Chcesz znale藕膰 najwi臋ksze zagro偶enie bezpiecze艅stwa w chmurze? Spojrz w lustro [Q&A]

 Chcesz znale藕膰 najwi臋ksze zagro偶enie bezpiecze艅stwa w chmurze?  Spojrz w lustro [Q&A]

Wydaje si臋, 偶e nie ma dnia bez nowego naruszenia danych w chmurze na pierwszych stronach gazet. I chocia偶 ofiary si臋 zmieniaj膮, szczeg贸艂y ataku pozostaj膮 takie same. Dlaczego organizacje wci膮偶 powtarzaj膮 te same b艂臋dy w zabezpieczeniach chmury? Jak mo偶emy wyrwa膰 si臋 z tego b艂臋dnego ko艂a?

Rozmawiali艣my z Zachiem Malone, in偶ynierem ds. Bezpiecze艅stwa w firmie FireMon, specjalizuj膮cym si臋 w zarz膮dzaniu bezpiecze艅stwem, kt贸ry omawia te kwestie i wyja艣nia, dlaczego, aby zidentyfikowa膰 najwi臋ksze zagro偶enie dla bezpiecze艅stwa chmury, musimy spojrze膰 w lustro.

BN: Jaka jest najcz臋stsza przyczyna narusze艅 chmury?

ZM: Zdecydowana wi臋kszo艣膰 wszystkich znanych dotychczas narusze艅 danych w chmurze by艂a spowodowana b艂臋dami konfiguracji, co jest grzecznym sposobem stwierdzenia, 偶e 鈥嬧媤in膮 jest b艂膮d ludzki lub brak wiedzy. Nie musisz te偶 szuka膰 prawdziwych przyk艂ad贸w. Microsoft, World Wrestling Entertainment, Time Warner Cable, FedEx i Verizon to tylko kilka g艂o艣nych przyk艂ad贸w organizacji, kt贸re zosta艂y naruszone z powodu b艂臋dnej konfiguracji chmury. W rzeczywisto艣ci b艂臋dy konfiguracji sta艂y si臋 tak powszechne w przypadku migracji opartych na chmurze i wdro偶e艅 aplikacji, 偶e cz臋sto cyberprzest臋pcy nie zawracaj膮 sobie g艂owy nawet wyrafinowanymi atakami; po prostu szukaj膮 ziej膮cych luk w zabezpieczeniach z powodu b艂臋dnej konfiguracji.

BN: Jak dochodzi do b艂臋d贸w konfiguracji?

ZM: Zwykle na jeden z dw贸ch sposob贸w. Pierwsza to 藕le skonfigurowane natywne mechanizmy zabezpiecze艅 w chmurze. Naruszenia tego rodzaju s膮 prawie zawsze spowodowane brakiem wiedzy w艂a艣ciciela danych na temat korzystania z natywnych mechanizm贸w kontroli bezpiecze艅stwa oferowanych na platformie chmurowej. Wi臋kszo艣膰 g艂贸wnych dostawc贸w us艂ug w chmurze ma wsp贸lny model bezpiecze艅stwa, kt贸ry definiuje, co zapewni dostawca, a co klient jest zobowi膮zany do zabezpieczenia samodzielnie. Jest to zwykle okre艣lane jako 鈥濨ezpiecze艅stwo chmury鈥 (dostawca) i 鈥濨ezpiecze艅stwo w chmurze鈥 (klient). Niestety, przedsi臋biorstwa cz臋sto nie do ko艅ca rozumiej膮, gdzie ko艅cz膮 si臋 obowi膮zki dostawcy us艂ug w chmurze, a ich zaczynaj膮.

Cz臋sto obserwujemy r贸wnie偶, jak organizacje b艂臋dnie konfiguruj膮 w艂asne mechanizmy kontroli bezpiecze艅stwa, co cz臋sto ma miejsce, gdy us艂ugi i aplikacje s膮 zbyt szybko przenoszone do chmury. Na przyk艂ad podczas przenoszenia aplikacji do chmury, co dzieje si臋 ze wszystkimi zintegrowanymi aplikacjami i us艂ugami innych firm, kt贸re otacza艂y j膮 i chroni艂y (np. Uwierzytelnianie, kontrola dost臋pu i to偶samo艣ci; filtrowanie tre艣ci; zapory ogniowe nowej generacji) ?

BN: W jaki spos贸b organizacje mog膮 zmniejszy膰 prawdopodobie艅stwo b艂臋dnej konfiguracji chmury?

ZM: Pierwszym krokiem jest edukacja i 艣wiadomo艣膰 wszystkich zaanga偶owanych w projektowanie, wdra偶anie i administrowanie aplikacjami chmurowymi. Nast臋pnie najlepszym sposobem na zmniejszenie ryzyka b艂臋d贸w konfiguracji jest zapewnienie pe艂nej sp贸jno艣ci egzekwowania zasad bezpiecze艅stwa w r贸偶nych 艣rodowiskach – lub mo偶liwie jak najbardziej zbli偶onej do 100-procentowej sp贸jno艣ci, ze zdefiniowanym planem opisuj膮cym spos贸b radzenia sobie z ryzykiem stwarzanym przez wszelkie luki .

