтобы эффективно обнаруживать ненормальное поведение.
Вложенные вычислительные сервисы разработаны так, чтобы быть эфемерными и, как правило, имеют короткий срок службы. Это один из многих атрибутов, которые делают облачное приложение по своей сути более безопасным. Но как новый тип архитектуры, они представляют новые проблемы безопасности, и разработчики должны принять меры для снижения рисков.
Облачные решения безопасности
Новые платформы предлагают «облачную» безопасность с расширенным предотвращением угроз для всех ваших активов и рабочих нагрузок – в публичной, частной, гибридной или мультиоблачной среде – предлагая унифицированную безопасность для автоматизации безопасности везде.
Чтобы противостоять текущим угрозам, ваше решение по облачной безопасности должно быть адаптировано к контексту и предлагать расширенное предотвращение угроз для всех ваших активов и рабочих нагрузок, будь то общественная, частная, гибридная или многооблачная среда.
Защита нативных приложений в облаке
Управление рисками, связанными с ИТ-инфраструктурой, всегда сложно. Когда эта инфраструктура использует облако, управление рисками является еще более сложной задачей! Действительно, приложения, разработанные изначально в облаке, меняются и взлетают в 100 раз быстрее, чем другие. В современной облачной среде необходимо повысить безопасность, скорость и масштабируемость, лучше принимая во внимание контекст. Для встроенной защиты ваших приложений в облаке устройство CloudGuard является единственным, действие которого не ограничивается простым управлением вашей осанкой в сочетании с защитой ваших рабочих нагрузок. Этот инструмент обеспечивает автоматизированную защиту вашего программного обеспечения на протяжении всего цикла разработки, от кодирования до облака.
Безопасность инфраструктуры облачной сети
Более 76% компаний в настоящее время используют по крайней мере двух поставщиков облачных услуг. Чтобы сегодня справиться со всем, что угрожает облачным сетям, компании должны использовать усиленное устройство безопасности, которое включает в себя услуги всех их поставщиков. Новые устройства позволяют предотвратить угрозы и безопасные сети, связанные со всеми вашими облаками, будь то публичные, частные или гибридные облака. Кроме того, это позволяет вам эффективно и систематически управлять своей безопасностью через один экран, который контролирует как управление вашей облачной инфраструктурой, так и управления сетями, расположенными локально.
Безопасность, ориентированная на разработчиков
Легко отслеживайте, классифицируйте и защищайте свои закодируемые программы, ресурсы и инфраструктуру. Наше устройство без излишеств защищает ключи API, учетные данные и токены, подверженные риску.
Он также защищает вас от основных рисков, вызванных проблемами конфигурации. Наша платформа CloudGuard Spectral интегрируется с вашими инструментами разработки, чтобы автоматически обнаруживать риски, связанные с вашим кодированием, определять, что стоит за вашим кодом перед его использованием, и предотвращать любые несанкционированные вредоносные действия.
Охота за облачными угрозами
Простота анализа инцидентов, независимо от того, связаны ли они с конфигурациями, положением, трафиком в ваших сетях или идентификацией. Постоянное автоматизированное обнаружение вторжений, мониторинг и сбор информации об угрозах.
DevSecOps
Доставка новых приложений со скоростью, с которой они разрабатываются, без ущерба для безопасности. Облачная инфраструктура подчиняется широкому спектру отраслевых и государственных правил. Новые оптимизированные и автоматизированные инструменты для обеспечения соответствия нормативным требованиям во всех публичных облачных средах.
Решения для безопасности для облака
Чтобы противостоять текущим угрозам, решение по облачной безопасности должно быть адаптировано к контексту и предлагать расширенное предотвращение угроз для всех активов и рабочих нагрузок, будь то общественная, частная, гибридная или многооблачная среда.
35% компаний имеют большую часть своих рабочих нагрузок в облаке. Новые приложения в настоящее время разрабатываются так быстро, что для команд безопасности практически невозможно оставаться на переднем крае технологий. Чтобы обеспечить его безопасность в облаке, необходимо иметь полностью автоматизированные современные инструменты.
