Novembro 9, 2021

5 Senservila Sekureco Plej Bonaj Praktikoj Por Protekti Vian Nuban Medion

Interŝanĝado0
tuit0
Interŝanĝado0
Interŝanĝado0
tuit0
Interŝanĝado0

Senservila programara arkitekturo estas inter la ekscitaj tendencoj en nuntempa programaro-disvolviĝo.

Kun ĝi, via DevOps-teamo povas koncentriĝi pri skribi kodon sen tiom zorgi pri OS ĝisdatigoj, infrastrukturo aŭ flikoj.

Tamen, dum la disvolviĝo de nuba aplikaĵo estas simpla nun, ĝi ne signifas forigi la respondecon kaj bezonon de senservila sekureco.

Daŭre protektu vian nuban medion konservante aŭ plibonigante viajn defendojn. Jen kelkaj senservila sekureca plej bonaj praktikoj por efektivigi:

1. Utiligu senservilajn sekurecajn ilojn kune kun WAF-protekto.

Establi retpaĝajn fajroŝirmilojn (WAF) estas kritika, sed vi ne povas nur fidi ilin por defendi vian nuban medion. Vi devas uzi fortigajn senservilajn sekurecajn ilojn kune kun viaj WAF-protektaj mezuroj.

Jen kial.

Konvenciaj WAFoj povas funkcii kiel la unua defendlinio kontraŭ rompita aŭtentigo, injektatakoj kaj aliaj sekurecaj minacoj. Tamen, ili ne povas defendi vian nuban medion de certaj okazaj ellasiltipoj.

WAF-oj nur protektas la API-enirejon kaj taksas ĉiun HTTP/S-peton trapasantan ĝin. Ili ne povas helpi vin se vi volas protekti funkciojn ne deĉenigitaj de la API-enirejo.

Tial senservilaj sekurecteknologioj povas kompletigi tiun breĉon. Ili povas aŭtomatigi vian riskan mildigon kaj plifortigi viajn defendojn kontraŭ novaj atakvektoroj en senservilaj funkcioj. Ili ankaŭ povas pliigi vian videblecon super vundeblecoj.

Ĉio ĉi ebligas viajn DevOps-teamojn labori pli glate, sperti malpli da interrompoj al evoluigo de aplikaĵoj, disfaldi kaj istri kodon sekure, ktp.

2. Faru reviziojn por viaj nubaj aplikaĵoj.

Faru regulajn aplikaĵreviziojn por kapti la provon de iu ajn ciberkontraŭulo polui viajn aplikaĵojn. Ĉi tio estas decida ĉu vi disvolvas viajn nubajn aplikaĵojn sur malfermfontaj platformoj aŭ relative sekuraj, ekz., Microsoft Azure kaj AWS.

Ĉi tiu praktiko estas aldone grava se vi provizas nubajn komputikajn servojn. Ĉar ili estas inter la tendencoj pri programaro en 2021, retpiratoj verŝajne faros vin ilia sekva celo kaj profitos el via malfacila laboro.

Per kodaj revizioj, vi povas malkovri malmodernan aŭ malfermfontan programaron, kiun vi eble uzis aŭ evoluigis. Ĉi tiu programaro havas cimojn kaj aliajn kritikajn sekurecajn riskojn, kiuj povas damaĝi vian kodon aŭtentikecon kaj proprieton.

Se vi scivolas, jen kiel tio okazas:

Aplikoj konstruitaj sur la nubo konsistas el multaj moduloj, submoduloj kaj bibliotekoj. Do ununuraj senservilaj funkcioj kutime havas kodon kurantan sur dekmiloj da linioj de pluraj eksteraj fontoj. Tio ankoraŭ okazas eĉ se viaj programistoj nur kreis malpli ol cent liniojn de kodo.

Ciberatakantoj tiam provas efektivigi la "venenigi la puton" taktikon. Ili enmetas malican kodon en projektojn konstruitajn sur malfermfontaj platformoj kaj atendas ĝis la nova versio eniros viajn nubajn aplikaĵojn.

Vi povas tiam disfaldi infektitajn programajn produktojn, kiuj povas plu endanĝerigi la IT-retojn kaj datumojn de viaj klientoj. Ĉi tio povas rezultigi rompojn, financajn kaj klientajn fidajn perdojn, kaj eĉ ĉesigon de kompanio, inter aliaj.

Do, faru regulajn aŭtomatigitajn kaj manajn kodaŭrojn por protekti la integrecon de via kodo kaj nuba programaro produktoj kaj servoj, inkluzive de via komerco.

3. Rulu tempodaŭrojn por viaj funkcioj.

Limigi kiom longe viaj funkcioj devus funkcii estas senservila sekureca plej bona praktiko, kiun vi ne povas ignori.

Tamen, krei taŭgajn senservilajn funkciotempotempojn ne estas afabla ĉar la maksimuma daŭro dependas de specifa funkcio.

Tamen, vi devas apliki streĉan rultempan profilon por viaj funkcioj.

Aldone, viaj DevSecOps-teamoj devus konsideri la agordita tempo-tempo kontraŭ la reala.