Wyzwanie zwykle obraca si臋 wok贸艂 ofert dostawc贸w us艂ug w chmurze. Cz臋sto dostawcy us艂ug w chmurze maj膮 znacznie mniejszy portfel aplikacji i funkcji zabezpieczaj膮cych, co pozostawia organizacjom luki mi臋dzy tym, co jest dost臋pne w chmurze, a tym, co mo偶na zrobi膰 lokalnie. Z tego powodu wa偶ne jest, aby pozna膰 poziomy i typy oferowanych kontroli bezpiecze艅stwa przed wyborem dostawcy chmury. Znacz膮ce luki w kontrolach mog膮 stanowi膰 niedopuszczalne ryzyko dla klient贸w.

BN: M贸wi膮c o personelu, jacy interesariusze musz膮 by膰 zaanga偶owani we wdra偶anie i migracje chmury?

ZM: Niezale偶nie od tego, czy wdra偶asz now膮 us艂ug臋 w chmurze, czy migrujesz istniej膮cy system do chmury, pracownicy ochrony, programi艣ci, interesariusze biznesowi i odpowiednie kierownictwo wy偶szego szczebla powinni by膰 zaanga偶owani w rozw贸j i wdra偶anie kontroli bezpiecze艅stwa. Podobnie jak w przypadku ci膮g艂o艣ci biznesowej lub planowania na wypadek katastrofy, jest to jedyny spos贸b na zapewnienie odpowiedniej r贸wnowagi mi臋dzy celami biznesowymi a priorytetami bezpiecze艅stwa.

Gdy bezpiecze艅stwo jest wy艂膮czone z tych proces贸w lub kto艣, kto nie ma wiedzy o wcze艣niej istniej膮cych kontrolach i strategiach bezpiecze艅stwa, przejmuje kontrol臋 nad procesem, zwykle prowadzi to do niezamierzonych b艂臋d贸w konfiguracji – co nast臋pnie tworzy sytuacje, kt贸re skutkuj膮 nag艂贸wkami dotycz膮cymi naruszenia zbyt cz臋sto widzie膰. Dlatego tak wa偶ne jest, aby wszyscy interesariusze byli odpowiednio przeszkoleni w zakresie dzia艂a艅 zwi膮zanych z bezpiecze艅stwem i wsp贸lnie pracowali nad wsp贸lnym celem, jakim jest zmniejszenie ryzyka przedsi臋biorstwa.

BN: Czy s膮 jakie艣 inne wskaz贸wki, kt贸rymi mo偶esz si臋 podzieli膰, aby pom贸c organizacjom w zapobieganiu naruszeniom chmury?

ZM: Rozmawiali艣my o zapewnieniu sp贸jno艣ci kontroli i zasad bezpiecze艅stwa w 艣rodowiskach hybrydowych, ale w miar臋 przechodzenia do bardziej dynamicznych 艣rodowisk, w kt贸rych przez ca艂y czas wdra偶ane s膮 nowe technologie i procesy rozwojowe, mo偶e to by膰 niezwykle trudne, je艣li nie niemo偶liwe, zrobi膰 r臋cznie przy zachowaniu odpowiedniego tempa prowadzenia biznesu.

Jednym z bardziej fascynuj膮cych osi膮gni臋膰, kt贸re zrodzi艂y si臋 w wyniku tego konfliktu, jest idea bezpiecze艅stwa opartego na intencji i sieci, kt贸ra tworzy szablony i / lub znaczniki dla polityki bezpiecze艅stwa i projektowania 艣cie偶ek sieciowych. Odsuwa to bezpiecze艅stwo od definiowania ka偶dej nowej aplikacji lub serwera w kierunku definiowania typu aplikacji / serwera, kt贸ry jest nast臋pnie stosowany do r贸偶nych aplikacji / serwer贸w w miar臋 ich tworzenia przez zesp贸艂 programist贸w.

Odpowiednie regu艂y bezpiecze艅stwa s膮 nast臋pnie automatycznie stosowane do tych nowych aplikacji i serwer贸w w oparciu o ich typ, a proces r臋czny jest znacznie skr贸cony. To r贸wnie偶 znacznie u艂atwia zarz膮dzanie zmianami, poniewa偶 zmian臋 charakteru aplikacji lub serwera mo偶na obs艂u偶y膰, po prostu ponownie oznaczaj膮c je lub podmieniaj膮c przypisany szablon.

Podsumowuj膮c, na wysokim poziomie oparte na intencji warstwy zabezpiecze艅 sieci przeznaczone do wdro偶enia, skutecznie wype艂niaj膮c tradycyjn膮 luk臋 mi臋dzy biznesem a bezpiecze艅stwem, umo偶liwiaj膮c w艂a艣cicielom firm i zespo艂om DevOps okre艣lenie celu biznesowego aplikacji (oraz powi膮zanych wymaga艅 dotycz膮cych bezpiecze艅stwa i zgodno艣ci) , jednocze艣nie umo偶liwiaj膮c zespo艂om bezpiecze艅stwa automatyzacj臋 odpowiedzi na 偶膮dania dost臋pu wymagane do wyegzekwowania tego zamiaru. Rezultatem jest ci膮g艂a zgodno艣膰 z intencjami bezpiecze艅stwa przedsi臋biorstwa we wszystkich zasobach IT, w ka偶dym 艣rodowisku komputerowym. Chocia偶 obecnie nie jest to rzeczywisto艣ci膮 dla wielu organizacji, jest to mo偶liwe – i w艂a艣nie tam zmierza bran偶a. Nie ma w膮tpliwo艣ci, 偶e elastyczno艣膰 i szybko艣膰 oferowana przez dostawc贸w us艂ug w chmurze odgrywa kluczow膮 rol臋 w tym ruchu.

Kredyt obrazu: bjonesphoto / depositphotos.com