Man mano che le organizzazioni abbracciano lo sviluppo cloud-native, stanno creando nuovi tipi di applicazioni e microservizi che sono più facili da scalare e aggiungono più valore aziendale.
Ma la crescente adozione dei microservizi ha introdotto nuovi rischi per la sicurezza perché i microservizi e le applicazioni moderne contengono più”pezzi”che aumentano la superficie di attacco.
In un mondo in cui i perimetri tradizionali stanno scomparendo e le organizzazioni cercano nuove strategie difensive per affrontare le minacce, abbiamo parlato con Idit Levine, CEO e fondatore di Solo.io, per scoprire perché una mesh di servizi potrebbe essere la risposta.
BN: Come gli sforzi di trasformazione digitale delle imprese hanno influito sulla sicurezza informatica?
IL: La conclusione qui è che ogni volta che le grandi organizzazioni digitalizzano le loro operazioni e migrano le applicazioni nel cloud, aumentano la loro esposizione alle minacce. I team IT, DevOps e SecOps cercano costantemente di stare un passo avanti rispetto a potenziali hacker, aggressori e autori di minacce. Il tradizionale perimetro di sicurezza è scomparso, la superficie di attacco continua a crescere e continuano a emergere nuovi vettori di attacco.
L’emergere di moderne tecnologie e microservizi cloud-native ha eliminato il perimetro. Non molto tempo fa, un perimetro separava gli asset di un’azienda dal mondo esterno. Al giorno d’oggi, le organizzazioni sono soggette a minacce sia esterne che interne, con i criminali informatici che sfruttano il numero crescente di risorse esposte e potenzialmente vulnerabili nella loro infrastruttura. Soprattutto quando hai a che fare con una forza lavoro remota numerosa e dispersa, che utilizza tutte piattaforme cloud per accedere alle applicazioni, ai sistemi e ai dati dell’azienda.
Il punto è che non esiste un”proiettile d’argento”, né un singolo scudo protettivo che puoi utilizzare per coprire l’intera organizzazione. Le minacce sono diventate più complesse, con violazioni che si verificano mesi prima che la minaccia venga rilevata. Pertanto, le organizzazioni adottano continuamente nuovi tipi di soluzioni per ridurre la loro superficie di attacco e migliorare la loro posizione di sicurezza per far fronte agli attacchi Denial-of-service (DDOS), alle incursioni di ransomware e alle violazioni dei dati.
BN: Qual è il ruolo del service mesh nel rafforzare la sicurezza?
IL: Il service mesh è un framework di rete delle applicazioni che sostiene le architetture dei microservizi, facilitando la comunicazione tra ciascuno dei servizi, insieme al traffico delle applicazioni monitoraggio e gestione.
Attraverso l’aumento del traffico sulla rete, un’architettura di microservizi comporta rischi molto specifici: tieni presente che un’applicazione distribuita può contenere molti pezzi, rispetto alle applicazioni precedenti che ne avevano solo uno. Ci sono anche più modifiche apportate a queste applicazioni su base frequente. Successivamente, le organizzazioni sono tenute a proteggere ciascuno di questi elementi e ad autorizzare l’accesso ai team di sviluppatori che lavorano sulle varie applicazioni che supportano. Ora, sebbene questo sembri un processo complicato e complesso da gestire, può essere facilmente affrontato dalle tecnologie service mesh.
Una tecnologia service mesh offre connettività, sicurezza, osservabilità e affidabilità per la rete; lo fa a livello di piattaforma, piuttosto che a livello di applicazione. In quanto tale, consente anche il controllo sul crescente traffico di rete, consentendo alle organizzazioni di gestire e proteggere ogni elemento di un microservizio.
BN: La mesh di servizi può supportare iniziative zero trust?
IL: La risposta breve è: sì, lo fa! Ricapitolando, l’attendibilità zero consente alle organizzazioni di convalidare ogni singolo dispositivo, ogni singola transazione, ogni singola volta. Ecco perché è perfetto per ambienti applicativi cloud-native complessi e in rapido movimento. Zerotrust e rete di servizi in realtà vanno di pari passo. Sono tecnologie complementari ideali per ambienti containerizzati che consentono agli sviluppatori di distribuire le applicazioni in modo più rapido e sicuro. Ad esempio, la mesh di servizi Istio sta già diventando la mesh di servizi de facto negli ambienti Kubernetes. Naturalmente, le architetture di microservizi possono essere composte da centinaia, persino migliaia di componenti, costantemente aggiornate da team di sviluppatori e altri utenti. Quando l’attendibilità zero viene implementata in un ambiente mesh di servizi, può monitorare attivamente e facilitare l’accesso limitato e”affidabile”su larga scala.
Aiuta ad autenticare, convalidare crittograficamente e autorizzare persone, dispositivi e personas. Può essere utilizzato per applicare policy e identificare potenziali minacce. Può delineare modelli di traffico approvati, insieme a regole per chi è autorizzato a interagire con cosa. Ad esempio, se uno sviluppatore supera un determinato limite di traffico o ha accesso a un database privato, tale connessione può essere interrotta immediatamente. Zero-trust aggiunge controlli di sicurezza completi alla mesh di servizi e ai gateway API per proteggere i microservizi e gli ambienti containerizzati, migliorando notevolmente il tuo livello di sicurezza.
BN: La sicurezza è compromessa se scegli un’architettura”sidecarless”?
IL: Questo è in riferimento a Istio ambient mesh, che è un’innovazione più recente. Essenzialmente, il service mesh semplifica la comunicazione tra i servizi nelle architetture basate su container e microservizi. Ciò semplifica la diagnosi di eventuali errori di comunicazione che possono verificarsi a livello di infrastruttura. Nel complesso, questo processo accelera lo sviluppo, il test e la distribuzione dell’applicazione.
La rete mesh di servizi Istio viene in genere distribuita insieme al codice dell’applicazione in un contenitore collaterale, che dirige il traffico e monitora le interazioni tra i componenti. È compatibile con Kubernetes e aiuta a fornire ambienti containerizzati basati su microservizi che funzionano senza intoppi.
Istio ambient mesh è un’opzione di data plane senza sidecar per Istio service mesh. Offre un’esperienza più trasparente con un supporto applicativo molto più ampio. Offre risparmi sui costi, miglioramenti delle prestazioni e maggiore sicurezza mantenendo la sicurezza Zero Trust e l’applicazione delle policy. Consente di implementare un’architettura zero-trust a livello di rete per concedere l’accesso ai team DevOps, CloudOps e SRE applicabili, come e quando richiesto. Ciò significa che la sicurezza non è affatto compromessa; infatti, può essere migliorato. Il vantaggio dell’ambient mesh Istio è che può essere implementato come infrastruttura mesh condivisa su entrambe le architetture Istio standard e Istio ambient mesh, offrendo maggiore scalabilità e flessibilità.
BN: Quale ruolo vedi? per Istio e l’open source nelle reti di sicurezza?
IL: Siamo grandi sostenitori di Istio e continueremo a contribuire allo sviluppo di Istio service mesh e Istio ambient mesh. Ciò includerà un focus sulla sicurezza e sui test delle prestazioni.
Siamo sempre interessati a collaborazioni future e ricevere feedback dalla comunità Istio su come possiamo continuare a migliorare. Se si considerano le numerose funzionalità di sicurezza attualmente offerte dalla mesh di servizi, come l’applicazione delle policy basate su regole, l’autenticazione flessibile di utenti e macchine e le policy zero-trust, non si può fare a meno di essere entusiasti di ciò che il futuro ha in serbo!
Credito immagine: Funtap/depositphotos.com