Хоча хмарна безпека, безумовно, пройшла довгий шлях з часів Дикого Заходу, коли раннє впровадження хмари, правда полягає в тому, що попереду ще довгий шлях, перш ніж більшість сьогоднішніх організацій справді вдосконалять свої практики хмарної безпеки. І це обходиться організаціям у величезні витрати з точки зору інцидентів безпеки.
Дослідження Вансона Борна на початку цього року показали, що майже половина зламів, яких зазнали організації в минулому році, виникла в хмарі. Те саме дослідження показало, що середньостатистична організація втратила майже 4.1 мільйона доларів через злам хмари за останній рік.
Dark Reading нещодавно поспілкувався з хрещеним батьком безпеки з нульовою довірою Джоном Кіндервагом, щоб обговорити сьогоднішній стан хмарної безпеки. Коли він був аналітиком у Forrester Research, Кіндерваг допоміг концептуалізувати та популяризувати модель безпеки нульової довіри. Зараз він є головним проповідником в Illumio, де, незважаючи на свій охоплення, він все ще є прихильником нульової довіри, пояснюючи, що це ключовий спосіб переробити безпеку в епоху хмари. Згідно з Kindervag, організації повинні мати справу з наступними важкими істинами, щоб досягти успіху в цьому.
1. Ви не станете безпечнішим, просто перейшовши в хмару
Один із найбільших міфів про хмару сьогодні полягає в тому, що вона за своєю природою є більш безпечною, ніж більшість локальних середовищ, каже Кіндерваг.
«Існує фундаментальне хибне розуміння хмари, що якимось чином у ній вбудовано більше безпеки, що ви стаєте більш безпечними, переходячи до хмари, просто переходячи до хмари», — каже він.
Проблема полягає в тому, що хоча постачальники гіпермасштабованих хмарних технологій можуть дуже добре захищати інфраструктуру, контроль і відповідальність за стан безпеки їхніх клієнтів є дуже обмеженими.
«Багато людей думають, що вони передають безпеку постачальнику хмарних послуг. Вони думають, що перекладають ризик», — каже він. «У кібербезпеці ви ніколи не можете передати ризик. Якщо ви є зберігачем цих даних, ви завжди є зберігачем даних, незалежно від того, хто зберігає їх для вас».
Ось чому Kindervag не є великим шанувальником часто повторюваної фрази «спільна відповідальність”, що, за його словами, звучить так, ніби існує розподіл праці та зусиль 50-50. Йому більше подобається фраза «нерівне рукостискання”, яку придумав його колишній колега з Forrester Джеймс Стейтен.
«Це фундаментальна проблема полягає в тому, що люди думають, що існує модель спільної відповідальності, а натомість є нерівне рукостискання», — каже він.
2. У гібридному світі важко керувати вбудованими засобами безпеки
Тим часом, давайте поговоримо про ті вдосконалені вбудовані засоби керування безпекою в хмарі, які постачальники створили за останнє десятиліття. Хоча багато постачальників добре попрацювали, пропонуючи клієнтам більше контролю над їхніми робочими навантаженнями, ідентифікацією та видимістю, ця якість непостійна. Як каже Kindervag: «Деякі з них хороші, а деякі ні». Справжня проблема всіх з них полягає в тому, що ними важко керувати в реальному світі, поза межами ізоляції середовища одного постачальника.
«Для цього потрібно багато людей, і вони різні в кожній хмарі. Я думаю, що кожна компанія, з якою я спілкувався протягом останніх п’яти років, має багатохмарну та гібридну моделі, і обидві вони відбуваються одночасно», — каже він. «Гібридна істота: «Я використовую свій локальний матеріал і хмари, я використовую кілька хмар, і я, можливо, використовую кілька хмар, щоб надати доступ до різних мікросервісів для однієї програми». Єдиний спосіб вирішити цю проблему — мати контроль безпеки, яким можна керувати в усіх хмарах».
За його словами, це один із важливих факторів, що спонукають до дискусій про перенесення нульової довіри в хмару.
«Нульова довіра працює незалежно від того, куди ви розміщуєте дані чи активи. Це може бути в хмарі. Це може бути локально. Це може бути на кінцевій точці», — каже він.
