Door Sunil James
Cloud computing-software en -services maken universeel gebruik van open-source software (OSS) zoals Linux, Apache, MySQL, PHP en Python. Maar hoewel Linux al lang beveiligingsmogelijkheden heeft, net als SNORT (een computergebaseerde systeemsoftware voor het detecteren van netwerkintrusies), hebben andere OSS schijnbaar minder impact op de beveiliging gehad – tot nu toe.
Vandaag zien we belangrijke veranderingen plaatsvinden. TechGenix meldt bijvoorbeeld: “één blik op de topprojecten van de Cloud Native Computing Foundation (CNCF) toont een gebrek aan ondernemingen die alleen op beveiliging gericht zijn. Dit was vooral merkbaar in 2019. In 2020 heeft de CNCF echter maatregelen genomen om enkele zeer nuttige beveiligingsgerelateerde projecten op te nemen.” Het artikel gaat verder met het belichten van een groeiend aantal CNCF-incubatieprojecten, waaronder Falco, Notary en SPIRE (The SPIFFE Runtime Environment), wat het begin markeert van OSS dat in de toekomst een veel grotere rol gaat spelen in de beveiliging.
Het is duidelijk tijd om een paar vragen te stellen: Hoe kan OSS ondernemingen helpen bij het oplossen van hun beveiligingsuitdagingen? Waarom wordt dit nu pas interessant? Aangezien OSS al bedrijfsoplossingen op en neer levert, waarom zijn OSS-beveiligingstechnologieën dan niet in hetzelfde volume ontwikkeld?
Een nieuwe weg voorwaarts voor OSS-beveiliging
IT-budgetten. Ik geloof dat OSS-ontwikkelaars zich over het algemeen op twee dingen concentreren: hun eigen problemen oplossen of technologieën bouwen waarmee geld kan worden verdiend. Nu beveiliging een steeds groter deel van het IT-budget in beslag neemt, zal OSS een grotere rol spelen bij het beschermen van organisaties en hun belanghebbenden tegen zich ontwikkelende aanvallen. Meer ontwikkelaars denken aan beveiliging bij het ontwikkelen van applicaties. Deze mindshare zal ontwikkelaars ertoe brengen OSS te creëren om beveiliging te implementeren. Dat is hoe CNCF-projecten organisaties helpen bij het bouwen van zero-trust-omgevingen, zoals SPIFFE (Secure Production Identity Framework for Everyone) en SPIRE, werden geboren.
Cloud en aaS. Een andere reden voor deze verandering is dat cloudmodellen die software-as-a-service (SaaS)-bedrijfsmodellen ondersteunen in toenemende mate legacy en geïnstalleerde software vervangen. Dit biedt een opening voor OSS-beveiligingstechnologieën omdat ze kunnen worden ontwikkeld en geleverd in een “as-a-service-model”. Er is geen reden waarom OSS op het gebied van beveiliging niet hetzelfde kan bereiken als in andere markten: een stabiel, aantrekkelijk geprijsd alternatief bieden voor commerciële producten.
Veilige codering. Ook het bewustzijn van het belang van beveiliging is enorm toegenomen. Beveiliging als een bijzaak benaderen, waarbij organisaties een beveiligingsproduct aanschaffen om bestaande problemen te verhelpen, lost het niet langer op! In feite komen veel van de huidige beveiligingsproblemen voort uit code met fouten en opgenomen bibliotheken. Zo realiseren ontwikkelaars zich dat om veilige producten te maken, de onderliggende code veiliger moet zijn. Deze vraag heeft al geleid tot nieuwe producten en tools om codering veiliger te maken, en het is waarschijnlijk dat OSS een belangrijke rol zal spelen.
Bewustzijn. Uiteindelijk zorgt het toenemende besef dat beveiliging moet worden aangepakt in het softwareontwikkelingsproces ervoor dat organisaties meer dan ooit op zoek zijn naar beveiliging van OSS. Daarom zijn SPIFFE en SPIRE zo belangrijk, omdat ze perfecte voorbeelden zijn van hoe organisaties OSS gebruiken om de kloof tussen oude en nieuwe architecturen te overbruggen.
