کلاؤڈ سیکیورٹی 5 کی حالت کے بارے میں 2024 سخت سچائیاں

کلاؤڈ سیکیورٹی 5 کی حالت کے بارے میں 2024 سخت سچائیاں

ٹائم سٹیمپ: 23 اپریل 2024 دوپہر 4:47 بجے
کلاؤڈ سیکیورٹی 5 کی حالت کے بارے میں 2024 سخت سچائیاں PlatoBlockchain ڈیٹا انٹیلی جنس۔ عمودی تلاش۔ عی

اگرچہ کلاؤڈ سیکیورٹی یقینی طور پر ابتدائی کلاؤڈ اپنانے کے جنگلی مغربی دنوں کے بعد سے ایک لمبا فاصلہ طے کرچکی ہے، سچائی یہ ہے کہ آج کی زیادہ تر تنظیموں کے اپنے کلاؤڈ سیکیورٹی کے طریقوں کو صحیح معنوں میں پختہ کرنے سے پہلے بہت طویل سفر طے کرنا ہے۔ اور یہ تنظیموں کو سیکورٹی کے واقعات کے لحاظ سے بہت زیادہ مہنگا پڑ رہا ہے۔

وینسن بورن کا مطالعہ اس سال کے شروع میں ظاہر ہوا ہے کہ پچھلے سال میں تنظیموں کی طرف سے تقریباً نصف خلاف ورزیاں بادل سے ہوئی ہیں۔ اسی مطالعے سے پتا چلا ہے کہ اوسط تنظیم کو گزشتہ سال بادل کی خلاف ورزیوں سے تقریباً 4.1 ملین ڈالر کا نقصان ہوا۔

ڈارک ریڈنگ نے حال ہی میں زیرو ٹرسٹ سیکیورٹی کے گاڈ فادر جان کنڈرواگ کے ساتھ آج کلاؤڈ سیکیورٹی کی حالت پر تبادلہ خیال کیا۔ جب وہ Forrester Research میں تجزیہ کار تھے، Kindervag نے زیرو ٹرسٹ سیکیورٹی ماڈل کو تصور کرنے اور اسے مقبول بنانے میں مدد کی۔ اب وہ Illumio میں چیف مبشر ہیں، جہاں ان کی رسائی کے دوران وہ اب بھی صفر اعتماد کے حامی ہیں، یہ وضاحت کرتے ہوئے کہ یہ کلاؤڈ دور میں سیکیورٹی کو دوبارہ ڈیزائن کرنے کا ایک اہم طریقہ ہے۔ کنڈرواگ کے مطابق، تنظیموں کو اس کے ساتھ کامیابی حاصل کرنے کے لیے درج ذیل سخت سچائیوں سے نمٹنا چاہیے۔

1. آپ صرف کلاؤڈ پر جانے سے زیادہ محفوظ نہیں بن جاتے ہیں۔

Kindervag کا کہنا ہے کہ کلاؤڈ کے بارے میں آج کی سب سے بڑی خرافات میں سے ایک یہ ہے کہ یہ زیادہ تر آن پریمیسس ماحول سے زیادہ محفوظ ہے۔

"کلاؤڈ کے بارے میں ایک بنیادی غلط فہمی ہے کہ کسی نہ کسی طرح اس میں مقامی طور پر زیادہ سیکیورٹی موجود ہے، کہ آپ صرف کلاؤڈ پر جانے کے عمل سے زیادہ محفوظ ہیں،" وہ کہتے ہیں۔

مسئلہ یہ ہے کہ اگرچہ ہائپر اسکیل کلاؤڈ فراہم کرنے والے بنیادی ڈھانچے کی حفاظت میں بہت اچھے ہوسکتے ہیں، لیکن ان کے گاہک کی حفاظتی پوزیشن پر کنٹرول اور ذمہ داری بہت محدود ہے۔

"بہت سارے لوگ سوچتے ہیں کہ وہ کلاؤڈ فراہم کرنے والے کو سیکیورٹی آؤٹ سورس کر رہے ہیں۔ وہ سوچتے ہیں کہ وہ خطرے کو منتقل کر رہے ہیں، "وہ کہتے ہیں۔ "سائبر سیکیورٹی میں، آپ کبھی بھی خطرے کو منتقل نہیں کر سکتے۔ اگر آپ اس ڈیٹا کے نگہبان ہیں، تو آپ ہمیشہ ڈیٹا کے نگہبان ہوتے ہیں، اس سے کوئی فرق نہیں پڑتا ہے کہ اسے آپ کے لیے کون رکھتا ہے۔

یہی وجہ ہے کہ کنڈرواگ بار بار دہرائے جانے والے جملے کا بڑا پرستار نہیں ہے۔مشترکہ ذمہ داری"جسے وہ کہتے ہیں کہ ایسا لگتا ہے کہ محنت اور کوشش کی 50-50 تقسیم ہے۔ وہ اس جملے کو ترجیح دیتا ہے "ناہموار مصافحہ، جسے فارسٹر میں ان کے سابق ساتھی جیمز سٹیٹن نے تیار کیا تھا۔