3. Ідентичність не врятує вашу хмару
У наш час так багато уваги приділяється управлінню ідентифікацією в хмарі та непропорційну увагу компоненту ідентифікації в умовах нульової довіри, організаціям важливо розуміти, що ідентифікація є лише частиною добре збалансованого сніданку для нульової довіри до хмари.
«Здебільшого наратив нульової довіри стосується ідентичності, ідентичності, ідентичності», — каже Кіндерваг. «Ідентичність важлива, але ми використовуємо ідентичність у політиці без довіри. Це не кінець усього, будь-все. Це не вирішує всіх проблем».
Kindervag має на увазі те, що з моделлю нульової довіри облікові дані автоматично не дають користувачам доступ до будь-чого під сонцем у певній хмарі чи мережі. Політика точно обмежує, що і коли надається доступ до певних активів. Kindervag був давнім прихильником сегментації — мереж, робочих навантажень, активів, даних — задовго до того, як він почав розробляти модель нульової довіри. Як він пояснює, суть визначення доступу з нульовою довірою за допомогою політики полягає в розподілі речей на «захисні поверхні», оскільки рівень ризику різних типів користувачів, які отримують доступ до кожної захисної поверхні, визначатиме політики, які будуть додані до будь-яких облікових даних.
«Це моя місія полягає в тому, щоб змусити людей зосередитися на тому, що їм потрібно захистити, розміщувати ці важливі речі в різних захисних поверхнях, наприклад база даних вашої кредитної картки PCI має бути на власній захисній поверхні. Ваша база даних кадрів має бути у власній захисній поверхні. Ваш HMI для вашої системи IoT або системи OT має бути на власній захисній поверхні», — каже він. «Коли ми розбиваємо проблему на ці невеликі частини, ми вирішуємо їх по черзі, і ми виконуємо їх одну за одною. Це робить його набагато більш масштабованим і здійсненним».
4. Занадто багато компаній не знають, що вони намагаються захистити
Коли організації вирішують, як сегментувати свої захисні поверхні в хмарі, їм спочатку потрібно чітко визначити, що саме вони намагаються захистити. Це надзвичайно важливо, оскільки кожен актив, система чи процес несе власний унікальний ризик, і це визначатиме політику доступу та жорсткість навколо нього. Жарт полягає в тому, що ви не побудуєте сховище в 1 мільйон доларів, щоб умістити кілька сотень пенні. Хмара, еквівалентна цьому, помістить тонни захисту навколо хмарного активу, який ізольований від конфіденційних систем і не містить конфіденційної інформації.
У Kindervag кажуть, що для організацій надзвичайно часто не мають чіткого уявлення про те, що вони захищають у хмарі чи за його межами. Насправді більшість організацій сьогодні навіть не обов’язково мають чітке уявлення про те, що саме є в хмарі або що з’єднується з хмарою, не кажучи вже про те, що потребує захисту. Наприклад, дослідження Cloud Security Alliance показує, що лише 23% організацій мають повний доступ до хмарних середовищ. А дослідження Illumio, проведене на початку цього року, показує, що 46% організацій не мають повної видимості підключення хмарних служб своєї організації.
«Люди не думають про те, чого вони насправді намагаються досягти, що вони намагаються захистити», – каже він. Це фундаментальна проблема, яка змушує компанії витрачати багато грошей на безпеку без належного налаштування захисту в процесі, пояснює Кіндерваг. «Вони прийдуть до мене і скажуть: «Нульова довіра не працює», а я запитаю: «Ну, що ти намагаєшся захистити?» і вони скажуть: «Я ще не думав про це», а я відповім: «Ну, тоді ти навіть близько не початок процесу нульової довіри. '"
5. Стимули для розробки нативних хмар не працюють
Практики DevOps і власну хмарну розробку значно покращили завдяки швидкості, масштабованості та гнучкості, які надають їм хмарні платформи та інструменти. Якщо безпека належним чином включена в цю суміш, можуть статися хороші речі. Але Kindervag каже, що більшість організацій-розробників не мають належного стимулу до цього — а це означає, що хмарна інфраструктура та всі додатки, які на ній базуються, піддаються ризику в процесі.
