Kaspersky-nin informasiya təhlükəsizliyi baxımından mövcud konteyner üsulu tərtibat tendensiyalarını təhlil edib: yeni texnologiyalar hansı riskləri yaradır və şirkətləri ondan necə qorumalı.
Süni intellekt (Sİ) agentlərinin iş prosesinə dərin inteqrasiyası. Sİ agentləri tərtibatçının gündəlik iş rejiminin bir hissəsinə çevrilir. Əsas risk məxfi məlumatlara çıxış səbəbindən korporativ məlumatların sızmasıdır. Genişləndirilmiş imtiyazlar da təhlükəlidir: agent istifadəçi adından terminal və ya “Kubernetes” klasteri ilə işləyə bilər ki, bu zaman əmrlərin səhv təqlidi resursların silinməsinə və ya təhlükəsizliyin zəifləməsinə səbəb ola bilər. Ayrı bir təhlükə agent və model arasındakı rabitə kanalının zəif təhlükəsizlik səbəbindən ələ keçirilməsinin mümkünlüyüdür. Sİ-nin proseslərə cəlb edilməsinin dərinliyi qədər kanalları qorumaq və xidmətləri perimetr daxilində yerləşdirmək də vacibdir. Riskləri necə minimuma endirmək olar. Sİ agentlərinin hərəkətlərini məhdudlaşdırmaq, imtiyazları ayırmaq, kritik əməliyyatların auditini və təsdiqini həyata keçirməklə bunu etmək olar. Sıfır etibar prinsiplərindən və minimal imtiyazlardan istifadəni, həmçinin məlumat mənbələrini idarə etməyi də diqqətdə saxlamaq vacibdir.
Sİ modellərinin hazırlanmasının təkamülü və ixtisaslaşması. Modellər artıq yalnız kodla deyil, həm də bütöv konteyner arxitekturası ilə işləyir. Lakin hətta kontekstin artmasına baxmayaraq, “miopiya” effekti yaranır: Sİ sistemin bir hissəsini düzəltməklə eyni vaxtda digərini poza bilər. Təhlükəsiz olmayan konfiqurasiyaların yaradılması və məlumatların dəyişdirilməsi vasitəsilə hücum riskləri qalmaqdadır. Riskləri necə minimuma endirmək olar. Bu risklər yalnız layihənin yaxşı təşkil olunmuş daxili strukturu vasitəsilə azaldıla bilər. Arxitektura nə qədər yaxşı təşkil olunarsa, modellərin komponentlər arasındakı əlaqələri anlaması bir o qədər asan olar.
Sİ vasitəsilə kodun təhlili və nəzərdən keçirilməsinin avtomatlaşdırılması. Sİ getdikcə “Kubernetes” manifestlərini, “Terraform” konfiqurasiyalarını, “Helm” diaqramlarını və kod dəyişikliklərinin yoxlanılması üçün daha çox istifadə olunur ki, bu da təhlükəsizlik baxımından ən praktik ssenarilərdən biridir. Böyük həcmli konfiqurasiyalarda insanlar hər şeyi təkbaşına əl ilə hərtərəfli nəzərdən keçirə bilmirlər. Lakin nəzarəti tamamilə Sİ-yə ötürmək də olmaz: təkrarlanan şablonları yaxşı idarə etsə də, biznes kontekstini və real riskləri gözdən qaçıra bilər. Bundan başqa, nəzərdən keçirmə alətinin özü həssas olaraq qalır: koda və depolara çıxışı ilə potensial məlumat sızması nöqtəsinə çevrilir. Riskləri necə minimuma endirmək olar. Alətlərə şəxsi şablonlar, daxili siyasətlər və standart konfiqurasiyaları öyrətmək lazımdır. Bununla belə, kritik dəyişikliklərlə bağlı son qərarı insanlar verməlidir.
“Internal Developer Platform”-un (IDP – Daxili tərtibatçı platforması) inkişafı. DTP bütöv infrastruktur – “Kubernetes”, CI/CD, şablonlar, “GitOps” və təhlükəsizlik siyasətləri üçün vahid giriş platformasına çevrilir. Bu, tərtibatı sürətləndirir, lakin vahid zəiflik nöqtəsi yaradır: konfiqurasiya səhvləri eyni anda birdən çox xidmətə təsir göstərir. Həddindən artıq imtiyazlar xüsusilə risklidir. Tərtibatçı tez bir zamanda xidmətlər yaratmalı, lakin təhlükəsizliyi deaktiv etmək və ya təhlükəsiz olmayan konfiqurasiyaları yerləşdirmək imkanına malik olmamalıdır. Riskləri necə minimuma endirmək olar. Daxilə quraşdırılmış nəzarət mexanizmləri IDP-nin əsas elementinə çevrilir.
“Cloud-native” və “Kubernetes” mühitləri üçün ixtisaslaşmış alətlər. Konteyner üsulu tərtibat “Kubernetes” ilə tam hüquqlu mühəndislik sistemi kimi işləmək üçün ixtisaslaşmış alətləri getdikcə daha çox tələb edir. Əsas çətinliklərdən biri lokal və istehsal mühitləri arasındakı boşluqdur: lokal olaraq hər şey işləyir, amma yerləşdirildikdən sonra şəbəkə siyasətləri, asılılıqlar və klaster məhdudiyyətləri səbəbindən xətalar meydana çıxır. Yalnız məlumatları anonimləşdirmək deyil, həm də məxfi məlumatların lokal mühitə düşməsini məhdudlaşdırmaq vacibdir. Digər bir risk resursların və nəzarətçilərin deklarativ sınaqdan keçirilməsi ilə bağlıdır. “Kubernetes”də obyektlərin sayı artdıqca infrastruktur daha da mürəkkəbləşir və xətalar artıq onların məntiq səviyyəsində yaranır. Sınaqdan keçirilmədiyi halda bu, təhlükəsiz olmayan konfiqurasiyaların yaradılmasına, resursların silinməsinə və ya xidmətlərin təcridinin pozulmasına gətirib çıxara bilər. Riskləri necə minimuma endirmək olar. Bu növdən olan istənilən alət məlumatların anonimləşdirilməsindən, trafik həcminin məhdudlaşdırılmasından və ciddi giriş nəzarətindən istifadə etməlidir. Sİ tərtibata nə qədər çox cəlb edilirsə, onun məlumatlara, infrastruktura və hərəkətlərə girişini idarə etmək də bir o qədər vacibdir.
“’Kubernetes’ üçün təhlükəsizlik alətləri artıq sadəcə nəzarət vasitələri kimi çıxış etmir, həm də klasterdə baş verənləri təhlil etməyə və operatorlara qərar qəbuletmədə dəstək olmağa başlayır. Bu məqsədlər üçün Sİ-dən istifadəni ehtiva edən məhsullar, məsələn, ‘Kaspersky Investigation and Response Assistant’ (KIRA) modulu (‘Advanced Pro’ lisenziyası ilə) ilə ‘Kaspersky Container Security’ kimi məhsullar ortaya çıxır. Bu, operatorların mürəkkəb infrastruktur mühitlərində işini asanlaşdırır”, – deyə Kaspersky-nin konteyner təhlükəsizliyi üzrə mütəxəssisi Aleksey Rıbalko bildirib.
Konteyner təhlükəsizlik alətlərində Sİ-dən istifadə haqqında daha ətraflı məlumatı 28 may tarixində baş tutacaq Kaspersky-nin yayımından, “Kaspersky Container Security” məhsulu haqqında isə buradan edə bilərsiniz.