Vra enige wolk ingenieur hoeveel programme in hul omgewing hardloop, en jy sal 'n ballpark nommer kry. Vra weer vyf minute later, en hulle kan dit verdubbel. Dit is moeilik om te glo, maar tussen CI / CD-pipeline hervestigings, zombie-werkloads, oorlewende programme in duistere hoeke van infrastruktuur, en te veel identiteitsverskaffers (IdPs) om te tel, is dit maklik om agter te gaan. Wanneer jy nie weet wat hardloop nie, kan jy dit nie bestuur en verseker nie. Orphaned apps without MFA, apps still relying on legacy authentication, or workloads redeployed by a outdated script are easy prey for bad actors. Voldoen aan Voldoen aan Met alles anders word voortdurend - van integrasie tot uitrol - ontdekking moet ook wees. Die Fragmenteringsprobleem In 'n tipiese onderneming vandag, word programme versprei oor AWS, Azure, GCP, en miskien 'n private wolk of twee. Met behulp van Google Cloud Platform (GCP) as 'n voorbeeld, kan 'n aansoek op verskeie maniere ontplooi word. U het opsies wat App Engine, Cloud Run, Compute Engine, Google Kubernetes Engine en Apigee Gateway insluit. Ander wolkplatforms soos Azure en Amazon Web Services het ook baie ontplooiingsopsies vir toepassingswerkloads. Sommige is soortgelyke, soos Kubernetes-ondersteuning, maar ander tegnologieë kan uniek wees vir daardie wolkplatform. Selfs infrastruktuur-as-kode (IaC), soos Terraform, vang nie altyd die hele prentjie nie, veral wanneer ontwikkelaars sjablone omseil vir handmatige implementasies of vergeet om tags te actualiseer. Natuurlik is daar 'n soortgelyke verspreiding vir die Identity-stelsels wat toegang tot hierdie aansoekomgewing beheer. Ondernemings kan 'n mengsel van Okta, Microsoft Entra ID en Amazon Cognito hê, sowel as on-premises Active Directory of oorlewende webtoegangsbeheerprodukte, oorlewende SiteMinder-instansies en on-prem Active Directory, wat dikwels saamleef. Fragmenteerde identiteit Apps kan ooreenstem teen verskillende IdP's afhangende van wanneer en waar hulle geïmplementeer is. Byvoorbeeld, 'n span kan Okta vir interne programme kies, terwyl kliënte se stelsels vertrou op Microsoft Of die cognitie. Entra ID Inskryf die ID Die resultaat is 'n breë netwerk van credentials, beleid en toegangspatrone wat dit byna onmoontlik maak om konsekwent te auditeer. Hierdie vlak van Dit is beslis ongemaklik, maar erger, dit is gevaarlik. Aanvallers hoef nie jou kroonjuwels te kompromieer nie; hulle moet net daardie onbeveiligde deur vind. Identiteitsfragmentasie Identiteitsfragmentasie Hoekom tradisionele auditeure dit nie sny nie Een audit model voorbeeld behels die bring in 'n Big Four konsultasie, hardloop 'n audit, genereer 'n verslag, en noem dit 'n dag. CI / CD-pipelines kan uitgestelde programme herontplooi. 'N ontwikkelteam kan iets nuuts opstel sonder om sekuriteit te informer. Of erger, 'n slapende app met 'n los SiteMinder-beleid kan nog steeds iemand met 'n @company.com-e-pos inlaat. Wat meer verontrustend is, is hierdie audite is inherent beperk in omvang. Hulle vang 'n punt-in-tyd snapshot van 'n stelsel wat voortdurend verander. Enige betekenisvolle ontdekking word gesilooi aan die mense wat betrokke is in die audit proses en dikwels in statische dokumente wat niemand weer besoek tot die volgende ronde. Daar is geen kontinuiteit nie, geen outomasie nie, en geen waarborg dat die data akkuraat bly buite die dag waarop dit versamel is nie. Dollars en veiligheidsgevoel Moenie die koste vergeet nie. Hierdie evaluerings neem dikwels weke van poging en honderde duisende dollars. Die resultaat is 'n prettige presentasie, met grafieke en kogelpunte wat goed lyk in 'n raadkamer.Maar watter waarde bring hulle aan 'n ingenieur wat probeer om op te spoor watter IdP toegang tot 'n containeriseerde app wat op 'n vergeet GCP-kluster hardloop, regeer? Intussen wag die aanvallers nie vir jou volgende audit siklus nie. Hulle scan jou aanval oppervlak, op soek na eindpunte wat jou spreadsheet nie gevang het nie. Hoe lyk voortdurende ontdekking? Baie sekuriteitsteams is vasgesteek om blindfolded whack-a-mole te speel met toepassingsvisibiliteit. Hulle ontdek een skaduwee-app net om nog drie in die krake te vind. Die probleem is nie as gevolg van luiheid of gebrek aan gereedskap nie, dit is dat omgewings voortdurend verskuif. Tussen ontwikkelaarsteams wat nuwe dienste opstel, CI / CD-pipelines wat ou versprei, en infrastruktuur wat deur die week evolueer, is die handhawing van 'n statische voorraad onmoontlik. Dit verskuif sigbaarheid van iets wat jy een keer per kwartaal doen na iets wat jy in die weefsel van jou bedrywighede bou. ** Cloud-native-skanning: ** Roep in API's oor wolkplatforms (GCP, Azure, AWS) om uitrustings oor dienste te lys: App Engine, ECS, Lambda, Cloud Run, ens. : Kaarteer elke app na sy IdP, verifieer MFA-uitvoering, en katalogue-authentifikasiepatrone (SAML, OIDC, LDAP, header-gebaseerde, ens.). Identity correlation : Vang apps wat weer verskyn nadat hulle uitgesluit is omdat 'n pipeline nie die memo ontvang het nie. CI/CD monitoring : Toepas metadata om te organiseer volgens ooreenstemmingsgebied (bv. PCI-programme), afdeling of data sensitiwiteit. Tagging and classification Kontinueuse ontdekking bied die verbindingsweefsel tussen jou infrastruktuur en jou identiteitsarchitektuur. Dit stel die toneel vir real-time sekuriteit houding bestuur, proaktiewe ooreenstemming, en doeltreffende incident reaksie. Sonder dit, die volgende toepassing-verwante inbreuk mag nie kom van 'n gesofistikeerde exploit, maar in plaas daarvan, iets wat jou span nie eens geweet het loop. In plaas van periodieke brandoefeninge, behandel voortdurende ontdekking toepaslike sigbaarheid as 'n lewendige proses. Real-wêreld gebruik geval: die 2,500 vs. 4,500 app gok In een van die Fortune 500-maatskappye is 'n nuut aangewese CTO gevra met 'n skynbaar eenvoudige vraag: "Hoeveel aansoek is in jou omgewing?" “2 500,” antwoord sy met vertroue. ”Waak, ons het net ’n ander maatskappy van ongeveer dieselfde grootte gekoop. Die antwoord kom nie van 'n rekordsysteem nie. Dit was 'n raaisel, gebaseer op die aankoop hooftelling en 'n ruwe aanname van pariteit. Daar was geen aansoek-inventaris om te raadpleeg nie, geen dashboard om die totaal te bevestig nie - net back-of-the-envelope wiskunde. En dit was nie 'n junior IT-analist nie. Dit was 'n topbestuurder wat 'n fundamentele vraag oor die organisasie se digitale voetafdruk gevra word. Skenario's soos hierdie vertel omdat hulle die afwesigheid van 'n betroubare, voortdurend opgedateerde aansoekregister beklemtoon. sonder een, word maatskappye gedwing om te vertrou op geheue, handmatige spreadsheets en tribale kennis - alles wat misluk in dinamiese, wolkgebaseerde omgewings. As die leidinggevendheidsteam nie die aantal apps in die spel kan kwantifiseer nie, hoe kan hulle seker wees dat daardie apps veilig, in ooreenstemming is en behoorlik bestuur word? Hoekom moet ingenieurs en IAM-teams sorg? Untracked apps is lae hangende vrugte vir aanvallers. As jy IAM bestuur, en 'n app gebruik nog steeds basiese outentiek sonder MFA, is dit op jou, of jy van die app geweet het of nie. En as jy verantwoordelik is vir die handhawing van dinge in ooreenstemming, sal daardie ses maande oude spreadsheet jou nie beskerm wanneer 'n auditors vra vir huidige toegang en outentiek besonderhede. 
 
