Uber از سامانه مدیریت رمزها در محیط چند ابری رونمایی کرد

زمان مطالعه: 4 دقیقه

👀 خبر در یک نگاه: اوبر پلتفرم مدیریت رمزهای چند ابری داخلی خود را معرفی کرد که بیش از ۱۵۰٬۰۰۰ اعتبار را ایمن می‌کند. این پلتفرم با تجمیع vaultها و اسکن خودکار، امنیت را افزایش داده و پیچیدگی‌های مدیریت اعتبار در زیرساخت گسترده اوبر را کاهش می‌دهد.

اوبر جزئیات پلتفرم رمزنگاری اطلاعات مهم در محیط چند ابری (Multi-Could) داخلی خود را منتشر کرد؛ این پلتفرم برای مقابله با چالش‌های امنیتی مربوط به مدیریت بیش از ۱۵۰٬۰۰۰ رمز در زیرساخت توزیع‌شده عظیم این شرکت طراحی شده است. این پلتفرم تحول مهمی در نحوه برخورد شرکت‌های فناوری در مقیاس بزرگ با امنیت اعتبارها در محیط‌های چند ابری به‌شمار می‌رود.

چالش امنیتی اوبر

زیرساخت سفر اشتراکی با چالش‌های امنیتی منحصربه‌فردی روبه‌رو است؛ بیش از ۵٬۰۰۰ میکروسرویس نیاز به دسترسی ایمن به اعتبارهای حساس دارند. این سرویس‌ها با بیش از ۴۰۰ فروشنده شخص ثالث و ۴۰۰ نرم‌افزار SaaS یکپارچه شده‌اند و شبکه‌ای پیچیده از نیازهای احراز هویت را ایجاد کرده‌اند که روش‌های سنتی مدیریت رمزها در مواجهه با آن‌ها عملکرد موثری ندارند.

یکی از نگرانی‌های اصلی اوبر، پراکندگی رمزها در کدها، پیکربندی‌ها و سیستم‌های مختلف زیرساختش بود. این رویکرد پراکنده، آسیب‌پذیری‌های امنیتی جدی و ناکارآمدی‌های عملیاتی قابل‌توجهی ایجاد کرده بود. برای مقابله با این مشکل، اوبر راهبردی دو‌وجهی را پیاده‌سازی کرد که شامل اقدامات پیشگیرانه و اصلاحی است.

رویکرد Uber‌ برای مدیریت اطلاعات حساس

رویکرد پیشگیرانه آن‌ها حول یک ابزار CLI می‌چرخد که مستقیما در جریان کاری توسعه‌دهنده و به‌عنوان pre-commit hook در مخازن Git ادغام می‌شود. این ابزار پیش از هر Commit، کد را اسکن کرده و از وارد شدن رمزها به مخزن کد جلوگیری می‌کند تا از ورود اطلاعات حساس به سیستم‌های کنترل نسخه جلوگیری شود. این سیستم از ویژگی‌های بیشتری نیز برخوردار است که در ادامه به آن‌ها می‌پردازیم.

قابلیت اسکن لحظه‌ای و زمان‌بندی‌شده

این پلتفرم همچنین قابلیت اسکن لحظه‌ای و زمان‌بندی‌شده دارد که به‌طور مداوم کل پایگاه کد و زیرساخت اوبر را برای شناسایی رمزهای افشا‌شده پایش می‌کند. اسکن لحظه‌ای، بازخورد فوری به توسعه‌دهنده می‌دهد و اسکن‌های زمان‌بندی‌شده هم مرورهای امنیتی دوره‌ای و جامع را تضمین می‌کنند.

پنهان‌سازی پیچیدگی‌های مدل‌های امنیتی

یکی دیگر از اهداف این پلتفرم جدید، پنهان‌سازی پیچیدگی‌های مدل‌های امنیتی ارائه‌دهندگان مختلف رایانش ابری است؛ به‌گونه‌ای که توسعه‌دهندگان بتوانند بدون درگیر شدن با جزئیات پیچیده مدیریت اطلاعات احراز هویت، صرفا بر توسعه اپلیکیشن تمرکز کنند. این رویکرد با گسترش استفاده از استراتژی‌های چندابری توسط سازمان‌ها اهمیت بیشتری یافته است؛ آن‌ها از این روش برای جلوگیری از وابستگی به یک ارائه‌دهنده و استفاده از بهترین خدمات موجود بهره می‌برند.

