האתגרים החדשים בסביבת Cloud Native: מי אחראי על האבטחה ומהם הכלים המתאימים?

המעבר הנרחב לארכיטקטורת Cloud Native מחייב התייחסות טכנולוגית חדשה לשכלול מרחבי התקיפה ולחולשות בקוד של יישומי ענן. במקביל, ריבוי תפקידי האבטחה בארגונים יוצר סרבול ומעכב את הפיתוח. לשני האתגרים האלה קיימים כלים הנותנים מענה מקיף

ארגונים זקוקים למידע עבור כל פונקציות האבטחה החדשות (צילום: Dreamstime)

מאת דין אגרון, מנכ"ל ושותף אוקסאיי סקיוריטי

בשנים האחרונות ארגוני פיתוח רבים מאמצים ארכיטקטורות ענן מתקדמות ועוברים מפיתוח אפליקציה מונוליטית למיקרו-סרוויסים על גבי קונטיינרים בענן. הארכיטקטורה המודרנית הופכת ליותר ויותר שימושית ומניבה יתרונות משמעותיים לתכנון, בנייה ופריסה של יישומים בענן.

אלא שהמעבר לסביבת Cloud Native ולסביבות פיתוח מתקדמות דורש התייחסות טכנולוגית חדשה לשכלול של מרחבי התקיפה ולחולשות בקוד שהמפתחים כותבים עבור יישומי ענן. שתי השאלות המרכזיות שכל ארגון חייב לשאול הן: מי אחראי על אבטחת הקוד של המפתחים ובאילו כלים נכון להשתמש?

אז מי אחראי על האבטחה?

בעבר הייתה הפרדה בין המפתחים של האפליקציות לאנשי התשתית שתפעלו אותן, אך כיום, בעידן ה-DevOps, הגבול מטשטש והעבודה משותפת. בתחום האבטחה תהליך זה זכה לשם Shift Left – העברת מאמצי האבטחה שמאלה, מאזור התפעול לאזור הפיתוח. מציאות מתהווה זו מטילה את אחריות האבטחה גם על המפתחים. הגישה התפתחה כשחברות התחילו להבין שלא ניתן לחכות עד שהקוד ירוץ בסביבת ה-Production לפני שהוא נבדק לאיתור חולשות, ולכן צריך לבחון את הקוד עוד בזמן הפיתוח.

תוצר נוסף של תהליך זה הוא ריבוי תפקידי אבטחה, בנוסף לתפקיד ה-AppSec המוכר, כגון DevSecOps ו-Product Security, כשכולם חולקים את האחריות להתרעה, לבקרה ולפתרון האיומים השונים על האפליקציות הארגוניות.

שינויים משמעותיים אלו לא באמת מקלים כיום על רוב הארגונים, שעדיין מתמודדים עם מצב לא ברור. טשטוש האחריות בין בעלי התפקידים השונים והעברת אחריות נוספת למפתחים יוצרת סרבול ועלולה לעכב תהליכי פיתוח, במקום לעזור להם להתקדם בקצב מואץ. על כן יש צורך בשינוי גישה – שיטת עבודה שבה כולם אחראים ומסוגלים לעבוד בתיאום מושלם, לצד אבטחה נקודתית, גרנולרית, שיודעת לזוז יחד עם היישום, מענן לענן ומסביבת עבודה אחת לשנייה.

משחק ניחושים

בעולם ה-Cloud Native הערכת נקודות חולשה היא מורכבת, מכיוון שמדובר בטכנולוגיה המשלבת כמה רבדים של קוד. לכן תהליך הבדיקה דורש מספר צוותים – צוותי אבטחה, צוותי פיתוח המבינים את המימוש וצוותי DevOps המבינים תשתיות.

עולם בדיקות אבטחת הקוד AST – Application Security Testing עונה על הצורך באופן חלקי, והוא נחלק לשניים: מעבר אוטומטי על הקוד בזמן הפיתוח, הבוחן את רכיבי הקוד לפני בנייה והפצת האפליקציה, ובדיקת קוד אקטיבית המתבצעת בזמן ריצה ומנסה לפרוץ את היישום מנקודת מבטו של התוקף. אפשר לחלק את הכלים שהוא מציע לשלוש קטגוריות:

1. בדיקת אבטחת יישומים דינמית (Dynamic AST) – כלים אלו מציגים תוצאות המבוססות על בדיקה של התנהגות חיצונית (תגובה להתקפת דמה), ולא על פעילות מיקרו-סרוויסים פנימית. כלי ה-DAST לרוב יציגו ריבוי תוצאות שווא שליליות בשל חוסר כיסוי מתאים וחוסר יכולת לזהות חולשות פנימיות בתוך היישומים. הם אף יתקשו להסביר חולשות שמקורן בתקשורת הפנימית של היישומים עצמם או בינם לבין אחרים.