"یہ بنیادی مسئلہ ہے، کیا لوگ سمجھتے ہیں کہ مشترکہ ذمہ داری کا ماڈل ہے، اور اس کے بجائے ایک ناہموار مصافحہ ہے،" وہ کہتے ہیں۔

2. ایک ہائبرڈ دنیا میں مقامی سیکیورٹی کنٹرولز کا انتظام کرنا مشکل ہے۔

دریں اثنا، آئیے ان بہتر مقامی کلاؤڈ سیکیورٹی کنٹرولز کے بارے میں بات کرتے ہیں جو فراہم کنندگان نے گزشتہ دہائی کے دوران بنائے ہیں۔ اگرچہ بہت سے فراہم کنندگان نے گاہکوں کو ان کے کام کے بوجھ، شناخت اور مرئیت پر زیادہ کنٹرول کی پیشکش کرتے ہوئے ایک اچھا کام کیا ہے، لیکن یہ معیار متضاد ہے۔ جیسا کہ کنڈرواگ کہتے ہیں، "ان میں سے کچھ اچھے ہیں، ان میں سے کچھ نہیں ہیں۔" ان سب میں اصل مسئلہ یہ ہے کہ کسی ایک فراہم کنندہ کے ماحول سے الگ تھلگ رہنے سے ہٹ کر حقیقی دنیا میں ان کا انتظام کرنا مشکل ہے۔

"یہ کرنے میں بہت سارے لوگوں کی ضرورت ہوتی ہے، اور وہ ہر ایک بادل میں مختلف ہوتے ہیں۔ میرے خیال میں ہر کمپنی جس سے میں نے پچھلے پانچ سالوں میں بات کی ہے اس میں ملٹی کلاؤڈ اور ایک ہائبرڈ ماڈل ہے، دونوں ایک ہی وقت میں ہو رہے ہیں،" وہ کہتے ہیں۔ ہائبرڈ ہونے کے ناطے، 'میں اپنی آن پریمیسس چیزیں اور بادل استعمال کر رہا ہوں، اور میں ایک سے زیادہ کلاؤڈز استعمال کر رہا ہوں، اور میں ایک ہی ایپلیکیشن کے لیے مختلف مائیکرو سروسز تک رسائی فراہم کرنے کے لیے ایک سے زیادہ کلاؤڈز استعمال کر رہا ہوں۔' اس مسئلے کو حل کرنے کا واحد طریقہ یہ ہے کہ ایک سیکیورٹی کنٹرول ہو جسے تمام متعدد بادلوں میں منظم کیا جا سکتا ہے۔

وہ کہتے ہیں کہ یہ صفر اعتماد کو بادل پر منتقل کرنے کے بارے میں بات چیت کرنے والے بڑے عوامل میں سے ایک ہے۔

"زیرو ٹرسٹ کام کرتا ہے اس سے کوئی فرق نہیں پڑتا ہے کہ آپ ڈیٹا یا اثاثے کہاں رکھتے ہیں۔ یہ بادل میں ہوسکتا ہے۔ یہ آن پریمیسس ہو سکتا ہے۔ یہ ایک اختتامی نقطہ پر ہوسکتا ہے، "وہ کہتے ہیں.

3. شناخت آپ کے کلاؤڈ کو محفوظ نہیں کرے گی۔

ان دنوں کلاؤڈ شناخت کے انتظام پر بہت زیادہ زور دینے کے ساتھ، اور صفر اعتماد میں شناخت کے جزو پر غیر متناسب توجہ کے ساتھ، تنظیموں کے لیے یہ سمجھنا ضروری ہے کہ شناخت بادل پر صفر اعتماد کے لیے صرف ایک متوازن ناشتے کا حصہ ہے۔

Kindervag کا کہنا ہے کہ "زیرو ٹرسٹ بیانیہ کا زیادہ تر حصہ شناخت، شناخت، شناخت کے بارے میں ہے۔" "شناخت اہم ہے، لیکن ہم شناخت کو پالیسی میں صفر اعتماد میں استعمال کرتے ہیں۔ یہ سب کچھ نہیں ہے، سب کچھ ہے۔ اس سے تمام مسائل حل نہیں ہوتے۔"