بهبود امنیت و کارایی با پلتفرم یکپارچه رمزها

پیش از راه‌اندازی پلتفرم جدید مدیریت رمزها، اوبر از ۲۵ سامانه Vault مجزا استفاده می‌کرد که بار عملیاتی زیادی ایجاد می‌کرد و ریسک شکاف‌های امنیتی را افزایش می‌داد. پلتفرم جدید این ۲۵ سامانه را در قالب تنها ۶ عدد Vault مدیریت‌شده تجمیع کرده است که همگی توسط تیم اختصاصی Secrets اداره می‌شوند. این تمرکزگرایی ضمن بهبود حاکمیت امنیتی، انعطاف‌پذیری لازم برای پیاده‌سازی استراتژی چند ابری اوبر در میان ارائه‌دهندگان مختلف را نیز حفظ می‌کند.

با ایجاد Vaultهای متمرکز، اوبر پلتفرم جامع مدیریت رمزها را توسعه داد که شامل چندین مولفه کلیدی برای بهبود امنیت و کارایی عملیاتی است. مدل متادیتای این پلتفرم به‌عنوان پایه‌ای حیاتی عمل می‌کند و ویژگی‌های هر رمز را توصیف می‌کند تا در فرایندهای حاکمیت و اتوماسیون کمک کند. این رویکرد ساختارمند، ردیابی بهتر، پایش تطبیق‌پذیری و تصمیم‌گیری خودکار در طول چرخه عمر رمز را ممکن می‌سازد.

تعامل روان

رابط‌های یکپارچه امکان تعامل روان‌تر با پلتفرم را از طریق کانال‌های مختلف فراهم می‌کنند. این شامل APIهای REST برای دسترسی برنامه‌نویسی، رابط‌های خط فرمان برای جریان‌های کاری توسعه‌دهندگان و رابط‌های کاربری مبتنی بر وب برای وظایف مدیریتی است. این رویکرد چندوجهی تضمین می‌کند که کاربران مختلف می‌توانند با سیستم، به روش‌هایی که با نیازها و جریان‌های کاری‌شان سازگار است، تعامل کنند.

خودکارسازی چرخه عمر رمزها

قابلیت‌های مدیریت چرخه عمر، فرایندهای حیاتی مانند گردش، حذف و لغو رمزها را خودکار می‌کنند. این اتوماسیون بار تیم‌های توسعه را کاهش داده و در عین حال تضمین می‌کند که اقدامات امنیتی به‌طور مداوم و بدون دخالت دستی روی همه اطلاعات حساس اعمال شود.

کنترل متمرکز دسترسی به رمزها

مدیریت دسترسی، کنترل‌های دسترسی یکسانی را برای همه رمزها اجرا می‌کند و تضمین می‌کند که فقط سرویس‌ها و افراد مجاز به اعتبارهای مشخص دسترسی داشته باشند. این رویکرد متمرکز در کنترل دسترسی، فرایند حسابرسی و تطبیق را ساده کرده و ریسک دسترسی غیرمجاز را کاهش می‌دهد.

یکپارچه‌سازی امن با سیستم‌های خارجی

پشتیبانی از یکپارچه‌سازی، تبادل بی‌وقفه رمزها با فروشندگان شخص ثالث و نرم‌افزارهای SaaS را ممکن می‌سازد و به اوبر اجازه می‌دهد حتی هنگام همکاری با سیستم‌ها و شرکای خارجی، استانداردهای امنیتی را حفظ کند.

نتایج اجرایی

پیاده‌سازی پلتفرم مدیریت رمزهای اوبر به بهبودهای قابل اندازه‌گیری قابل‌توجهی در چندین حوزه منجر شد. مهم‌ترین آن، کاهش تا ۹۰درصدی رمزهای توزیع‌شده به بارکاری‌ها از طریق پایش و محدودسازی دقیق دسترسی به رمزها در کانتینرها بود. این کاهش چشمگیر، سطح حمله را کاهش داده و تاثیر بالقوه هرگونه نقض امنیتی را به حداقل رساند.

اوبر با مدیریت متمرکز و استفاده از روش‌های استاندارد، امنیت خود را به‌طور چشمگیری تقویت کرد. این عملیات را ساده‌تر کرد و بار مدیریتی را پایین آورد. در نتیجه، منابع مهندسی آزاد شدند تا به‌جای کارهای امنیتی دستی، روی اهداف اصلی کسب‌وکار تمرکز کنند.

سخن پایانی

رویکرد اوبر در زمانی مطرح شده که بازار مدیریت اطلاعات حساس به‌سرعت در حال تحول است و شرکت‌هایی مانند CyberArk و Akeyless در حال توسعه راه‌حل‌های مشابه چندابری هستند. با این حال، تصمیم اوبر به ساخت داخلی این سیستم، نشان‌دهنده محدودیت‌های راه‌حل‌های تجاری موجود در مواجهه با نیازهای زیرساختی در مقیاس بسیار بزرگ است.

 

منبع: infoq.com

🏷️ برچسب‌ها: توسعه اپلیکیشن