ניו-טק מגזין | אוגוסט 2019 | מהדורה דיגיטלית

First page Previous page 75 Next page Last page

COMMUNICATION מוסף מיוחד

לאפליקציות שנכתבו לסביבת המחשוב . Mobile המסורתי או בעולם ה להלן טבלה המשווה את ההבדלים בין לקונטיינרים בהתייחס לאותו קוד VM אפליקטיבי ואוסף הספריות הנלווה. קונטיינרים ומיקרו־שירותים מייצרים סביבות הטמעה עם רמות חדשות של אתגרי אבטחת מידע מאחר וקונטיינרים אינם משויכים לשרת או מסוימת, כלי האבטחה המסורתיים IP לכתובת המותקן על גבי Anti - virus או FireWall כגון: התחנה/שרת מאבדים את החשיבות. קונטיינרים מובילים לריבוי שירותים ויישומים במופעים רבים ולפעמים על תשתיות , דבר זה מקשה Public Cloud מבוזרות כגון ה- על הניטור והמעקב לאיתור איומים במערכת. כתוצאה מכך, נדרש לספק פתרונות אבטחה ייעודים עבור קונטיינרים במטרה לתת הגנה מעלות" עבורם. 360" האתגר הראשון הוא מניעת חדירה של התקשרויות זדוניות פתרונות האבטחה המיועדים לקונטיינרים אפליקטיבי ברמת האפליקציה, FW כוללים ולא ברמת המכונה, שיקבע מדיניות אבטחה "מערך שיטור" שעל פיה קונטיינרים ופונקציות יורשו או לא יורשו לרוץ, כגון: או לא, האם יש root צריך לרוץ כ- image האם שלא נרצה לאשר לדוגמא: איסור packages וכו'. SSH \ FTP גישה ב בצורה זו ניתן לספק "הקשחה לקונטיינר" אשר לא תאפשר פעולות שלא הגדרנו במדיניות האבטחה. בנוסף, מנגנון זה מספק הגנה מפני שקיימות Exploits או CVE ' s פרצות אבטחה, בחוץ. שיטת ההגנה מתבצעת ע"י סריקה מול רשימה של פרצות מוכרות עוד לפני שלב ההרצה. פלטפורמות מסוג זה בדרך כלל מתחברת CI / CD ) Continuous Integration ישירות לכלי ) ומפקחות כבר and Continuous Delivery Packages ו- Image בתהליך האריזה של ה- כולו. Container image שמרכיבים את ה לאחר מכן הסריקה מתבצעת הן בתהליך ההרצה והן באופן קבוע ברמה יומית על - המאגר שמכיל Registry שנמצא ב- Image ה- גם אם הוא פרטי וגם אם הוא ,Images את ה- שממנו מורידים MarketPlace פומבי (לדוגמא שמוכנים לשימוש). Images בדרך זו ניתן לבדוק באופן תמידי האם ה "בריא והגייני" מבחינת אבטחת Image

VM

Containers

GB שוקל ביחידות מידה

KB-MB שוקל ביחידות מידה רמת ביצועים גבוהה יותר אתחול ושכפול קונטיינר מהיר יותר

רמת ביצועים נמוכה יותר עקב ריבוי שכבות תוכנה אתחול ושכפול מכונה וירטואלית ארוך יותר

מוגבל בהעברה מסביבה לסביבה

ניתן לנייד לכל סביבה

מידע ובמידה ויהיה שינוי בפרופיל שהוגדר, המערכת תדע להתריע ולחסום שינוי זה. פתרון זה מבטיח שהקונטיינר יהיה מוגן בכל , מצמצם את נקודות התורפה CI / CD שלבי ה , פרצת אבטחה שלא "zero day attacks ומונע " הייתה ידועה עד כה. אתגר שני - תאימות לתקנים חברות רבות צריכות להתאים את המערכות HIPPA שלהם לתקנים בינלאומיים כגון: , שבדרך כלל על מנת ליישם זאת NIST , PCI נדרש תהליך ארוך ומורכב. כיום יש פתרונות אבטחת מידע המיועדים לקונטיינרים שיודעים בעזרת חבילת תוכנה להתאים את המערכת לתקן הרלוונטי. הפתרונות מבוססים על תוכנה שמנטרת את הקונטיינר באופן קבוע בתהליך ההרצה ובודקת עד כמה הוא תואם לתקן שבה החברה צריכה לעמוד, במידה ומישהו משנה בקונטיינר תכונות שלא עומדות בתקן, היא יודעת לחסום ולבלום כל ניסיון שעלול להפוך את המערכת ללא תואמת. כל הקונטיינרים משותפים למערכת הפעלה root של השרת המארח – נדרשת גישה ל ולכן החשיפה לאיומים גדולה יותר

מריץ מערכת הפעלה משלו ולכן VM כל סכנות לחשיפה לאיומים קטנות יותר

בקרנל. בקונטיינרים, מאחר והקרנל ומערכת ההפעלה משותפים לכל הקונטיינרים, ברגע שיש באג בקונטיינר מסוים, כל הקונטיינרים האחרים שעובדים במקביל על אותה מערכת הפעלה חשופים לבאג הזה. לכן ישנם פתרונות שנשלח הוא System Call שמוודאים שכל בטוח והגיוני. במידה ולא, הם ידעו לזהות ולחסום את אותה קריאה. לסיכום, אבטחת מידע בקונטיינרים תופסת חשיבות ברמה גבוהה בדומה לקצב שבו "קונטיינרים משתכפלים". ארגונים רבים סיימו מזמן את שלב הבחינה והפיתוח ועוברים לשלב הייצור - הנושא קריטי. עבודה עם קונטיינרים מצריכה חשיבה שונה בהיבט ההגנה, רצוי ואף מומלץ לאבטח את הסביבה בשלב מוקדם של התהליך וכמובן לפני מעבר לשלבי הייצור של האפליקציה. מחלקת ההנדסה של בינת מספקת את כל הייעוץ, הארכיטקטורה וההטמעה לפתרונות אלו.

אתגר נוסף הוא קריאות System calls מערכת -

קריאות מערכת הן האחראיות על החיבור ,) Kernel שבין המשתמש לליבת המערכת ( ה- ובכך מאבזרת את המשתמש ונותנת לו שימוש מרבי בפונקציונליות שהיא מציעה. הקריאות האלו יכולות לייצר "באגים" שיפגעו

ג'נט אבישר, מהנדסת מערכות,

« בינת תקשורת מחשבים

75 l New-Tech Magazine

Made with FlippingBook HTML5