بالاخره راهی برای بهبود امنیت رجیستری کانتینر ابری وجود دارد


به ،وان تامین نرم افزار حملات زنجیره‌ای به‌،وان یک تهدید روزمره ظاهر شده‌اند، جایی که بازیگران بد مرحله‌ای از فرآیند توسعه یا توزیع را مسموم می‌کنند، صنعت فناوری زنگ هشداری در مورد نیاز به ایمن ، هر حلقه در زنجیره داشته است. اما در واقع اجرای بهبودها چالش برانگیز است، به ویژه برای ا،یستم توسعه ابر منبع باز گسترده. حالا شرکت امنیتی نگهبان زنجیر می گوید راه حل ایمن تری برای یک جزء همه جا حاضر اما مدت ها نادیده گرفته شده دارد.

«ثبت‌های کانتینر» نوعی فروشگاه اپلیکیشن یا خانه تسویه حساب است که در آن توسعه‌دهندگان «تصاویری» از کانتینرهای ابری را بارگذاری می‌کنند که هر کدام یک برنامه نرم‌افزاری متفاوت را در خود نگه می‌دارند. سرویس‌های ابری که هر روز استفاده می‌کنید به طور مداوم و بی‌صدا در رجیستری‌های کانتینر برای دسترسی به برنامه‌ها پیمایش می‌کنند، اما این رجیستری‌ها اغلب تنها با رمز عبوری که می‌تواند گم‌شده، دزدیده یا حدس زده شود، امنیت ضعیفی دارند. این اغلب به این م،ی است که افرادی که نباید به یک تصویر ظرف معین دسترسی داشته باشند، می توانند آن را دانلود کنند یا بدتر از آن، می توانند تصاویری را که ممکن است م،ب باشند در رجیستری آپلود کنند. رجیستری تصویر کانتینر جدید Chainguard قصد دارد این حفره باطنی اما فراگیر را مسدود کند.

Dan Lorenc، مدیر عامل Chainguard و محقق قدیمی امنیت زنجیره تامین نرم‌افزار، می‌گوید: «تقریباً هر اتفاق بد ممکنی با رجیستری کانتینر رخ داده است که می‌تو،د تصور کنید. افرادی که گذرواژه‌ها را گم می‌کنند، افرادی که ب،زار را عمدا فشار می‌دهند، افرادی که فراموش می‌کنند موارد را به‌روزرس، کنند. صنعت مدت‌هاست که از آن استفاده می‌کند – همه سرگرم بودند، کد حمل و نقل داشتند و هیچ‌، به عواقب بلندمدت فکر نمی‌کرد.

محققان Chainguard می‌گویند که مدت‌هاست به توسعه رجیستری با طراحی دقیق‌تر فکر کرده‌اند، به‌ویژه رجیستری که از شر رمزهای عبور خلاص می‌شود و در عوض از یک رویکرد ثبت‌نام واحد برای کنترل دسترسی به رجیستری استفاده می‌کند. به این ترتیب، یک رجیستری می تواند به گونه ای طراحی شود که در صورت نیاز در دسترس یا قفل باشد و تنها افرادی که وارد حساب های دیگر مانند سرویس های هویت شرکتی یا حساب های Google شده اند و سپس به طور خاص مجاز هستند می توانند با رجیستری تعامل داشته باشند.

جیسون هال، مهندس نرم‌افزار Chainguard می‌گوید: «رجیستری کانتینر یک حلقه ضعیف بوده است. آنها بسیار خسته کننده هستند، بسیار استاندارد. این نرم افزاری است که برای ارائه نرم افزار به نرم افزار متکی است. ما باید بهتر عمل کنیم و از شر رمزهای عبور خلاص شویم تا با رجیستری صحبت کنیم و بتو،م به رجیستری فشار بیاوریم.”

با این حال، محدودیت بزرگ در استقرار سیستمی مانند این هزینه بوده است. اجرای یک رجیستری کانتینر معمولاً به دلیل «هزینه ،وج» بسیار گران است. به عبارت دیگر، ارائه‌دهندگان ابری برای بارگذاری داده‌ها در فضای ابری از مشتریان سازم، هزینه‌ای دریافت نمی‌کنند، اما هر بار که شخصی داده‌ها را دانلود می‌کند، هزینه‌ای از آنها دریافت می‌کنند. بنابراین، اگر رجیستری‌های کانتینر مانند یک فروشگاه اپلیکیشن هستند که در آن همه برای دانلود تصاویر کانتینر می‌آیند، هزینه‌های ،وج می‌تواند واقعاً خیلی سریع افزایش یابد. این کار بر روی بازنگری مجدد امنیت ثبت کانتینرها بی انگیزه شد زیرا هیچ ، نمی خواست هزینه های مربوط به ارائه جایگزین ایمن تر را متقبل شود.

موفقیت Chainguard زم، رخ داد که شرکت زیرساخت اینترنتی Cloudflare اعلام کرد در دسترس بودن عمومی سرویس R2 Storage آن در سپتامبر. هدف این محصول ارائه هزینه های ،وج کاهش یافته به مشتریان Cloudflare و حتی بدون هزینه برای داده هایی است که به ندرت دانلود می شوند. هنگامی که R2 به ،وان یک گزینه ظاهر شد، محققان Chainguard همه چیز مورد نیاز خود را برای پیشبرد یک رجیستری امن تر در اختیار داشتند.


منبع: https://www.wired.com/story/container-registry-security-chainguard/