Multaj programistoj starigas tempodaŭrojn kun la maksimuma permesita daŭro ĉar la neuzata periodo generas neniun kromkoston.

Tamen, ĉi tiu taktiko prezentas masivan nuban sekurecan riskon. Se ciberatakantoj sukcesas injekti malican kodon, ili havas multe da tempo por kaŭzi damaĝon.

Pli mallongaj paŭzoj instigos piratojn ataki pli ofte (konata kiel la "Groundhog Day"-atako). Ĉi tio elmontras ilin kaj ebligas vin halti kaj kapti ilin.

4. Faru "unu rolon per funkcio."

Ĉiam provu adopti a unu-rola-po-funkcia principo, kaj ankaŭ ne nomu unu rolon por pluraj funkcioj.

Ideala ununura funkcio havas 1:1 rilaton kun rolo en via identeco kaj aliristrado (IAM).

Dum ellaborado de viaj IAM-politikoj, vicigu ilin kun la principo de minimuma privilegio. Memoru, ke troaj permesoj ofte estas inter la plej decidaj misagordoj, kiujn ekspluatas ciber-kontraŭuloj.

Sekvu ĉi tiujn plej bonajn IAM-praktikojn:

  • Konstruu tavolojn de fido per multfaktora aŭtentikigo: pasvortoj, ŝlosiloj, sekurecaj enirpermesiloj, biometrikaj informoj, voĉrekonaj sistemoj ktp.
  • Ĉiam konservu konfidencajn kontajn akreditaĵojn al nubaj medioj.
  • Anstataŭ kunhavigi kontojn, kreu individuajn uzantkontojn de IAM por viaj dungitoj, kiuj bezonas aliri nubajn rimedojn.
  • Apliki apartajn arojn de permesoj por dungitoj laŭ iliaj respondecoj, laborpostuloj kaj aliaj signifaj faktoroj.
  • Ekzamenu viajn IAM-politikojn regule.
  • Evitu enigi ŝlosilojn en kazojn aŭ kodon. Uzu la enkonstruitajn rolojn aŭ identecojn anstataŭe en platformoj, kiujn vi uzas (ekz., AWS Roles, Azure Service Principal, ktp).
  • Forigu nenecesajn IAM-uzantojn kaj iliajn kontajn akreditaĵojn.
  • Efektivigu fortigajn protokolojn pri kreado de pasvortaj: maksimuma kaj minimuma longeco de pasvorto, eksvalidiĝo de pasvorto, uzo de specialaj signoj kaj limigoj pri vortarvortoj kaj ripetaj kaj sinsekvaj signoj.

5. Revenu sur la tri ĉefaj kolonoj pri informa sekureco.

Ĉiam referencu al la tri esencaj kolonoj de informa sekureco kiam streĉas vian senservilan sekurecon.

Jen la tri kolonoj kaj la plej bonaj praktikoj kiuj kategoriiĝas sub ĉiu el ili:

confidencialidad

  • Reguli aliron permesante nur rajtigitaj uzantoj kaj servoj komuniki kun viaj senservilaj funkcioj.
  • Devigu la principon de "malplej privilegio" kiam oni atribuas rolojn kaj permesojn al senservilaj funkcioj.
  • Limigu retan eniron kaj eliron al kaj de fontoj kaj cellokoj.
  • Praktiku la principon de sekureca "disigo de zorgoj" kaj reduktu eksplodradiuson kreante apartajn politikojn kaj rolojn por diversaj funkcioj.

integreco

  • Certigu, ke la funkcio-datumoj en ripozo kaj en trafiko estas ĉifritaj.
  • Uzu registradajn kaj monitorajn ilojn por plifortigi videblecon super viaj senservilaj funkcioj, interdependaj rimedoj, reviziaj spuroj kaj agoj faritaj de aŭ sur viaj funkcioj.

havebleco

  • Efektivigu sufiĉajn restriktojn pri memoro, komputado, samtempeco, ekzekutdaŭro kaj aliaj por malhelpi servonekzon ekigitan de forkurintaj funkcioj.
  • Kontrolu kont-nivelajn limigojn kaj petu limpliigon de via provizanto se necese.

Ne pli bona tempo ol nun por prioritatigi vian senservilan sekurecon

Modernaj cibersekurecaj minacoj daŭre evoluas kaj atakas la plej vundeblajn nubajn mediojn - tial vi devas prioritati senservila sekureco. Establi ĉi tiujn kaj aliajn plej bonajn praktikojn povas longe konservi vian komercon sekura kaj tiujn riskojn.

Krome, ĉar senservilaj funkcioj funkcias malsame, prenu tutecan aliron kiam vi sekurigas viajn nub-indiĝenajn laborŝarĝojn sur senservilaj platformoj. Faru tion konstante kiam ili estas ĉe rultempo kaj trans la CI/CD-duktoj.

cybersecurity

Aŭtoro Bildo

Pri la aŭtoro 

Peter Hatch

{"email": "Retpoŝta adreso nevalida", "url": "Reteja adreso nevalida", "required": "Bezonata kampo mankas"}