«Мені подобається говорити, що люди, які розробляють програму DevOps, — це Рікі Боббі ІТ. Вони просто хочуть їхати швидко. Я пам’ятаю, як розмовляв із керівником відділу розробки в компанії, яку зрештою зламали, і я запитав його, що він робить щодо безпеки. А він сказав: «Нічого, я не дбаю про безпеку», — розповідає Кіндерваг. «Я запитав: «Як можна не дбати про безпеку?» і він каже: «Тому що я не маю KPI для цього. Мій KPI говорить, що я повинен робити п’ять поштовхів на день у своїй команді, і якщо я цього не зроблю, я не отримаю бонус».
Кіндерваг каже, що це ілюстрація однієї з великих проблем не лише в AppSec, а й у переході до нульової довіри для хмари та за її межами. Надто багато організацій просто не мають правильних структур стимулів, щоб реалізувати це — і насправді багато хто має спотворені стимули, які в кінцевому підсумку заохочують до небезпечної практики.
Ось чому він виступає за створення на підприємствах центрів передового досвіду з нульовою довірою, які включають не лише технологів, а й бізнес-лідерів у процесах планування, проектування та поточного прийняття рішень. За його словами, коли ці міжфункціональні команди зустрічаються, він бачить, як «структури заохочення змінюються в реальному часі», коли потужний бізнес-керівник виступає вперед, щоб сказати, що організація збирається рухатися в цьому напрямку.
«Найуспішнішими ініціативами «нульової довіри» були ті, у яких залучалися бізнес-лідери», — каже Кіндерваг. «У мене був такий випадок у виробничій компанії, де виконавчий віце-президент — один із вищих керівників компанії — став поборником трансформації нульової довіри до виробничого середовища. Це пройшло дуже гладко, тому що не було інгібіторів».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
- : має
- :є
- : ні
- :де
- $ 1 мільйонів
- $UP
- 1
- 2024
- 7
- a
- МЕНЮ
- доступ
- доступ до
- виконувати
- За
- Achieve
- через
- Діяти
- насправді
- Прийняття
- адвокат
- доступний
- після
- ВСІ
- Альянс
- майже
- тільки
- Також
- завжди
- Серед
- an
- аналітик
- та
- Інший
- відповідь
- будь-який
- все
- додаток
- додаток
- застосування
- відповідним чином
- ЕСТЬ
- арен
- навколо
- AS
- запитати
- запитувач
- активи
- Активи
- At
- увагу
- автоматично
- середній
- BE
- бути всім
- стали
- оскільки
- ставати
- було
- перед тим
- почалася
- буття
- За
- Великий
- найбільший
- бонус
- обидва
- порушення
- Перерва
- сніданок
- будувати
- Створюємо
- побудований
- бізнес
- Бізнес-лідери
- але
- by
- CAN
- карта
- який
- нести
- спійманий
- Причини
- Центри
- звичайно
- чемпіон
- зміна
- головний
- ясно
- очевидно
- близько
- хмара
- прийняття хмари
- інфраструктура хмари
- Хмара безпеки
- хмарні сервіси
- придуманий
- колега
- Приходити
- загальний
- Компанії
- компанія
- компонент
- зв'язок
- з'єднує
- споживати
- контроль
- управління
- може
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- кредит
- кредитна картка
- міжфункціональні команди
- вирішальне значення
- зберігач
- клієнт
- Клієнти
- Кібербезпека
- дані
- Database
- день
- Днів
- угода
- десятиліття
- вирішувати
- Прийняття рішень
- визначати
- визначаючи
- доставляти
- дизайн
- Визначати
- розробка
- різний
- напрям
- обговорювати
- обговорення
- непропорційний
- Роздільна
- do
- байдуже
- справи
- Дон
- зроблений
- водіння
- кожен
- Раніше
- Рано
- зусилля
- акцент
- заохочення
- кінець
- Кінцева точка
- підвищена
- підприємств
- Навколишнє середовище
