A biztonságos hálózat építőkockái (x)

Címkék

A microservice-ekkel egy jól működő biztonsági megoldás gyorsan, számos termékben bevethető, ahogy más, gyakran használt funkciók is – számottevően javítva a termék- és szolgáltatásfejlesztés hatékonyságát, és a biztonságot.

Nagy kár lenne, ha egy jól működő fejlesztésből csak egy-egy céltermék profitálhatna, ez pedig a biztonsági megoldásokra különösen igaz, főként ha kritikus fontosságú szolgáltatásokról van szó, mint például a mobilhálózat, illetve az alatta húzódó infrastruktúra. Éppen ezért az Ericsson szolgáltatásait komponensalapú architektúrára húzza fel, ahol az azokban használt, különböző funkcionális, és biztonsági alkotórészeket a vállalat palettáján szereplő számos további termék, illetve azok fejlesztőcsapatai számára is elérhetővé teszi.

IGÉNY SZERINT FARAGHATÓ ALKOTÓELEMEK

Ennek a microservice-alapú felépítésnek számos előnye van, különösen a cloud-native alkalmazások körében - ezek közül talán a leginkább magától értetődő, hogy ha egy biztonsági megoldást vagy egyéb képességet számos termék használ, azt nem kell sokszor hasonló módon lefejleszteni, majd a lényegében azonos funkciót ellátó [Az Ericsson megbízásából készített, fizetett anyag.]kódokat külön felügyelni. Ehelyett a különböző felmerülő igények a vállalat komponensfejlesztő-csapatához futnak be, akik a készített microservice-eket egyrészt az Ericssonnál alkalmazott, általános termékkövetelményekhez, másrészt akár specifikus igényekhez is tudják igazítani, ha netán valamilyen területen egyedi elvárás merülne fel. Az elkészült komponensek pedig aztán számos termékben, szolgáltatásban bevethetők.

 

Az Ericsson komponensfejlesztő-csapata, a CDU (Component Development Unit) több követelményterületet is kiszolgál microservice-eivel: ilyenek többek között a szolgáltatásmonitorozási, illetve életciklus-menedzsment területek, valamint a biztonság is, amelyek együtt alkotják az ADP-t (Application Development Platform) azaz a vállalat alkalmazásfejlesztési platformját.

Utóbbihoz egy belső "piactér" is tartozik, ahol a fejlesztők elérhetik a már létező, a készülő termékekhez felhasználható, komponenseket. Amennyiben egy-egy microservice valamiért nem nyújt elég kiterjedt funkcionalitást valamely projekthez, annak fejlesztőcsapata felveszi a kapcsolatot a CDU-val, akik aztán a felmerülő igények szerint egészítik ki a szóban forgó komponenst. Az esetek többségében az így kapott extra képességek egy az egyben bekerülnek a kérdéses microservice-be, így a vállalaton belül minden fejlesztőcsapat számára elérhetővé válnak.

Külön említést érdemel a SIP-TLS-re támaszkodó kommunikáció támogatását lehetővé tevő komponens fejlesztése, amely az Ericsson CDU mintegy 80 fős magyarországi gárdájának fejlesztése – a microservice-t mára hét fős dedikált fejlesztőcsapat felügyeli. A SIP-TLS komponenst számos Ericsson termék használja, a jól ismert Expert Analytics például egy az egyben importálja, de a szintén hazai fejlesztésű Packet Core Controller és Gateway, illetve Ericsson Cloud Manager is erre támaszkodik. A SIP-TLS titkosításával az alkalmazáson belüli és az azon kívülre mutató kommunikáció is biztonságossá tehető.

SZIGORÚ ELLENŐRZÉS KÍVÜL-BELÜL

A már élesben működő komponensek állapotát a csapat visszajelző körökön keresztül követi, amelyekben számos eszközzel végeznek biztonsági ellenőrzéseket, ismert vagy épp új sebezhetőségek után kutatva. De nem csak a készített microservice-ek, maguk a fejlesztéshez használt eszközök is szigorú ellenőrzéseken esnek át, és csak azok használhatók élesben, amelyek gond nélkül átmentek a vállalat auditján. A már jóváhagyott szoftverekről, különböző funkcionalitásokra felosztva a vállalat egy listát is vezet, amelyből a fejlesztők igény szerint válogathatnak eszközöket az aktuális feladatokhoz.

A fentiekből is látható, hogy a potenciális biztonsági rések nem csak a házon belüli fejlesztésekben, de az esetleges harmadik felektől származó eszközökben is kockázatot jelenthetnek – ennek minimalizálásához az Ericsson az általa használt külső termékekért felelős közösségekkel is szoros kapcsolatban van, adott esetben pedig akár saját erőforrásaiból is allokál azokhoz embereket, hogy segítsék a kritikus fejlesztéseket.

A komponensalapú felépítésnek tehát számos előnye van, ugyanakkor esetében is létfontosságú, hogy az esetleges biztonsági frissítések, javítások, patch-ek leszállítása a lehető leggyorsabb, leggördülékenyebb legyen. A CDU itt kifejezetten szerencsés helyzetben van, hiszen az ADP-hez a csapat lényegében nulláról, teljesen a saját igényeihez szabva készíthette el saját CI (Continuous Integration) rendszerét, nem kellett egy korábbi infrastruktúrához igazodni. Ez a vállalat méretei dacára startupszerű rugalmasságot biztosít – ami a fejlesztéseket a microservice-alapú felépítéssel karöltve rendkívül gördülékennyé teszi.

[Az Ericsson megbízásából készített, fizetett anyag.]