#SựKiệnNgàyHômNay: Giải pháp mới cải thiện bảo mật đăng ký vùng chứa trên đám mây được công bố. Các cơ quan đăng ký vùng chứa từ lâu là điểm yếu trong chuỗi cung ứng phần mềm tấn công, với mật khẩu dễ bị đánh cắp hoặc đoán được. Để giải quyết vấn đề này, công ty bảo mật Chainguard đã phát triển một sổ đăng ký an toàn hơn, loại bỏ mật khẩu và thay vào đó sử dụng phương pháp đăng nhập một lần để kiểm soát quyền truy cập. Tuy nhiên, chi phí triển khai hệ thống vẫn là thách thức lớn, cho đến khi công ty Cloudflare ra mắt dịch vụ Lưu trữ R2 giảm phí đầu ra cho khách hàng. Đây là bước đột phá giúp Chainguard tiếp tục phát triển sổ đăng ký an toàn hơn.
Nguồn: https://www.wired.com/story/container-registry-security-chainguard/
Là chuỗi cung ứng phần mềm tấn công đã xuất hiện như một mối đe dọa hàng ngày, nơi những kẻ xấu đầu độc một bước trong quá trình phát triển hoặc phân phối, ngành công nghệ đã có một hồi chuông cảnh tỉnh về sự cần thiết phải bảo mật từng mắt xích trong chuỗi. Nhưng thực sự việc triển khai các cải tiến là một thách thức, đặc biệt là đối với hệ sinh thái phát triển đám mây nguồn mở đang mở rộng. Bây giờ, công ty bảo mật bảo vệ nói nó có một giải pháp an toàn hơn cho một thành phần phổ biến nhưng đã bị bỏ qua từ lâu.
“Cơ quan đăng ký vùng chứa” giống như các cửa hàng ứng dụng hoặc trung tâm thanh toán bù trừ nơi các nhà phát triển tải lên “hình ảnh” của các vùng chứa trên đám mây mà mỗi vùng chứa một chương trình phần mềm khác nhau. Các dịch vụ đám mây bạn sử dụng hàng ngày liên tục và âm thầm điều hướng các cơ quan đăng ký vùng chứa để truy cập các ứng dụng, nhưng các cơ quan đăng ký này thường được bảo mật kém chỉ với một mật khẩu có thể bị mất, bị đánh cắp hoặc đoán được. Điều này thường có nghĩa là những người không có quyền truy cập vào một hình ảnh vùng chứa nhất định có thể tải xuống hình ảnh đó hoặc tệ hơn là họ có thể tải hình ảnh có thể độc hại lên sổ đăng ký. Sổ đăng ký hình ảnh vùng chứa mới của Chainguard nhằm mục đích bịt lỗ hổng bí truyền nhưng phổ biến này.
Dan Lorenc, Giám đốc điều hành của Chainguard và là nhà nghiên cứu bảo mật chuỗi cung ứng phần mềm lâu năm cho biết: “Gần như mọi điều tồi tệ có thể xảy ra với cơ quan đăng ký vùng chứa mà bạn có thể tưởng tượng. “Những người mất mật khẩu, những người cố tình đẩy phần mềm độc hại, những người quên cập nhật nội dung. Ngành công nghiệp đã sử dụng điều này trong một thời gian dài — mọi người đều vui vẻ, vận chuyển mã — và không ai nghĩ đến những hậu quả lâu dài.”
Các nhà nghiên cứu của Chainguard cho biết họ từ lâu đã cân nhắc việc phát triển một sổ đăng ký được thiết kế chu đáo hơn, đặc biệt là một sổ đăng ký loại bỏ mật khẩu và thay vào đó sử dụng phương pháp đăng nhập một lần để kiểm soát quyền truy cập sổ đăng ký. Bằng cách đó, sổ đăng ký có thể được thiết kế để có thể truy cập hoặc khóa khi cần và chỉ những người đã đăng nhập vào tài khoản khác, như dịch vụ nhận dạng công ty hoặc tài khoản Google, sau đó được ủy quyền cụ thể mới có thể tương tác với sổ đăng ký.
Jason Hall, một kỹ sư phần mềm của Chainguard cho biết: “Việc đăng ký vùng chứa là một liên kết yếu. “Chúng khá nhàm chán, khá chuẩn mực. Đây là phần mềm dựa vào phần mềm để cung cấp phần mềm. Chúng tôi cần phải làm tốt hơn và loại bỏ mật khẩu để nói chuyện với cơ quan đăng ký và có thể chuyển sang cơ quan đăng ký.”
Tuy nhiên, hạn chế lớn trong việc triển khai một hệ thống như thế này là chi phí. Việc chạy sổ đăng ký vùng chứa thường rất tốn kém do “phí đầu ra”. Nói cách khác, các nhà cung cấp đám mây không tính phí khách hàng doanh nghiệp tải dữ liệu lên đám mây, nhưng họ tính phí mỗi khi ai đó tải xuống dữ liệu. Vì vậy, nếu cơ quan đăng ký vùng chứa giống như một cửa hàng ứng dụng nơi mọi người đến để tải xuống hình ảnh vùng chứa, thì phí đầu ra có thể rất lớn và rất nhanh. Điều này làm nản lòng công việc đại tu tính bảo mật của các cơ quan đăng ký công-te-nơ, bởi vì không ai muốn nhận chi phí liên quan đến việc cung cấp một giải pháp thay thế an toàn hơn.
Bước đột phá cho Chainguard đến khi công ty cơ sở hạ tầng internet Cloudflare công bố tính khả dụng chung của dịch vụ Lưu trữ R2 vào tháng 9. Mục tiêu của sản phẩm là giảm phí đầu ra cho khách hàng Cloudflare và thậm chí không tính phí đối với dữ liệu được tải xuống không thường xuyên. Sau khi R2 nổi lên như một tùy chọn, các nhà nghiên cứu Chainguard đã có mọi thứ họ cần để tiếp tục với một sổ đăng ký an toàn hơn.
[ad_2]