2. בדיקת אבטחת יישומים סטטית (Static AST) – בחיפוש תרחישים המעידים על פרצות אבטחה, כלים אלה מנתחים קוד מקור במצב שאינו פעיל (סטטי). כדי לאתר פגיעויות בשכבת היישום, כלי SAST מזהים את פונקציית המקור: הם בודקים כל יישום ומיקרו-סרוויס בנפרד תוך התעלמות מהקשר ומהתמונה הגדולה. כלים אלו עלולים להציג ריבוי תוצאות שווא שליליות או חיוביות בשל חוסר יכולת של הכלי להעריך את ההקשר המלא ואת זרימת הנתונים של היישום.

3. בדיקת אבטחת יישומים אינטראקטיביים (Interactive AST) – כלי זה משלב טכניקות DAST ו-SAST כדי להגביר את הדיוק. הכלי בודק את התנהגות האפליקציה בזמן ריצה על ידי ניתוח דומה לכלי ה-SAST תוך מיקוד בתהליכים הרצים כחלק מפעילות היישום. עבור יישומי Cloud Native אין לכלים אלו הסתכלות רחבה על כלל השכבות והתקשורת בין הרכיבים השונים, ונדרש תהליך התקנה הכולל פריסה ותחזוקה ידנית עבור כל רכיב באפליקציה ומשאבי פיתוח משמעותיים.

בעולמות ה-Cloud Native, נראות בזמן ריצה וניתוח זרימת החולשות בין ובתוך המיקרו-סרוויסים הן אינן עוד פונקציונליות, אלא דרישת סף קריטית. ארגונים זקוקים לניתוח ותובנות מדויקות על מנת לתת מענה הולם לבדיקת האבטחה בכל שכבות הקוד ובכל נקודת זמן, ולאפשר שיתוף פעולה פורה ואיכותי בין גורמי האבטחה השונים.

ריבוי שכבות, קונטקסט וקיצור זמן התיקון

עד היום, הפתרונות הקיימים דורשים הרצה נפרדת של כל אחד מכלי הבדיקה השונים בניסיון לאתר חולשות בקוד. המערכות לא תמיד מסונכרנות אחת עם השנייה או יודעות להצליב ולהעשיר את המידע משכבות קוד נוספות הקיימות בסביבת הענן. ריבוי שכבות הקוד בסביבת הענן דורשות כלים חדשים וגישה חדשה, היודעת לספק הקשרים דרך העשרת הבדיקה עם נתונים מסביבת הפיתוח, הענן והאורקסטרציה.

לאור הצורך ההולך וגובר, בשוק אפשר למצוא היום פלטפורמות חדשות המתבססות על בניית כלי בדיקה מתקדמים שנועדו לייעל את התהליכים ולמנוע את הסרבול בריבוי תפקידי האבטחה.

פלטפורמות אלה מבוססות על פתרונות שמשלבים יכולות SAST ,DAST ,IAST ו-SCA מהדור החדש שיכולים למצוא ולאמת חולשות מרובות שכבות של קוד – מהאפליקציה וכלה בסביבת הענן. הפלטפורמות מתמקדות בהעשרת ממצאי בדיקות האבטחה בנתונים נוספים המבוססים על כלל הרכיבים והשכבות באפליקציות Cloud Native. הם מספקים תובנות מדויקות לגבי תעדוף החולשות וגם הדרכה ואוטומציה לצוותי הפיתוח ולצוותי האבטחה לטובת תיקון יעיל ומהיר. כל זאת תוך מתן דגש על נושא הקונטקסט – ניתוח הרכיבים שמסביב, מיקרו-סרוויסים נוספים ושכבות התשתית השונות.

ניתוח תלוי קונטקסט מספק תוצאות אמינות עם דיוק גבוה לאין שיעור: ההקשר של החולשות מכל שלב בפיתוח ובהטמעה של היישום עוזר להבין טוב יותר את הסיכונים ואת חומרתם, וכך הצוותים יכולים להתמקד במה שחשוב ביותר ולקצר את זמן התיקון.

המעבר לסביבת Cloud Native יצר לא רק פער טכנולוגי מורכב, אלא גם שינויים במבנה כוח האדם וחלוקת האחריות. מדובר באתגרים חדשים שחברות רבות לומדות תוך כדי תנועה, אך אסור להתרגל אליהם: המצב החדש דורש שינוי בכלי העבודה, תמיכה רחבה במשתמשים ויצירת סינרגיה בריאה ויעילה בין בעלי התפקידים השונים.

הכתבה בחסות Oxeye

Join us as we help organizations make sure their cloud native applications and code are safe. We analyze and remediate code vulnerabilities early in the development life cycle. Learn More

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

רוצה להיות הראשון להגיב?

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: