जैसे-जैसे संगठन तेजी से अपने डेटा और कार्यभार को क्लाउड पर स्थानांतरित कर रहे हैं, क्लाउड पहचान सुरक्षित करना सर्वोपरि हो गया है। पहचान क्लाउड संसाधनों तक पहुंचने की कुंजी है, और यदि समझौता किया जाता है, तो वे हमलावरों को संवेदनशील डेटा और सिस्टम तक पहुंच प्राप्त करने में सक्षम बनाते हैं।
आज हम जो अधिकांश हमले देखते हैं, वे क्लाइंट-साइड हमले होते हैं, जिसमें हमलावर किसी के खाते से समझौता करते हैं और अपने विशेषाधिकारों का उपयोग पार्श्व में स्थानांतरित करने और संवेदनशील डेटा और संसाधनों तक पहुंचने के लिए करते हैं। इसे रोकने के लिए, आपको अपने क्लाउड की पहचान संरचना में दृश्यता की आवश्यकता है। जब तक आप उन सभी लोगों और वस्तुओं की पहचान नहीं जानते जो सिस्टम तक पहुंच रहे हैं, उनकी अनुमतियां और उनके रिश्ते, आपके पास अपने जोखिम का प्रभावी ढंग से आकलन करने और निवारक उपाय करने के लिए आवश्यक संदर्भ नहीं होगा।
कई हाई-प्रोफ़ाइल हमले इस समस्या को दर्शाते हैं। एक समझौता किए गए क्लाउड पहचान ने हमलावरों को पहुंच प्रदान की सोलरविंड्स का ओरियन सॉफ्टवेयर, जहां उन्होंने सरकारी एजेंसियों और फॉर्च्यून 500 कंपनियों सहित अपने हजारों ग्राहकों के लिए दुर्भावनापूर्ण कोड तैनात किया। एक और उदाहरण है माइक्रोसॉफ्ट एक्सचेंज पर हमला, जिसमें हमलावरों ने ईमेल खातों तक पहुंच प्राप्त करने के लिए एक्सचेंज में एक भेद्यता का फायदा उठाया। वहां से, उन्होंने संवेदनशील डेटा चुराया और अन्य खातों से समझौता करने के प्रयास में फ़िशिंग ईमेल भेजे।
क्लाउड को सुरक्षित करने के लिए, मैं व्यावहारिक जोखिम के रूप में जाने जाने वाले दृष्टिकोण को लागू करने की सलाह देता हूं, जो सुरक्षा चिकित्सकों को पहचान के बीच संबंधों और उनके विशिष्ट वातावरण में खतरों के डाउनस्ट्रीम प्रभावों के बारे में प्रासंगिक डेटा के आधार पर निवारक कार्यों के बारे में निर्णय लेने की अनुमति देता है। व्यावहारिक जोखिम अपनाने के लिए यहां कुछ व्यावहारिक सुझाव दिए गए हैं।
क्लाउड सुरक्षा को एक सुरक्षा परियोजना के रूप में मानें, अनुपालन अभ्यास के रूप में नहीं
शुरुआत के लिए, अपनी मानसिकता बदलें। क्लाइंट-सर्वर कंप्यूटिंग के सरल दिन गए। क्लाउड वातावरण डेटा, उपयोगकर्ताओं, सिस्टम और उन सभी के बीच इंटरैक्शन की एक जटिल प्रणाली है।
यदि आप यह नहीं समझते हैं कि सब कुछ एक साथ कैसे काम करता है, तो बक्सों की एक श्रृंखला की जाँच करने से अधिक सुरक्षा नहीं मिलेगी। अधिकांश टीमें निवारक सुरक्षा के प्रति एक दिशाहीन दृष्टिकोण अपनाती हैं और वर्षों पहले लागू की गई प्राथमिकता और सुधारात्मक रणनीति पर अंध विश्वास करती हैं। फिर भी सुरक्षा के लिए संगठन के व्यापक जोखिम जोखिम के आधार पर प्रत्येक सुरक्षा टीम के अनुरूप एक विशिष्ट दृष्टिकोण की आवश्यकता होती है। सुरक्षा विक्रेता से प्राप्त प्रत्येक "महत्वपूर्ण" चेतावनी आवश्यक रूप से उस विशिष्ट वातावरण के लिए सबसे बड़ा जोखिम नहीं है।
निवारण को सटीक रूप से प्राथमिकता देने और जोखिम को कम करने के लिए, आपको संपूर्ण हमले की सतह पर विचार करना चाहिए। एक्सपोज़र, परिसंपत्तियों और उपयोगकर्ताओं के बीच संबंधों को समझने से आपको यह निर्धारित करने में मदद मिलती है कि कौन से मुद्दे सबसे बड़ा जोखिम पैदा करते हैं। जब आप अतिरिक्त संदर्भ को ध्यान में रखते हैं, तो "महत्वपूर्ण" निष्कर्ष सबसे बड़ा मुद्दा नहीं हो सकता है।
