ЗАХИСТ КРИТИЧНИХ РЕСУРСІВ В ХМАРНИХ СЕРЕДОВИЩАХ З ВИКОРИСТАННЯМ ПІДХОДУ БЕЗПЕКА ЯК КОД: ВИРІШЕННЯ ПРОБЛЕМИ НЕПРАВИЛЬНИХ КОНФІГУРАЦІЙ
DOI:
https://doi.org/10.18372/2225-5036.30.18579Ключові слова:
Безпека як код, Інфраструктура як код, DevSecOps, DevOps, Хмарні середовища, Безпечний цикл розробки програмного забезпечення, CI/CDАнотація
Хмарні технології набувають все більшої популярності серед організацій, як засіб для забезпечення масштабування, еластичності та ефективності IT-інфраструктури. Однак, широке впровадження хмарних рішень також відкриває нові виклики в контексті забезпечення інформаційної безпеки, зокрема, пов'язані з неправильними конфігураціями критичних ресурсів, що може призводити до непередбачених витоків даних, порушень доступності сервісів та інших інцидентів безпеки. У цій статті розглядається проблематика захисту критичних ресурсів у хмарних середовищах із особливим акцентом на виклики, пов'язані з неправильними конфігураціями. Автори пропонують ефективне вирішення цієї проблеми за допомогою підходів Security as Code (SaC), які дозволяють інтегрувати безпекові вимоги безпосередньо у процес розробки та розгортання хмарних ресурсів, тим самим реалізуючи превентивний контроль і забезпечуючи "Shift left" підхід в галузі кібербезпеки. У статті детально аналізуються типові випадки неправильних конфігурацій хмарних ресурсів та їх потенційний вплив на безпеку інформаційних систем. Далі, на основі сучасних досліджень та практичного досвіду, автори висвітлюють, як застосування SaC може допомогти автоматизувати процес виявлення та усунення таких вразливостей на ранніх етапах життєвого циклу розробки. Окрема увага приділяється інструментам і технологіям, які можуть бути використані для імплементації SaC. Стаття закликає до подальших досліджень у сфері використання SaC для забезпечення безпеки хмарних середовищ і пропонує напрямки для майбутніх розробок в цій області, включаючи автоматизацію виявлення конфігураційних помилок, розробку універсальних безпекових політик та створення стандартів для інтеграції безпеки в процес розробки програмного забезпечення. Для підтримки дослідження було проведена широкий аналіз літератури та статей, які надають інформацію про методології DevOps, DevSecOps, Shift-left, які служать базою для підходу Безпека як код.
Посилання
Rakesh Kumar, Rinkaj Goyal (2021). When Security Meets Velocity: Modeling Continuous Security for Cloud Applications using DevSecOps (https: // link. sp¬ringer.com/chapter/10.1007/978-981-15-9651-3_36).
Mary Sánchez-Gordón, Ricardo Colomo-Palacios Security as Culture: A Systematic Literature Review of DevSecOps (https: //dl.acm.org/doi/10.1145/ 33879¬40.3392233).
Valentina Casola, Alessandra De Benedictis, Carlo Mazzocca, Vittorio Orbinato, Secure software development and testing: A model-based methodology, Computers & Security, Volume 137, 2024, 103639, ISSN 0167-4048, https: // doi.org / 10.1016/j.cose.2023.103639. (https: // www.sciencedirect.com / science /article/pii/ S0167404823005497).
Pal Alto Unit42 Cloud Threat Report volume7 (https: // www.paloaltonetworks.com / content / dam/ pan/en_US/assets/pdf/reports/unit42-cloud-threat-report-volume7.pdf).
K. Carter, "Francois Raynaud on DevSecOps," in IEEE Software, vol. 34, no. 5, pp. 93-96, 2017, doi: 10. 1109/MS.2017.3571578 (https://ieeexplore.ieee.org/document/8048652).
FORT MEADE, Md. The National Security Agency (NSA) is releasing “Top Ten Cloud Security Mitigation Strategies”, Cybersecurity Information Sheet, Enforce Secure Automated Deployment Practices through Infrastructure as Code (2024) (https://media.defense. gov/2024/Mar/07/2003407857/-1/-1/0/CSI-CloudTop 10-Infrastructure-as-Code.PDF).
V. Gazdag. A Guide to Improving Security Through Infrastructure-as-Code. 2022. https://research.nccgroup.com/2022/09/19/a-guide-to-improving-security-through-infrastructureas-code/.
Chhavi Adtani, Aaron Bawcom, Jan Shelly Brown, Rich Cracknell, Rich Isenberg, Kaz Kazmier, Pablo Prieto-Munoz, and David Weinstein (2022). Security as code: The best (and maybe only) path to secur-ing cloud applications and systems (https: // www.mckinsey.com/capabilities/mckinsey-digital/our-insights/security-as-code-the-best-and-maybe-only-path-to-securing-cloud-applications-and-systems).
Sarthak Das (2023). Security as Code 1st Edi-tion.
Vakhula O., Opirskyy I., Mykhaylova O. Re-search on Security Challenges in Cloud Environments and Solutions based on the "security-as-Code" Ap-proach (2023). CEUR Workshop Proceedings, 3550, pp. 55-69.
Xuejiao Zhang (2021). Cloud governance and compliance on AWS with policy as code (https://aws. amazon.com/ru/blogs/opensource/cloud-governance-and-compliance-on-aws-with-policy-as-code/).
Becki Lee (2022). Using Open Policy Agent (OPA) to Apply Policy-as-Code to Infrastructure-as-Code (https: // cloudsecurityalliance.org / blog /2020/04/02/ using-open-policy-agent-opa-to-apply-policy-as-code-to-infrastructure-as-code/).
CIS Amazon Web Services Foundations Benchmark v2.0.0 - 06-28-2023.
Policy language documentation https://www. openpolicy-agent.org/docs/latest/policy-language/.
Guest Expert on GitGuardian (2022) What is Policy-as-Code? An Introduction to Open Policy Agent (https://blog.gitguardian.com/what-is-policy-as-code-an-introduction-to-open-policy-agent/).
