Red Hat Inc., największy na świecie dostawca rozwiązań open source, poinformował o nowych, innowacyjnych funkcjach i możliwościach związanych z zabezpieczeniami, wprowadzanych w ofercie technologii otwartej chmury hybrydowej. Udoskonalenia wprowadzono z myślą o ograniczeniu ryzyka i ułatwieniu przedsiębiorstwom realizacji wymagań związanych ze zgodnością z przepisami w coraz bardziej skomplikowanych środowiskach informatycznych obejmujących usługi chmurowe, tradycyjne systemy i urządzenia brzegowe. Ich celem jest zmniejszenie złożoności, a zarazem poprawa stanu zabezpieczeń i stworzenie możliwości wdrożenia procesów DevSecOps.
Jak wynika z przygotowanego przez Red Hat raportu 2021 Global Tech Outlook, 45% respondentów uznaje bezpieczeństwo informatyczne za najbardziej priorytetowy element budżetu. Nie jest to jednak obszar o charakterze statycznym — regulacyjne mechanizmy kontroli, wymagania dotyczące zgodności z przepisami oraz potencjalne zagrożenia zmieniają się niemal z dnia na dzień. Wymaga to zachowania właściwie nieustannej czujności przez pracowników zespołów ds. bezpieczeństwa informatycznego.
Skuteczniejsze zabezpieczenie łańcucha wytwarzania oprogramowania
Zabezpieczanie aplikacji w trakcie ich tworzenia oraz na kolejnych etapach cyklu życia może być złożonym zagadnieniem i często wymaga właściwej współpracy wielu komponentów. W celu uproszczenia implementacji zabezpieczeń w ramach całego procesu konstruowania, wdrażania i uruchamiania aplikacji Red Hat udostępnia wzorzec bezpieczeństwa łańcucha wytwarzania oprogramowania.
Wzorce dostarczane na platformie Red Hat OpenShift to kompletne pakiety w postaci kodu służące do definiowania, kompilowania i testowania niezbędnych konfiguracji oprogramowania. Wzorzec bezpieczeństwa łańcucha wytwarzania oprogramowania jest dostępny w wersji preview. Umożliwia połączenie elementów niezbędnych do zbudowania aplikacji przeznaczonych do chmury z zaufanych komponentów.
Wzorzec wykorzystuje zaprojektowany dla środowiska Kubernetes proces ciągłej integracji oparty na rozwiązaniu Red Hat OpenShift Pipelines oraz rozwiązaniu Red Hat OpenShift GitOps do kontroli wersji. Pozwala to zmniejszyć złożoność procesu i zaoszczędzić czas. Ponadto dzięki zastosowaniu Tekton Chains wzorzec obejmie także Sigstore, czyli projekt open source, którego celem jest usprawnienie procesu kryptograficznego podpisywania kodu. Dzięki temu dodatkowi łatwiej podpisywać artefakty w ramach samego procesu wytwórczego, a nie dopiero po utworzeniu aplikacji.
Ponadto w rozwiązaniu Red Hat Ansible Automation Platform 2.2 firma Red Hat wprowadza w wersji „technical preview” technologię podpisywania zawartości Ansible. Nowa funkcja pozwala zwiększyć bezpieczeństwo w cyklu wytwórczym, ponieważ zespoły zajmujące się automatyzacją są w stanie sprawdzić, czy uruchamiane w przedsiębiorstwie zautomatyzowane elementy zostały zweryfikowane i czy można uznać je za zaufane.
Udoskonalenia procesu zabezpieczania aplikacji — od centrum przetwarzania danych do brzegu sieci
Przedsiębiorstwa stopniowo przechodzą na architekturę budowaną z myślą o chmurze, jednak podstawowe potrzeby związane z budową odpornego środowiska, ograniczeniem powierzchni ataku i reagowaniem na zagrożenia wciąż są istotne. Z aplikacjami działającymi poza tradycyjnymi środowiskami informatycznymi, np. na brzegu sieci, wiążą się dodatkowe wymagania dotyczące zabezpieczeń, jeszcze bardziej komplikujące i tak złożone problemy.
Oprócz wymagań związanych z fizycznym bezpieczeństwem urządzeń brzegowych dyrektorzy ds. informatyki i decydenci odpowiedzialni za infrastrukturę coraz częściej dostrzegają potrzebę ochrony obciążeń kontenerowych działających na takich urządzeniach. Może na przykład chodzić o wdrożenie strategii i funkcji uniemożliwiających poziome rozprzestrzenianie się potencjalnych ataków i włamań w środowiskach brzegowych. Red Hat Advanced Cluster Security for Kubernetes to gotowe do wdrożenia rozwiązanie, które pozwala zaspokoić te potrzeby i zawiera najważniejsze funkcje ochrony obciążeń brzegowych. To między innymi:
- Automatyzacja procesów DevSecOps w ramach strumienia ciągłej integracji i ciągłego rozwoju (CI/CD), ułatwiająca ochronę łańcucha wytwarzania oprogramowania w środowiskach brzegowych dzięki zarządzaniu lukami w zabezpieczeniach, analizie konfiguracji aplikacji i integracji przepływów CI/CD.