अपने क्लाउड आइडेंटिटी इंफ्रास्ट्रक्चर में दृश्यता प्राप्त करें
अगला, दृश्यता महत्वपूर्ण है. लागू जोखिम की विश्वसनीय पहचान करने के लिए, आपको अपने क्लाउड पहचान बुनियादी ढांचे में सभी पहचान और पहुंच नियंत्रण बिंदुओं का व्यापक ऑडिट करना चाहिए। आपको यह जानना होगा कि आपके वातावरण में कौन से संसाधन हैं, चाहे वे क्लाउड में हों या ऑन-प्रिमाइसेस में, उनका प्रावधान और कॉन्फ़िगर कैसे किया जाता है, और अन्य चर।
क्लाउड को सुरक्षित करते समय, आप न केवल यह देख सकते हैं कि क्लाउड-विशिष्ट संसाधनों को कैसे कॉन्फ़िगर किया गया है - आपको पहचान पहलू का ऑडिट करना होगा: उदाहरण के लिए वर्चुअल मशीन (वीएम), सर्वर रहित फ़ंक्शन, कुबेरनेट्स क्लस्टर और कंटेनर। एक व्यवस्थापक के पास AWS से जुड़ा एक खाता, उनके स्थानीय सिस्टम में लॉग इन करने के लिए एक अलग भूमिका वाला एक सक्रिय निर्देशिका खाता, GitHub पर एक खाता, एक सेल्सफोर्स खाता आदि हो सकता है। आपको मशीनों की स्वच्छता जैसी चीजों पर भी विचार करना होगा। डेवलपर्स, DevOps और IT टीमें उपयोग कर रही हैं। एक DevOps इंजीनियर पर एक सफल फ़िशिंग हमला आपके क्लाउड वातावरण की सुरक्षा स्थिति पर व्यापक प्रभाव डाल सकता है।
वहां से, आपको पहचान और उनके द्वारा एक्सेस की जाने वाली प्रणालियों के बीच संबंधों को मैप करना चाहिए। यह आपकी आक्रमण सतह को समझने का एक महत्वपूर्ण हिस्सा है। क्लाउड-नेटिव एप्लिकेशन सुरक्षा प्लेटफ़ॉर्म (CNAPPs) इसमें मदद करने के लिए डिज़ाइन किया गया है। एक मजबूत CNAPP प्लेटफ़ॉर्म होने से सुरक्षा टीम को किसी विशेष पहचान के आसपास असामान्य व्यवहार का पता लगाने और कॉन्फ़िगरेशन में गड़बड़ी शुरू होने पर पता लगाने की क्षमता मिलती है।
अपनी अलग-अलग टीमों को संरेखित करें
एक बार जब आपकी पहचान और रिश्ते तय हो जाएं, तो आपको यह निर्धारित करने के लिए कि आप कहां सबसे ज्यादा असुरक्षित हैं, उन्हें कमजोरियों और गलत कॉन्फ़िगरेशन से जोड़ना होगा और लागू जोखिम की मात्रा निर्धारित करना शुरू करना होगा। इसके बिना आप कोई प्रभावी निवारण रणनीति नहीं बना सकते।
लेकिन डेटा और रणनीति आपको केवल इतनी ही दूर तक ले जाएगी। टीमें साइलो में काम करती हैं, और प्रत्येक टीम अपने द्वारा उपयोग किए जा रहे विशिष्ट सॉफ़्टवेयर के आधार पर प्राथमिकता वाले कार्यों का पालन करती है, अन्य टीमों के साथ संचार किए बिना या जोखिम को कम करने के लिए समग्र दृष्टिकोण पर संरेखण के बिना। चूँकि हर हमले की सतह एक जैसी नहीं होती, इसलिए आपको संगठन की संरचना करने की आवश्यकता है ताकि विभिन्न कौशल सेट अपने वातावरण के लिए विशिष्ट चर के आधार पर शमनात्मक कार्रवाई कर सकें।
जब टीमों को अधिक निकटता से जोड़ा जाता है, तो संगठनात्मक जोखिम कम हो जाता है। मान लीजिए कि आपके पास एक है क्रॉस-साइट स्क्रिप्टिंग भेद्यता आपके किसी वेब एप्लिकेशन में. क्या उस एप्लिकेशन को चलाने वाले बुनियादी ढांचे से जुड़े किसी भी सुरक्षा या कॉन्फ़िगरेशन मुद्दे को प्राथमिकता देना उचित नहीं होगा? इसका उलटा भी सत्य है. क्या उत्पादन में या इंटरनेट पर चल रही भेद्यता बनाम शोषण की कोई संभावना के बिना विकास वातावरण में चल रही भेद्यता को संबोधित करना अधिक समझ में नहीं आता है?