- середовищах
- Еквівалент
- Епоха
- Євангеліст
- Навіть
- врешті-решт
- Кожен
- точно
- приклад
- Перевага
- виконавчий
- пояснюючи
- Пояснює
- факт
- фактори
- вентилятор
- ШВИДКО
- кілька
- фірми
- Перший
- п'ять
- Гнучкість
- Сфокусувати
- після
- для
- Колишній
- Forrester
- Вперед
- знайдений
- від
- Повний
- фундаментальний
- отримати
- Давати
- даний
- Go
- буде
- добре
- хороша робота
- є
- значно
- було
- Половина
- траплятися
- Відбувається
- Жорсткий
- Мати
- притулок
- he
- голова
- Серце
- допоміг
- його
- його
- HMI
- проведення
- будинок
- Як
- How To
- hr
- HTTPS
- сто
- гібрид
- гібридна модель
- i
- ідея
- тотожності
- Особистість
- управління ідентифікацією
- if
- важливо
- поліпшений
- in
- Стимул
- стимули
- заохочений
- включати
- неймовірно
- інформація
- Інфраструктура
- ініціативи
- небезпечно
- замість
- в
- залучений
- КАТО
- isn
- ізольований
- ізоляція
- питання
- IT
- ЙОГО
- Джеймс
- робота
- Джон
- жарт
- JPG
- просто
- ключ
- види
- Знати
- праця
- останній
- Минулого року
- шаруватий
- Лідери
- Керівництво
- дозволяти
- рівень
- як
- обмеженою
- рамки
- ll
- Довго
- втрачений
- серія
- зробити
- РОБОТИ
- управляти
- вдалося
- управління
- виробництво
- багато
- відображення
- Матерія
- Може..
- me
- засоби
- Зустрічатися
- мікросервіс
- мільйона
- Місія
- непорозуміння
- змішувати
- модель
- гроші
- більше
- найбільш
- рухатися
- переміщення
- багато
- множинний
- повинен
- my
- Міфи
- NARRATIVE
- рідний
- спочатку
- обов'язково
- Необхідність
- потреби
- мережу
- мереж
- ніколи
- немає
- нічого
- зараз
- of
- пропонує
- on
- ONE
- ті,
- постійний
- тільки
- or
- порядок
- організація
- організації
- виникла
- ot
- з
- пропаганда
- Аутсорсинг
- над
- власний
- частина
- Минуле
- Люди
- планування
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- Політика
- політика
- потужний
- практика
- практики
- президент
- Проблема
- проблеми
- процес
- процеси
- правильно
- прихильник
- захист
- захищає
- захист
- Постачальник
- провайдери
- штовхає
- put
- Поклавши
- якість
- RE
- читання
- реальний
- Реальний світ
- реального часу
- нещодавно
- переконструювати
- запам'ятати
- дослідження
- відповідальність
- REST
- право
- Risk
- s
- Зазначений
- то ж
- зберегти
- say
- говорить
- масштабованість
- масштабовані
- безпечний
- безпеку
- бачив
- сегмент
- сегментація
- чутливий
- Послуги
- установка
- загальні
- Повинен
- показав
- Шоу
- просто
- з
- один
- невеликий
- плавно
- So
- ВИРІШИТИ
- деякі
- якось
- Звучати
- конкретний
- швидкість
- стан
- заходи
- Кроки вперед
- Як і раніше
- структур
- Вивчення
- успіх
- успішний
- страждав
- Sun
- поверхню
- система
- Systems
- приймає
- балаканина
- говорити
- команда
- команди
- технологів
- terms
- ніж
- Що
- Команда
- Держава
- їх
- Їх
- потім
- Там.
- Ці
- вони
- речі
- думати
- це
- У цьому році
- ті
- думка
- через
- час
- до
- сьогодні
- Тон
- занадто
- топ
- переклад
- Передача
- Перетворення
- Величезно
- по-справжньому
- Довіряйте
- Правда
- намагається
- при
- розуміти
- створеного
- на
- користувачі
- використання
- різний
- склеп
- Ve
- дуже
- віце
- Віцепрезидент
- видимість
- хотіти
- було
- Відходи
- шлях..
- we
- ДОБРЕ
- пішов
- були
- West
- Що
- коли
- який
- в той час як
- ВООЗ
- чому
- Wild
- Дикий Захід
- волі
- з
- в
- без
- Виграв
- робочий
- працює
- світ
- б
- хіба що
- рік
- років
- ще
- Ти
- вашу
- зефірнет
- нуль
- нульова довіра