तपाइँको क्लाउड वातावरण को रक्षा गर्न 5 सर्भरलेस सुरक्षा उत्तम अभ्यासहरु

सर्भरलेस सफ्टवेयर आर्किटेक्चरमा रोमाञ्चक प्रवृत्तिहरू मध्ये एक हो समकालीन सफ्टवेयर विकास.

यसको साथ, तपाईंको DevOps टोलीले OS अद्यावधिकहरू, पूर्वाधार, वा प्याचहरूको बारेमा धेरै चिन्ता नगरी कोड लेख्नमा ध्यान केन्द्रित गर्न सक्छ।

जे होस्, क्लाउड एप्लिकेसन विकास अहिले सरल छ, यसको मतलब जिम्मेवारी र सर्भरलेस सुरक्षाको आवश्यकतालाई लेख्ने होइन।

आफ्नो प्रतिरक्षा कायम वा बढाएर आफ्नो क्लाउड वातावरण संरक्षण जारी राख्नुहोस्। यहाँ केही सर्भररहित सुरक्षा उत्तम अभ्यासहरू लागू गर्नका लागि छन्:

1. WAF सुरक्षाको साथसाथै सर्भररहित सुरक्षा उपकरणहरूको लाभ उठाउनुहोस्।

वेब अनुप्रयोग फायरवालहरू (WAF) स्थापना गर्नु महत्त्वपूर्ण छ, तर तपाईं आफ्नो क्लाउड वातावरणको रक्षा गर्न तिनीहरूमा मात्र भर पर्न सक्नुहुन्न। तपाईंले आफ्नो WAF सुरक्षा उपायहरूको साथसाथै बलियो सर्भररहित सुरक्षा उपकरणहरू प्रयोग गर्न आवश्यक छ।

यहाँ किन छ।

परम्परागत WAFs ले टुटेको प्रमाणीकरण, इंजेक्शन आक्रमण र अन्य सुरक्षा खतराहरू विरुद्ध रक्षाको पहिलो रेखाको रूपमा कार्य गर्न सक्छ। यद्यपि, तिनीहरूले निश्चित अवसर ट्रिगर प्रकारहरूबाट तपाईंको क्लाउड वातावरणको रक्षा गर्न सक्दैनन्।

WAFs ले केवल API गेटवेको सुरक्षा गर्दछ र यसबाट गुजरने प्रत्येक HTTP/S अनुरोधको मूल्याङ्कन गर्दछ। यदि तपाइँ API गेटवे द्वारा ट्रिगर नगरिएका कार्यहरू सुरक्षित गर्न चाहनुहुन्छ भने तिनीहरूले तपाईंलाई मद्दत गर्न सक्दैनन्।

त्यसकारण सर्भरलेस सुरक्षा प्रविधिहरूले त्यो खाडललाई पूरा गर्न सक्छ। तिनीहरूले तपाइँको जोखिम न्यूनीकरण स्वचालित गर्न सक्छन् र सर्भरलेस प्रकार्यहरूमा नयाँ आक्रमण भेक्टरहरू विरुद्ध तपाइँको प्रतिरक्षालाई बढावा दिन सक्छन्। तिनीहरूले कमजोरीहरूमा तपाईंको दृश्यता पनि बढाउन सक्छन्।

यी सबैले तपाईंका DevOps टोलीहरूलाई अझ सहज रूपमा काम गर्न, एप विकासमा कम अवरोधहरू अनुभव गर्न, कोड सुरक्षित रूपमा प्रयोग गर्न र व्यवस्थापन गर्न, इत्यादि सक्षम पार्छन्।

2. आफ्नो क्लाउड-आधारित अनुप्रयोगहरूको लागि अडिटहरू प्रदर्शन गर्नुहोस्।

तपाईको एप्लिकेसनलाई दूषित गर्ने कुनै पनि साइबर विरोधीको प्रयासलाई समात्न नियमित एप्लिकेसन अडिटहरू सञ्चालन गर्नुहोस्। यो महत्त्वपूर्ण छ कि तपाइँ तपाइँको क्लाउड अनुप्रयोगहरू खुला स्रोत प्लेटफर्महरूमा विकास गर्नुहुन्छ वा अपेक्षाकृत सुरक्षित, जस्तै, Microsoft Azure र AWS।