कारण का एक बड़ा हिस्सा सुरक्षा दल इन साइलो में काम करते हैं ऐसा इसलिए है क्योंकि विक्रेता परिदृश्य ने उन्हें इस तरह से काम करने के लिए मजबूर किया है। हाल तक, जो चीजें मैं यहां प्रस्तावित कर रहा हूं उन्हें करने का कोई तरीका नहीं था - कम से कम किसी और के लिए नहीं, बल्कि उन 1% संगठनों के लिए जिनके पास विशाल सुरक्षा बजट है और इन-हाउस उपकरण और टीमें हैं।
संक्षेप में, पहचान की रक्षा करना - क्लाउड और अन्यथा - एक समग्र सुरक्षा, लागू जोखिम दृष्टिकोण के अनुपालन से मानसिकता में बदलाव को अपनाने की आवश्यकता है जिसमें CNAPP के साथ आपके क्लाउड बुनियादी ढांचे में दृश्यता प्राप्त करना और प्राथमिकता निवारण पर विभिन्न टीमों को संरेखित करना शामिल है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/edge/securing-cloud-identities-to-protect-assets-and-minimize-risk
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- 500
- a
- क्षमता
- About
- पहुँच
- तक पहुँचने
- लेखा
- अकौन्टस(लेखा)
- सही रूप में
- कार्य
- कार्रवाई
- सक्रिय
- अतिरिक्त
- पता
- व्यवस्थापक
- अपनाने
- सलाह देना
- एजेंसियों
- पूर्व
- चेतावनी
- पंक्ति में करनेवाला
- संरेखण
- सब
- की अनुमति देता है
- भी
- an
- और
- अन्य
- कोई
- किसी
- आवेदन
- अनुप्रयोगों
- लागू
- दृष्टिकोण
- हैं
- चारों ओर
- AS
- पहलू
- आकलन
- संपत्ति
- जुड़े
- At
- आक्रमण
- आक्रमण
- करने का प्रयास
- आडिट
- एडब्ल्यूएस
- आधारित
- BE
- क्योंकि
- बन
- किया गया
- व्यवहार
- पहले से शर्त करना
- के बीच
- सबसे बड़ा
- बक्से
- लाना
- व्यापक
- बजट
- बनाया गया
- लेकिन
- कर सकते हैं
- संयोग
- निकट से
- बादल
- क्लाउड इन्फ्रास्ट्रक्चर
- कोड
- संचार
- कंपनियों
- अनुपालन
- जटिल
- व्यापक
- समझौता
- छेड़छाड़ की गई
- कंप्यूटिंग
- विन्यास
- कॉन्फ़िगर किया गया
- विचार करना
- कंटेनरों
- प्रसंग
- प्रासंगिक
- नियंत्रण
- युग्मित
- बनाना
- महत्वपूर्ण
- ग्राहक
- तिथि
- दिन
- निर्णय
- तैनात
- बनाया गया
- पता लगाना
- निर्धारित करना
- देव
- डेवलपर्स
- विभिन्न
- do
- कर देता है
- डॉन
- ड्रॉप
- से प्रत्येक
- प्रभावी
- प्रभावी रूप से
- ईमेल
- ईमेल
- सक्षम
- इंजीनियर
- संपूर्ण
- वातावरण
- वातावरण
- आदि
- प्रत्येक
- सब कुछ
- उदाहरण
- एक्सचेंज
- शोषण
- शोषित
- अनावरण
- आस्था
- दूर
- खोज
- इस प्रकार है
- के लिए
- धन
- से