 
 
 Jy weet wat daar buite is Jy weet wie toegang het Jy weet of dit veilig is En jy kan dit bewys. Die manier om met 'n wêreld van veranderinge te hou Ontdekking gaan veel verder as die samestelling van 'n lys. Dit speel 'n kritieke rol in die opstel van verborge risiko's. donker hoeke van jou wolkbesit waar ervare programme, verkeerd geconfigureerde dienste of onbevoegde implementasies nog steeds stil en onopgemerk kan loop. Kontinuïteuse ontdekking sluit die loop en gee veiligheids- en identiteitsteams 'n real-time kaart van hul aansoeklandskap - wat loop, hoe dit verseker word en wie toegang het - sodat hulle beslissende optrede kan neem voordat probleme escaleer. (Soos aangedui, is Gerry Gebel professioneel geaffilieer met 'n maatskappy wat in die identiteitsbestuur en sekuriteitsruimte werk.

This writer has a vested interest be it monetary, business, or otherwise, with 1 or more of the products or companies mentioned within.

The is an opinion piece based on the author’s POV and does not necessarily reflect the views of HackerNoon.

Cloud Sprawl is werklik. Kontinuïteuse ontdekking is jou beste verdediging

About Author

KOMMENTAAR

HANG TAGS

HIERDIE ARTIKEL IS AANGEBIED IN

Related Stories

Uber Still Can't Turn a Profit

The #bitcoin Writing Contest by Rootstock and HackerNoon: Round 2 Results 🎉

"What If ... I didn't Do It?"

"Walk Down the Road of Life Without Fearing Anything" Max Azarov, CEO and Co-Founder, Novakid

Uber Still Can't Turn a Profit

The #bitcoin Writing Contest by Rootstock and HackerNoon: Round 2 Results 🎉

"What If ... I didn't Do It?"

"Walk Down the Road of Life Without Fearing Anything" Max Azarov, CEO and Co-Founder, Novakid

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps