Zero Trust Cyber ​​Exchange: Service mesh

Zero Trust Cyber ​​Exchange: Service mesh

ความผิดพลาดอย่างหนึ่งที่เอเจนซีจำนวนมากทำบนเส้นทางสู่ความเชื่อถือเป็นศูนย์คือการคิดว่าเอเจนซีเป็นผลิตภัณฑ์ที่สามารถซื้อได้ แต่เป็นการเปลี่ยนแปลงความคิดที่ต้องการให้หน่วยงานคิดว่าเครือข่ายของพวกเขาถูกบุกรุกแล้ว และหน่วยงานควรเปลี่ยนโฟกัสไปที่การปฏิเสธความสามารถในการสร้างความเสียหายเมื่อพวกเขาเข้ามามันเกี่ยวกับการปกป้องอุปกรณ์แต่ละชิ้น ข้อมูล และแอพพลิเคชั่น ไม่ใช่ขอบเขต ที่กล่าวว่า มีกลยุทธ์ คุณสมบัติ และกรอบการทำงานบางอย่างที่เอเจนซี่สามารถนำมาใช้ได้ ซึ่งจะทำให้พวกเขาเข้าใกล้ความเชื่อถือเป็นศูนย์มากขึ้น หนึ่งในสถาปัตยกรรมที่มีประสิทธิภาพมากที่สุดคือสถาปัตยกรรมตาข่ายบริการ

ตาม SP 800-204 ของสถาบันมาตรฐานและเทคโนโลยี

แห่งชาติ ตาข่ายบริการ “เป็นชั้นโครงสร้างพื้นฐานเฉพาะที่อำนวยความสะดวกในการสื่อสารระหว่างบริการกับบริการผ่านการค้นหาบริการ การกำหนดเส้นทางและการจัดสรรภาระงานภายใน การกำหนดค่าทราฟฟิก การเข้ารหัส การพิสูจน์ตัวตน และการอนุญาต เมตริก และการเฝ้าติดตาม” พูดง่ายๆ ก็คือมันถูกปรับใช้ควบคู่ไปกับแอปพลิเคชัน ติดตามการรับส่งข้อมูลเครือข่ายเข้าและออกจากแอปพลิเคชันนั้น และรายงานข้อมูลนั้นตาข่ายบริการช่วยให้สามารถตรวจสอบได้อย่างต่อเนื่อง

“ตาข่ายบริการมีประสิทธิภาพอย่างเหลือเชื่อสำหรับการรักษาความปลอดภัยรันไทม์ และสำหรับความสามารถในการตรวจสอบและยืนยันสถานะของระบบของคุณอย่างต่อเนื่อง” Zack Butcher วิศวกรผู้ก่อตั้งและหัวหน้าผลิตภัณฑ์ของ Tetrate และผู้เขียนร่วมของ NIST SP 800-204กล่าว “สิ่งที่ทำให้เราเป็นจุดบังคับใช้นโยบาย เนื่องจากเรากำลังสกัดกั้นการรับส่งข้อมูลเข้าและออกจากแอปพลิเคชันของเราที่ตัวแอปพลิเคชันเอง ไม่ใช่จุดภายนอก เราสามารถใช้นโยบาย เรารับข้อมูลทางไกล เราจัดการปริมาณข้อมูลได้ เราสามารถทำสิ่งต่างๆ เช่น การเข้ารหัสระหว่างการส่ง”

ซึ่งหมายความว่าสามารถใช้การควบคุมรันไทม์ส่วนใหญ่

ที่เอเจนซีต้องการเพื่อให้ได้รับความไว้วางใจเป็นศูนย์ หนึ่งในเสาหลักที่สำคัญของการไม่ไว้วางใจคือการยืนยันอย่างต่อเนื่องว่าระบบทำงานตามที่คาดไว้ ตาข่ายบริการให้สัญญาณที่จำเป็นเพื่อทำการยืนยันนั้น

ทีมพัฒนา ความปลอดภัย และการดำเนินงาน Platform One ของกองทัพอากาศ (DevSecOps) ใช้ตาข่ายบริการโดยเฉพาะสำหรับการรักษาความปลอดภัยรันไทม์และความสามารถในการให้การเข้ารหัสระหว่างการส่ง ซึ่งช่วยให้ทีมได้รับสิทธิ์ในการดำเนินการกับแอปพลิเคชันของตนได้ง่ายขึ้น เนื่องจากการเข้ารหัสนั้นถูกสร้างขึ้น บังคับใช้ และรายงาน