- कार्यों
- लाभ
- पाने
- दे दिया
- GitHub
- देता है
- चला गया
- सरकार
- सरकारी एजेंसियों
- अधिक से अधिक
- अधिक सुरक्षा
- अधिकतम
- है
- होने
- मदद
- यहाँ उत्पन्न करें
- उच्च प्रोफ़ाइल
- समग्र
- कैसे
- HTTPS
- i
- पहचान करना
- पहचान
- पहचान
- if
- समझाना
- प्रभाव
- Impacts
- कार्यान्वयन
- महत्वपूर्ण
- in
- सहित
- तेजी
- इंफ्रास्ट्रक्चर
- उदाहरण
- बातचीत
- इंटरनेट
- में
- मुद्दा
- मुद्दों
- IT
- जेपीजी
- कुंजी
- Instagram पर
- बच्चा
- जानना
- जानने वाला
- परिदृश्य
- बड़ा
- कम से कम
- चलो
- पसंद
- स्थानीय
- लॉग इन
- देखिए
- मशीनें
- बनाना
- नक्शा
- विशाल
- मई..
- उपायों
- मानसिकता
- कम से कम
- अधिक
- अधिकांश
- चाल
- चाहिए
- अनिवार्य रूप से
- आवश्यक
- आवश्यकता
- नहीं
- संख्या
- वस्तुओं
- of
- on
- ONE
- केवल
- संचालित
- or
- संगठन
- संगठनात्मक
- संगठनों
- अन्य
- अन्यथा
- आउट
- आला दर्जे का
- भाग
- विशेष
- स्टाफ़
- अनुमतियाँ
- फ़िशिंग
- फिशिंग अटैक
- जगह
- मंच
- प्लेटफार्म
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- अंक
- ढोंग
- व्यावहारिक
- को रोकने के
- प्राथमिकता
- प्राथमिकता
- प्राथमिकता
- विशेषाधिकारों
- मुसीबत
- उत्पादन
- परियोजना
- प्रस्ताव
- रक्षा करना
- संरक्षण
- सुरक्षा
- रखना
- लाना
- RE
- कारण
- हाल ही में
- को कम करने
- संबंध
- रिश्ते
- की आवश्यकता होती है
- उपयुक्त संसाधन चुनें
- जोखिम
- भूमिका
- दौड़ना
- s
- salesforce
- वही
- कहना
- हासिल करने
- सुरक्षा
- देखना
- भावना
- संवेदनशील
- भेजा
- कई
- serverless
- सेट
- पाली
- चाहिए
- साइलो
- सरल
- बैठक
- कौशल
- So
- अब तक
- सॉफ्टवेयर
- कुछ
- कोई
- विशिष्ट
- प्रारंभ
- चुरा लिया
- स्ट्रेटेजी
- मजबूत
- संरचना
- सफल
- सतह
- प्रणाली
- सिस्टम
- अनुरूप
- लेना
- टीम
- टीमों
- कि
- RSI
- लेकिन हाल ही
- उन
- वहाँ।
- इन
- वे
- चीज़ें
- इसका
- हजारों
- धमकी
- टाई
- बंधा होना
- सुझावों
- सेवा मेरे
- आज
- एक साथ
- उपकरण
- <strong>उद्देश्य</strong>
- समझना
- समझ
- जब तक
- उपयोग
- उपयोगकर्ताओं
- का उपयोग
- व्यापक
- विक्रेता
- बनाम
- वास्तविक
- दृश्यता
- दृष्टि
- कमजोरियों
- भेद्यता
- चपेट में
- मार्ग..
- we
- वेब
- वेब अनुप्रयोग
- क्या
- कब
- या
- कौन कौन से
- मर्जी
- साथ में
- बिना
- जीत लिया
- काम
- कार्य
- नहीं
- साल
- अभी तक
- आप
- आपका
- जेफिरनेट