यदि तपाइँ क्लाउड कम्प्युटिङ सेवाहरू प्रदान गर्नुहुन्छ भने यो अभ्यास थप महत्त्वपूर्ण छ। किनभने तिनीहरू बीचमा छन् 2021 मा सफ्टवेयर विकास प्रवृत्ति, ह्याकरहरूले सम्भवतः तपाइँलाई तपाइँको अर्को लक्ष्य र तपाइँको कडा परिश्रमबाट लाभ बनाउँदछ।

कोड अडिटहरू मार्फत, तपाईंले प्रयोग गरेको वा विकास गरेको पुरानो वा खुला स्रोत सफ्टवेयर पत्ता लगाउन सक्नुहुन्छ। यो सफ्टवेयर प्रकारले बगहरू र अन्य महत्वपूर्ण सुरक्षा जोखिमहरू बोक्छ जसले तपाईंको कोडको प्रामाणिकता र स्वामित्वलाई हानि पुर्‍याउन सक्छ।

यदि तपाइँ सोच्दै हुनुहुन्छ भने, यो कसरी हुन्छ:

क्लाउडमा निर्मित एप्लिकेसनहरूले धेरै मोड्युलहरू, उप-मोड्युलहरू, र पुस्तकालयहरू समावेश गर्दछ। त्यसैले एकल सर्भरलेस प्रकार्यहरूमा सामान्यतया धेरै बाह्य स्रोतहरूबाट दसौं हजार लाइनहरूमा कोड चलिरहेको हुन्छ। यदि तपाइँका विकासकर्ताहरूले कोडको सय भन्दा कम लाइनहरू मात्र सिर्जना गरे तापनि त्यो अझै पनि हुन्छ।

साइबर आक्रमणकारीहरूले त्यसपछि "इनको विषाक्तता" रणनीति लागू गर्ने प्रयास गर्छन्। तिनीहरूले खुला-स्रोत प्लेटफर्महरूमा निर्मित परियोजनाहरूमा मालिसियस कोड घुसाउँछन् र तपाईंको क्लाउड अनुप्रयोगहरूमा नयाँ संस्करण नआएसम्म पर्खनुहोस्।

त्यसपछि तपाइँ संक्रमित सफ्टवेयर उत्पादनहरू प्रयोग गर्न सक्नुहुन्छ जसले तपाइँको ग्राहकहरूको आईटी नेटवर्कहरू र डेटा सम्पत्तिहरूलाई थप खतरामा पार्न सक्छ। यसले उल्लङ्घन, वित्तीय र ग्राहक विश्वास हानि, र कम्पनी बन्द, अन्य बीचमा पनि परिणाम हुन सक्छ।

त्यसोभए, तपाइँको व्यवसाय सहित तपाइँको कोड र क्लाउड सफ्टवेयर उत्पादनहरु र सेवाहरु को अखण्डता को रक्षा गर्न को लागी नियमित स्वचालित र म्यानुअल कोड अडिटहरू चलाउनुहोस्।

3. तपाईंको कार्यहरूको लागि टाइमआउटहरू चलाउनुहोस्।

तपाइँको कार्यहरू कति लामो समय सम्म चल्नु पर्छ प्रतिबन्धित सर्भररहित सुरक्षा उत्तम अभ्यास हो जुन तपाइँ बेवास्ता गर्न सक्नुहुन्न।

यद्यपि, उचित सर्भरलेस प्रकार्य टाइमआउटहरू सिर्जना गर्नु प्रयोगकर्ता-अनुकूल छैन किनभने अधिकतम अवधि निश्चित प्रकार्यमा निर्भर हुन्छ।

जे होस्, तपाईंले आफ्नो कार्यहरूको लागि कडा रनटाइम प्रोफाइल लागू गर्न आवश्यक छ।

थप रूपमा, तपाईंका DevSecOps टोलीहरूले वास्तविक एक विरुद्ध कन्फिगर गरिएको टाइमआउटलाई ध्यानमा राख्नुपर्छ।