Platform One ยังใช้เพื่อตรวจสอบสิทธิ์และให้สิทธิ์ผู้ใช้เข้าและออกจากแอปพลิเคชัน และนั่นเป็นอีกหนึ่งเสาหลักที่สำคัญของ Zero Trust: ระบบจะจัดการและรายงานว่าใครกำลังใช้แอปพลิเคชันใดและเมื่อใด

การรับรองความถูกต้องและการให้สิทธิ์แบบ end-to-end

“มันเป็นมากกว่าการเข้ารหัสระหว่างการส่ง แม้ว่านั่นจะเป็นส่วนสำคัญ” Butcher กล่าว “ยังมีอีกสี่สิ่งที่จำเป็นต้องเกิดขึ้น ซึ่งก็คือการรับรองความถูกต้องและการอนุญาตปริมาณงานไปยังบริการที่กำลังสื่อสาร และการรับรองความถูกต้องและการอนุญาตของผู้ใช้ที่ทำการเข้าถึงนั้น ดังนั้นเราจึงจำเป็นต้องตรวจสอบให้แน่ใจว่าส่วนหน้าสามารถเรียกฐานข้อมูลได้ แต่ยังต้องมีข้อมูลประจำตัวของผู้ใช้ปลายทางที่ถูกต้องซึ่งมีสิทธิ์ในการอ่านวัตถุนั้นจากฐานข้อมูล เราต้องการให้ทั้งสองสิ่งนี้เป็นจริง”

แน่นอนว่าสิ่งนี้ไม่ได้แตะต้องข้อกำหนดก่อนรันไทม์สำหรับการไว้วางใจเป็นศูนย์: ผู้คน กระบวนการ การทดสอบ การตรวจสอบ ท่อส่ง — ทุกขั้นตอนที่เกิดขึ้นก่อนเริ่มการผลิต แต่ตาข่ายบริการทำชิ้นส่วนทางเทคนิคที่ยากที่สุดของการรักษาความปลอดภัยรันไทม์ได้สำเร็จ Butcher กล่าว สามารถปรับใช้ในสภาพแวดล้อม Kubernetes สมัยใหม่ได้ทีละน้อย เช่นเดียวกับสภาพแวดล้อมแบบดั้งเดิม

และนั่นมีประโยชน์แม้แต่กับเอเจนซีที่เพิ่งเริ่มต้นบนเส้นทางของความไว้วางใจที่ไม่มีศูนย์ เนื่องจากขั้นตอนแรกในการเดินทางนั้นจะเป็นสินค้าคงคลังเสมอ หน่วยงานไม่สามารถรักษาความปลอดภัยในสิ่งที่พวกเขาไม่รู้ว่ามีอยู่

“เราสามารถเริ่มเข้าใจว่าบริการใดบ้างที่มีอยู่และที่ใดในโครงสร้างพื้นฐานของเรา และเริ่มได้รับมุมมองทั่วโลกเกี่ยวกับสิ่งนั้น ดังนั้นแม้จะพยายามระบุทรัพยากรตั้งแต่เนิ่นๆ เพื่อเริ่มสร้างมาตรการรักษาความปลอดภัย ตาข่ายก็สามารถเป็นเครื่องมือที่มีประโยชน์ที่นั่นได้” Butcher กล่าว “สิ่งหนึ่งที่เราทำในผลิตภัณฑ์ของเราด้วย Service Mesh คือการสร้างรายการบริการทั่วโลก ทั้งบริการที่อยู่ใน Mesh เอง รวมถึงบริการภายนอกอื่น ๆ ที่อาจเป็นไปได้แม้กระทั่งของบุคคลที่สามที่สื่อสารด้วย เครือข่าย. มันสามารถช่วยสินค้าคงคลังและระบุได้ไม่เพียงแค่สิ่งที่คุณมี แต่ยังรวมถึงสิ่งที่คุณมีนั้นสื่อสารอย่างไรและสื่อสารกับอะไร ไม่ว่าคุณจะเป็นเจ้าของหรือเป็นบุคคลภายนอกก็ตาม”

และทั้งหมดนี้สอดคล้องกับNIST Cybersecurity Frameworkซึ่งกำหนดมาตรฐานและข้อกำหนดสำหรับสิ่งที่หน่วยงานและองค์กรจำเป็นต้องดำเนินการตามพันธกิจ ความสำคัญของภาระงาน ตำแหน่งที่อยู่ในห่วงโซ่อุปทาน และปัจจัยอื่นๆ ที่คล้ายคลึงกัน

credit : ฝากถอนไม่มีขั้นต่ำ