Voordelen van SPIFFE en SPIRE
SPIFFE is een open-sourcestandaard die een levenscyclus definieert voor identiteiten voor softwareworkloads. Om een analogie te gebruiken: het is handig om een softwarewerklast te zien als een mens die een taak heeft bij het ontvangen, delen en verwerken van informatie binnen een organisatie. Op elk moment, welke informatie dat? persoon toegang moeten hebben tot en kunnen delen, kan veranderen afhankelijk van vele factoren, waaronder de aard van de betrokken gegevens. Dat is de reden waarom organisaties authenticatie en legitimatie gebruiken – omdat het hebben van een sleutel tot een gebouw om één taak te doen niet betekent dat een persoon noodzakelijkerwijs altijd het gebouw mogen betreden of binnen mogen alle de kamers in het gebouw. De sleutel mag alleen toegang geven tot de kamers die u nodig heeft om de klus te klaren.
Als het gaat om softwareworkloads, is het probleem van het verlenen en intrekken van rechten om te communiceren met andere workloads moeilijk. Er worden werklasten gecreëerd om bepaalde taken uit te voeren, hun werk te doen en in sommige gevallen duizenden keren per dag uit dienst te gaan. Het distribueren, beheren en intrekken van de statische referenties die traditioneel door deze workloads worden gebruikt, moet fundamenteel veranderen. Dat is waar SPIFFE en SPIRE om de hoek komen kijken.
SPIFFE lost het probleem op van hoe een workload automatisch zijn identiteit kan bevestigen, de juiste referenties kan ontvangen en wanneer de service-instantie eindigt, de referenties kan vernietigen. Organisaties moeten ervoor zorgen dat voor elke workload-instantie de cryptografisch unieke identiteit continu kan worden bevestigd. Maar wanneer die instantie niet langer nodig is, moeten de identiteit en inloggegevens ook automatisch worden opgeschoond.
SPIFFE creëert een platformonafhankelijke manier om identiteiten voor workloads op grote schaal te definiëren, toe te kennen en te vernietigen. SPIRE brengt SPIFFE tot leven door te dienen als de referentie OSS-implementatie.
Wat dit betekent voor nul vertrouwen
Hewlett Packard Enterprise (HPE), de toonaangevende bijdrager aan SPIFFE en SPIRE, gelooft in de opkomst van OSS voor beveiliging en zet zich in om te investeren in de toekomst van vertrouwd computergebruik voor de onderneming. Met SPIFFE en SPIRE hebben organisaties extreem gerichte toegang tot gegevens die hun beveiligingshouding onmiddellijk verbeteren. Als u de logica van deze technologie volgt, heeft deze directe toepassingen in een zero-trust-omgeving en helpt het organisaties verder te gaan dan een louter oppervlakkige benadering van zero trust.
Het is cruciaal om te onthouden dat zero trust niet alleen gaat over de gebruiker en de systemen waartoe ze toegang hebben, maar ook over alle workloads die zijn gecreëerd om aan de behoeften van de gebruiker te voldoen.
In bedrijven die containers en cloudplatforms gebruiken om op en neer te schalen om aan alle zakelijke eisen te voldoen, stelt de inzet van SPIFFE en SPIRE organisaties in staat om zero trust voor softwareworkloads te implementeren, zodat die workloads alleen verbinding maken met andere workloads als dat nodig is. SPIFFE en SPIRE zorgen ervoor dat zero trust van boven naar beneden kan worden geïmplementeerd in een technologiestack. Dat is de basis van echt effectieve zero-trust beveiliging.
Ga voor meer informatie naar de SPIFFE- en SPIRE-website of luister naar mijn HPE Tech Talk-podcast, Why Zero Trust Security Matters, Ep. 4. U kunt ook lezen hoe open source software een beveiligingsarchitect en identiteitsprogrammamanager voor Bloomberg en zijn team helpt om beveiligingsrisico’s voor te blijven.
____________________________________