धेरै विकासकर्ताहरूले अधिकतम अनुमति दिइएको अवधिको साथ टाइमआउटहरू सेट अप गर्छन् किनभने प्रयोग नगरिएको अवधिले कुनै अतिरिक्त लागत उत्पन्न गर्दैन।

यद्यपि, यो रणनीतिले ठूलो क्लाउड सुरक्षा जोखिम खडा गर्छ। यदि साइबर आक्रमणकारीहरूले मालिसियस कोड इन्जेक्सन गर्न सफल भएमा, तिनीहरूसँग हानि पुऱ्याउन प्रशस्त समय हुन्छ।

छोटो समय समाप्तिले ह्याकरहरूलाई थप बारम्बार आक्रमण गर्न प्रेरित गर्नेछ (जसलाई "ग्राउन्डहग डे" आक्रमण भनिन्छ)। यसले तिनीहरूलाई पर्दाफास गर्छ र तपाईंलाई रोक्न र तिनीहरूलाई समात्न सक्षम बनाउँछ।

4. "प्रति कार्य एक भूमिका" लागू गर्नुहोस्।

सधैं एक अपनाउने प्रयास गर्नुहोस् एक-भूमिका-प्रति-कार्य सिद्धान्त, र धेरै प्रकार्यहरूको लागि एकल भूमिका तोक्नुहोस्।

एउटा आदर्श एकल प्रकार्यको तपाईंको पहिचान र पहुँच व्यवस्थापन (IAM) मा भूमिकासँग १:१ सम्बन्ध हुन्छ।

तपाईंको IAM नीतिहरू सिर्जना गर्दा, तिनीहरूलाई न्यूनतम विशेषाधिकारको सिद्धान्तसँग पङ्क्तिबद्ध गर्नुहोस्। याद गर्नुहोस् कि अत्यधिक अनुमतिहरू प्रायः सबैभन्दा महत्त्वपूर्ण गलत कन्फिगरेसनहरू हुन् जुन साइबर विरोधीहरूले शोषण गर्छन्।

यी उत्कृष्ट IAM अभ्यासहरू पालना गर्नुहोस्:

• बहु-कारक प्रमाणीकरण मार्फत विश्वासको तहहरू निर्माण गर्नुहोस्: पासवर्डहरू, कुञ्जीहरू, सुरक्षा पासहरू, बायोमेट्रिक जानकारी, आवाज पहिचान प्रणालीहरू, आदि।
• क्लाउड वातावरणमा खाता प्रमाणहरू सधैं गोप्य राख्नुहोस्।
• खाताहरू साझेदारी गर्नुको सट्टा, क्लाउड स्रोतहरू पहुँच गर्न आवश्यक भएका आफ्ना कर्मचारीहरूको लागि व्यक्तिगत IAM प्रयोगकर्ता खाताहरू सिर्जना गर्नुहोस्।
• कर्मचारीहरूलाई तिनीहरूको जिम्मेवारी, काम आवश्यकताहरू, र अन्य महत्त्वपूर्ण कारकहरू अनुसार अनुमतिहरूको छुट्टै सेटहरू लागू गर्नुहोस्।
• आफ्नो IAM नीतिहरू नियमित रूपमा जाँच गर्नुहोस्।
• उदाहरण वा कोडमा कुञ्जीहरू इम्बेड गर्नबाट बच्नुहोस्। तपाईंले प्रयोग गर्ने प्लेटफर्महरूमा (जस्तै, AWS भूमिकाहरू, Azure सेवा प्रिन्सिपल, आदि) मा निर्मित भूमिका वा पहिचानहरू प्रयोग गर्नुहोस्।
• अनावश्यक IAM प्रयोगकर्ताहरू र तिनीहरूको खाता प्रमाणहरू हटाउनुहोस्।
• बलियो पासवर्ड निर्माण प्रोटोकलहरू पूरा गर्नुहोस्: अधिकतम र न्यूनतम पासवर्ड लम्बाइ, पासवर्ड म्याद समाप्ति, विशेष क्यारेक्टरहरूको प्रयोग, र शब्दकोश शब्दहरू र दोहोरिने र क्रमिक क्यारेक्टरहरूमा प्रतिबन्धहरू।

