11.7 C
Munich
Tuesday, September 29, 2020

Chuyển sang trái để chuyển sang container an toàn

Must read

Đã thử nghiệm: Nvidia sửa lỗi GeForce RTX 3080 bị treo bằng trình điều khiển mới

Cuối tuần qua, các diễn đàn trên Internet bùng nổ với tin tức về việc Nvidia’s GeForce RTX 3080 gặp sự cố trong trò...

Twitter sẽ hỏi mọi người nếu họ đọc một bài báo trước khi họ đăng lại nó

Thấy một tiêu đề thú vị, hãy tweet lại. Dễ dàng, phải không? Chắc chắn là vậy, nhưng nếu bạn chưa thực sự đọc bài...

Amazon’s Echo Show 10 có màn hình cơ giới

Echo Show 10 hoàn toàn mới có thể là tin tức lớn nhất xuất hiện từ sự kiện Firehose of Amazon’s Devices & Services...

Ransomware tấn công dẫn đến tử vong tại bệnh viện Đức

Cái chết đầu tiên liên quan đến ransomware có nghĩa là dữ liệu nhạy cảm không phải là nạn nhân duy nhất của các...

Đám mây đang trở thành một phần quan trọng của nhiều tổ chức Chương trình chuyển đổi và lộ trình CNTT. Tình hình toàn cầu hiện nay của làm việc từ xa đã giúp thúc đẩy bước chuyển này lên đám mây cho nhiều người.

Một phương pháp phổ biến để thiết lập các ứng dụng trong môi trường đám mây là sử dụng container, là một hình thức ảo hóa nhưng không có trình ảo hóa truyền thống hoặc không cần hệ điều hành khách (HĐH) như Windows Server. Quá trình xây dựng và các yêu cầu cho ứng dụng nhẹ hơn nhiều, cho phép ứng dụng chạy nhanh hơn nhiều do không có hệ điều hành khách để tiêu thụ bộ nhớ và thời gian xử lý.

Vì mỗi container có xu hướng chỉ lưu trữ một ứng dụng, các tổ chức sẽ chịu trách nhiệm cho nhiều container hơn so với các máy ảo (VM). Việc áp dụng các dịch vụ và container trên đám mây cho phép tốc độ thay đổi và tự động hóa nhanh chóng. Nhưng các biện pháp bảo mật cần được điều chỉnh để tính tất cả những điều này, đặc biệt là khi việc sử dụng các container khiến việc chạy các công cụ bảo mật truyền thống như chống vi-rút trở nên khó khăn hơn vì không có nơi nào để lưu trữ.

Điều này không phải là để gợi ý một sự thay đổi mạnh mẽ trong cách thực hiện bảo mật tốt nhất – thay vào đó là một sàng lọc và thay đổi tập trung vào thời điểm, địa điểm và cách áp dụng chúng. Với sự phát triển nhanh và DevOps, nhiều nhà phát triển hiện đang tham gia nhiều hơn vào sự hỗ trợ của các ứng dụng mà họ xây dựng và do đó trở thành một mục tiêu của tất cả các giao dịch – điều này bao gồm hiểu và nhúng bảo mật vào các bản dựng của họ.

Đào tạo về các phương pháp mã hóa an toàn (chẳng hạn như Top 10 của OWASP) là khía cạnh quan trọng nhất ở đây – loại bỏ các lỗ hổng sớm để các container được bảo mật theo thiết kế. Một biện pháp quan trọng khác là áp dụng chính sách dịch chuyển trái sang trái để phát triển, theo đó, trách nhiệm bảo mật được đưa vào sớm hơn trong quá trình phát triển – nói cách khác, ở bên trái.

Lý thuyết về chính sách dịch chuyển trái là các nhà phát triển thay vì các nhà phân tích bảo mật hiện kiểm tra các lỗ hổng. Điều này được cho là trao quyền cho nhà phát triển tìm và khắc phục các sự cố ở giai đoạn đầu của vòng đời phát triển phần mềm và sau đó trên cơ sở liên tục, trái ngược với khi công việc hoàn thành và thử nghiệm thâm nhập được thực hiện vào phút cuối. Về mặt lý thuyết, điều này sẽ làm cho việc sửa chữa mọi thứ rẻ hơn, nhanh hơn và ít gánh nặng hơn cho các nhóm vận hành và cơ sở hạ tầng.

Do đó, bảo mật cấp ứng dụng đã trở thành ưu tiên sống còn đối với các nhân viên an ninh thông tin trưởng (CISOs). Nó nên bao gồm triển khai các giải pháp kỹ thuật như tường lửa ứng dụng web (WAF), liên kết lý tưởng với Trung tâm điều hành bảo mật (SOC) để giúp theo dõi sự bất thường.

Đánh giá mã cũng nên được thực hiện, cho dù đó là đánh giá ngang hàng nội bộ, đánh giá chuyên gia bên ngoài hoặc đánh giá phần mềm. Những đánh giá như vậy có thể phát hiện ra các lỗ hổng trước khi mã được thực hiện trực tiếp trong các ứng dụng.

Trong bối cảnh phát triển nhanh và DevOps, tốc độ thường là thước đo thành công, nhưng phát triển ứng dụng an toàn cũng là một phần của tiêu chí để xác định liệu chạy nước rút có thành công hay không. Các CISO cần nhận ra rằng các nhà phát triển nên được cấp thời gian để phát triển một cách an toàn và không đánh giá hiệu suất của họ chỉ bằng thời gian để xây dựng.

Đảm bảo container không phải là một cửa hàng mà là một công việc nhiều mặt. Kết hợp những điều trên vào một kế hoạch gắn kết và tạo ra vòng đời phát triển an toàn được tăng cường với giám sát kỹ thuật sẽ cung cấp cho CISO đảm bảo rằng các container có thể được sử dụng một cách an toàn và hiệu quả trong môi trường CNTT có tổ chức.

- Advertisement -

More articles

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisement -

Latest article

Đã thử nghiệm: Nvidia sửa lỗi GeForce RTX 3080 bị treo bằng trình điều khiển mới

Cuối tuần qua, các diễn đàn trên Internet bùng nổ với tin tức về việc Nvidia’s GeForce RTX 3080 gặp sự cố trong trò...

Twitter sẽ hỏi mọi người nếu họ đọc một bài báo trước khi họ đăng lại nó

Thấy một tiêu đề thú vị, hãy tweet lại. Dễ dàng, phải không? Chắc chắn là vậy, nhưng nếu bạn chưa thực sự đọc bài...

Amazon’s Echo Show 10 có màn hình cơ giới

Echo Show 10 hoàn toàn mới có thể là tin tức lớn nhất xuất hiện từ sự kiện Firehose of Amazon’s Devices & Services...

Ransomware tấn công dẫn đến tử vong tại bệnh viện Đức

Cái chết đầu tiên liên quan đến ransomware có nghĩa là dữ liệu nhạy cảm không phải là nạn nhân duy nhất của các...