- Ochrona przed zagrożeniami obejmująca opcje wykrywania zagrożeń i reagowania na nie w trakcie działania aplikacji w przypadku często występujących zagrożeń.
- Segmentacja sieci w celu wymuszenia izolacji obciążeń, przeprowadzenia analizy komunikacji między kontenerami i wykrycia potencjalnie niebezpiecznych ścieżek komunikacji.
Wdrożenie zintegrowanych zabezpieczeń zaczyna się od systemu operacyjnego
Aż 88% członków zarządów przedsiębiorstw, którzy uczestniczyli w ankiecie 2022 Gartner® Board of Directors Survey, uznało cyberbezpieczeństwo za czynnik ryzyka biznesowego, a jedynie 12% za czynnik ryzyka technicznego. Ze względu na daleko idące konsekwencje cyberataków i przypadków naruszenia ochrony danych inwestorzy i organy regulacyjne bardziej szczegółowo analizują stan używanych środowisk informatycznych. Wzmocnienie mechanizmów ochrony środowisk informatycznych przed potencjalnie bardzo groźnymi incydentami ma krytyczne znaczenie. W opinii firmy Red Hat realizację takich inicjatyw należy rozpocząć od podstaw, na poziomie systemu operacyjnego, poprzez zastosowanie systemu Red Hat Enterprise Linux.
Red Hat Enterprise Linux 9 tworzy infrastrukturę umożliwiającą weryfikację integralności plików systemu operacyjnego i aplikacji w trakcie działania dzięki zastosowaniu podpisów cyfrowych w pakietach RPM. Platforma korzysta z architektury pomiaru integralności (ang. Integrity Measurement Architecture; IMA) na poziomie jądra do weryfikowania poszczególnych plików i ich pochodzenia. Weryfikacja plików IMA ułatwia w szczególności wykrycie przypadkowych i rozmyślnych modyfikacji systemów, dzięki czemu zespoły ds. zabezpieczeń zyskują dodatkowe możliwości rozwiązywania potencjalnych problemów i reagowania na włamania.
Dodatkowe funkcje zabezpieczeń w systemie Red Hat Enterprise Linux 9 obejmują następujące elementy:
- Dodatkowe zabezpieczenia związane z uprawnieniami administratora polegające na wyłączeniu możliwości logowania użytkownika root za pomocą SSH. Pozwala to zapobiec próbom ustalenia hasła użytkownika root metodą brute force oraz poprawić podstawowy poziom ochrony środowiska operacyjnego.
- Obsługa najnowszych standardów kryptograficznych dzięki integracji bibliotek OpenSSL 3. Informatycy mogą zastosować nowe metody szyfrowania do ochrony wrażliwych informacji.
- Udoskonalenie sprawdzonych procedur dotyczących bezpieczeństwa polegające na domyślnym wyłączeniu funkcji skrótu SHA-1 w funkcji podpisów cyfrowych, zwiększające higienę zabezpieczeń.
Ponadto Red Hat i IBM Research prowadzą wspólne prace związane z rozszerzeniem podstawowych aspektów zabezpieczeń jądra systemu Linux, m.in. poprzez wsparcie użycia i weryfikowania podpisów cyfrowych opartych na krzywych eliptycznych. Dzięki temu lista obsługiwanych algorytmów ulegnie rozszerzeniu, a podpisy cyfrowe używane w jądrze systemu Linux będą miały mniejszą wielkość.
Red Hat jest od dawna liderem w dziedzinie zabezpieczeń chroniących rozwiązania open source dla przedsiębiorstw, poczynając od platformy Red Hat Enterprise Linux, traktuje bowiem bezpieczeństwo jako fundamentalny element środowiska, a nie jego uzupełnienie. Red Hat został wymieniony wśród liderów rynku w niedawno opublikowanym raporcie Leadership Compass firmy KuppingerCole Analysts dotyczącym zabezpieczeń kontenerów. Zdaniem autorów raportu, dzięki szerokiej obecności na rynku i udokumentowanemu doświadczeniu w dziedzinie zarządzania kontenerami, wzbogaconemu po niedawnym przejęciu i integracji spółki StackRox, czołowego dostawcy rozwiązań do zabezpieczania kontenerów, Red Hat zasługuje na miano ogólnego lidera w zestawieniu Leadership Compass.
To kolejny dowód ciągłego zaangażowania firmy Red Hat w proces tworzenia innowacyjnych rozwiązań zwiększających bezpieczeństwo w środowiskach chmur hybrydowych, obejmujących systemy lokalne, systemy wielochmurowe i brzeg sieci, w ramach całego cyklu życia technologii i wszystkich warstw oprogramowania.
IT Champions 2022 – Zobacz z kim świętowaliśmy nasze 20-lecie! (film).