5. तीन प्राथमिक सूचना सुरक्षा स्तम्भहरूमा फर्कनुहोस्।

तपाईको सर्भरलेस सुरक्षालाई कडा पार्दा जहिले पनि सूचना सुरक्षाका तीन आवश्यक स्तम्भहरूमा फर्कनुहोस्।

निम्न तीन स्तम्भहरू र तिनीहरूमध्ये प्रत्येक अन्तर्गत पर्ने उत्कृष्ट अभ्यासहरू छन्:

गोप्यता

• तपाइँको सर्भर रहित कार्यहरु संग संचार गर्न को लागी केवल अधिकृत प्रयोगकर्ताहरु र सेवाहरु लाई अनुमति दिएर पहुँच विनियमित गर्नुहोस्।
• सर्भरलेस प्रकार्यहरूमा भूमिका र अनुमतिहरू असाइन गर्दा "न्यूनतम विशेषाधिकार" सिद्धान्त लागू गर्नुहोस्।
• स्रोत र गन्तव्यहरूमा नेटवर्क प्रविष्टि र बाहिर निस्कने सीमित गर्नुहोस्।
• "चिन्ताहरूको पृथकीकरण" सुरक्षा सिद्धान्तको अभ्यास गर्नुहोस् र विभिन्न कार्यहरूको लागि फरक नीतिहरू र भूमिकाहरू सिर्जना गरेर ब्लास्ट रेडियस कम गर्नुहोस्।

निष्ठा

• आराममा र ट्रान्जिटमा कार्य डेटा इन्क्रिप्ट गरिएको छ भनी सुनिश्चित गर्नुहोस्।
• तपाईंको सर्भरलेस प्रकार्यहरू, अन्योन्याश्रित स्रोतहरू, अडिट ट्रेलहरू, र तपाईंको कार्यहरूद्वारा वा त्यसमा गरिएका कार्यहरूमा दृश्यता बढाउन लगिङ र निगरानी उपकरणहरू प्रयोग गर्नुहोस्।

उपलब्धता

• मेमोरी, कम्प्युट, कन्कर्रेन्सी, कार्यान्वयन अवधि, र अन्यमा पर्याप्त प्रतिबन्धहरू लागू गर्नुहोस् रनअवे प्रकार्यहरूद्वारा ट्रिगर गरिएको अस्वीकार-अफ-सेवालाई विफल पार्न।
• खाता-स्तर प्रतिबन्धहरू निगरानी गर्नुहोस् र आवश्यक भएमा तपाईंको प्रदायकबाट सीमा वृद्धि अनुरोध गर्नुहोस्।

तपाईको सर्भरलेस सुरक्षालाई प्राथमिकता दिनको लागि अहिले भन्दा राम्रो समय छैन

आधुनिक साइबर सुरक्षा खतराहरू विकसित र सबैभन्दा कमजोर क्लाउड वातावरणमा आक्रमण गर्न जारी छ - त्यसैले तपाईंले सर्भररहित सुरक्षालाई प्राथमिकता दिन आवश्यक छ। यी र अन्य उत्कृष्ट अभ्यासहरू स्थापना गर्नाले तपाईंको व्यवसायलाई सुरक्षित राख्न र ती जोखिमहरूलाई बेवास्ता गर्न लामो बाटो जान सक्छ।

यसबाहेक, सर्भरलेस प्रकार्यहरूले फरक तरिकाले काम गर्ने हुनाले, सर्भरलेस प्लेटफर्महरूमा तपाईंको क्लाउड-नेटिभ वर्कलोडहरू सुरक्षित गर्दा समग्र दृष्टिकोण लिनुहोस्। तिनीहरू रनटाइममा र CI/CD पाइपलाइनहरूमा हुँदा लगातार त्यसो गर्नुहोस्।