Na rôznych bezpečnostných fórach a konferenciách, ktoré sa venujú technickým bezpečnostným opatreniam zaznieva tvrdenie, že perimeter – teda miesto, kde sa stretáva lokálna sieť používateľa a internet, v podstate zanikol. Vysvetľuje sa to zmenou riešení, presunom mnohých aplikácií do cloudových služieb, presunom možnosti pracovať odkiaľkoľvek a kedykoľvek a s tým súvisiacou potrebou zmeniť pohľad na „zastaralý“ perimeter. Je perimeter mŕtvy?
Úlohou bezpečnostných opatrení je chrániť naše dáta, ktoré sú spracúvané rôznymi aplikáciami. Pokiaľ je aplikácia tvorená ako monolit, je v princípe jedno, či je umiestnená on-premise alebo in-cloud. Rozhodujúcim faktorom sú náklady na jej ďalšiu prevádzku a s tým aj bezpečnostné opatrenia, napríklad pravidlá na firewall, ktoré určujú kto, kedy a za akých okolností môže k aplikácii pristupovať. Veľké monolitické aplikácie majú jednu zásadnú výhodu a jednu zásadnú nevýhodu. Výhodou je jednoduchosť správy bezpečnostných pravidiel. Potrebujete chrániť len jeden bod vstupu.
Nevýhodou je, že pri mohutných aplikáciách sú zmeny v aplikácii ťažkopádne, dlho trvajú a aplikácia rýchlo zastaráva. Preto sa dnešné moderné aplikácie nebudujú ako monolit, ale aplikácia sa doslova rozbije na mikroservisy, ktoré navzájom komunikujú cez aplikačné rozhrania API. Každý mikroservis má svoje vstupy, úlohu a výstupy, ktoré ponúka iným mikroservisom danej aplikácie. Tento prístup odstraňuje spomínanú nevýhodu ťažkopádnosti zmien a ich aplikovania v aplikácii ako takej. Postačuje totiž urobiť len zmenu v príslušnom mikroservise, ktorý chceme vylepšiť. Nové verzie aplikácie tak vieme generovať takmer na dennej báze. Ale mikroservisový prístup komplikuje budovanie bezpečnostných opatrení.
APLIKÁCIE POSTAVENÉ NA MIKROSERVISOCH
Pokiaľ by všetky mikroservisy danej aplikácie boli na jedinom mieste, tak z bezpečnostného hľadiska ochrany aplikácie sa nič nemení. Lenže výhoda využívania tvorby aplikácii cez mikroservisy spočíva práve v tom, že vývojári môžu využívať – volať – už pripravené mikroservisy, ktoré sa nachádzajú v rôznych častiach vlastnej infraštruktúry (on-premise, private cloud) alebo dokonca aj iných infraštruktúr (verejné či hybridné cloudy). Ak tieto mikroservisy chcú komunikovať, potrebujú mať viditeľnosť do internetu, ak majú viditeľnosť, potrebujú byť chránené. Kompromitácia cez API rozhranie je dnes bežnou záležitosťou. Ako však chrániť aplikáciu, ktorá je tvorená mikroservismi, ktoré sú umiestnené na desiatkach lokalít? Nie je v ľudských možnostiach ustrážiť aplikovanie správnych bezpečnostných pravidiel pre každý mikroservis tak, aby celá komunikácia bola bezpečná a aplikácia ako celok funkčná.
KAM SA POSÚVA OCHRANA APLIKÁCIÍ?
Cesta vedie cez vývoj aplikácii modernými prostriedkami, ktoré umožňujú využiť výstupy z vývoja mikroservisu napríklad vo forme swagger súboru, ktorý popisuje správanie sa API. Nastavenie bezpečnostných pravidiel na aplikačnom firewalle sa potom zjednodušuje do nahratia takéhoto API popisného súboru do GUI rozhrania firewall.
ALANATA TALKS
Na druhých technologických raňajkách Alanata TALKS, ktoré sa konali 13. 9. 2023 v Jurkovičovej teplárni, sme hovorili práve o ochrane aplikácií založených na mikroservisoch, API security a spôsobe implementácie tejto ochrany. Pokiaľ ste to nestihli, odporúčame vám pozrieť si záznam z Alanata TALKS. Luboš Klokner zo spoločnosti F5 vysvetlil spôsoby riešenia API security veľmi podrobne a zrozumiteľne. Napriek tomu implementácia ochrany pomocou F5 riešení prináša aj úskalia. Aké a ako sme ich vychytali, predstavil vedúci oddelenia sieťovej bezpečnosti Juraj Nemeček v prípadových štúdiách.
Takže ako je to s tým perimetrom? Nezmizol, nestratil sa, len sa rozdrobil. Okolo každého mikroservisu je v podstate perimeter, kde potrebujete nasadiť bezpečnostné riešenia. Napríklad spomínané riešenia od spoločnosti F5, ktoré je v týchto riešeniach lídrom na trhu. A my vám radi s tým pomôžeme.
Mohlo by sa vám páčiť
Čítať viac
Čítať viac
Čítať viac