Kindervag کا مطلب یہ ہے کہ زیرو ٹرسٹ ماڈل کے ساتھ، اسناد صارفین کو کسی کلاؤڈ یا نیٹ ورک کے اندر سورج کے نیچے کسی بھی چیز تک خود بخود رسائی نہیں دیتی ہیں۔ پالیسی بالکل اس بات کو محدود کرتی ہے کہ مخصوص اثاثوں تک کس اور کب رسائی دی جاتی ہے۔ Kindervag ایک طویل عرصے سے تقسیم کرنے کا حامی رہا ہے — نیٹ ورکس، کام کے بوجھ، اثاثوں، ڈیٹا کی — اس سے بہت پہلے کہ اس نے زیرو ٹرسٹ ماڈل کی نقشہ سازی شروع کی۔ جیسا کہ وہ بتاتا ہے، پالیسی کے ذریعے صفر اعتماد تک رسائی کی وضاحت کا دل چیزوں کو "پروٹیکٹ سرفیسز" میں تقسیم کر رہا ہے، کیونکہ ہر حفاظتی سطح تک رسائی حاصل کرنے والے مختلف قسم کے صارفین کے خطرے کی سطح ان پالیسیوں کی وضاحت کرے گی جو کسی بھی دی گئی سند کے ساتھ منسلک ہوں گی۔

"یہ میرا مشن ہے، لوگوں کو اس بات پر توجہ دلانا ہے کہ انہیں کس چیز کی حفاظت کی ضرورت ہے، اس اہم چیز کو مختلف حفاظتی سطحوں میں ڈالیں، جیسے کہ آپ کا PCI کریڈٹ کارڈ ڈیٹا بیس اپنی حفاظتی سطح میں ہونا چاہیے۔ آپ کا HR ڈیٹا بیس اس کی اپنی حفاظتی سطح میں ہونا چاہیے۔ آپ کے IoT سسٹم یا OT سسٹم کے لیے آپ کا HMI اس کی اپنی حفاظتی سطح میں ہونا چاہیے،" وہ کہتے ہیں۔ "جب ہم مسئلے کو ان چھوٹے کاٹنے کے سائز کے ٹکڑوں میں تقسیم کرتے ہیں، تو ہم انہیں ایک وقت میں ایک ایک ٹکڑا حل کرتے ہیں، اور ہم انہیں ایک کے بعد ایک کرتے ہیں۔ یہ اسے بہت زیادہ توسیع پذیر اور قابل عمل بناتا ہے۔"

4. بہت ساری فرمیں نہیں جانتی ہیں کہ وہ کس چیز کی حفاظت کرنے کی کوشش کر رہی ہیں۔

چونکہ تنظیمیں فیصلہ کرتی ہیں کہ بادل میں اپنی حفاظتی سطحوں کو کس طرح تقسیم کیا جائے، انہیں پہلے واضح طور پر اس بات کی وضاحت کرنے کی ضرورت ہے کہ وہ کس چیز کی حفاظت کرنے کی کوشش کر رہے ہیں۔ یہ بہت اہم ہے کیونکہ ہر اثاثہ یا نظام یا عمل اپنا منفرد خطرہ اٹھائے گا، اور یہ رسائی اور اس کے ارد گرد سختی کی پالیسیوں کا تعین کرے گا۔ مذاق یہ ہے کہ آپ چند سو پیسے رکھنے کے لیے $1 ملین والٹ نہیں بنائیں گے۔ اس کے برابر کلاؤڈ ایک ایسے کلاؤڈ اثاثے کے ارد گرد بہت زیادہ تحفظ فراہم کرے گا جو حساس نظاموں سے الگ تھلگ ہے اور اس میں حساس معلومات نہیں ہیں۔

کنڈرواگ کا کہنا ہے کہ تنظیموں کے لیے یہ ناقابل یقین حد تک عام ہے کہ وہ اس بات کا واضح خیال نہیں رکھتے کہ وہ بادل میں یا اس سے آگے کس چیز کی حفاظت کر رہے ہیں۔ درحقیقت، آج کل زیادہ تر تنظیموں کو اس بات کا واضح اندازہ بھی نہیں ہے کہ یہ کلاؤڈ میں بھی کیا ہے یا جو بادل سے جڑتا ہے، اس بات کو چھوڑ دیں کہ کس چیز کی حفاظت کی ضرورت ہے۔ مثال کے طور پر، کلاؤڈ سیکیورٹی الائنس کا مطالعہ ظاہر کرتا ہے کہ صرف 23% تنظیموں کو بادل کے ماحول میں مکمل مرئیت حاصل ہے۔ اور اس سال کے اوائل سے Illumio کا مطالعہ ظاہر کرتا ہے کہ 46% تنظیمیں اپنی تنظیم کی کلاؤڈ سروسز کے کنیکٹیویٹی میں مکمل مرئیت نہیں رکھتی ہیں۔

"لوگ اس بارے میں نہیں سوچتے کہ وہ اصل میں کیا حاصل کرنے کی کوشش کر رہے ہیں، وہ کس چیز کی حفاظت کرنے کی کوشش کر رہے ہیں،" وہ کہتے ہیں۔ Kindervag بتاتے ہیں کہ یہ ایک بنیادی مسئلہ ہے جس کی وجہ سے کمپنیاں اس عمل میں مناسب طریقے سے تحفظ قائم کیے بغیر سیکیورٹی کے بہت سارے پیسے ضائع کرتی ہیں۔ "وہ میرے پاس آئیں گے اور کہیں گے کہ 'زیرو ٹرسٹ کام نہیں کر رہا'، اور میں پوچھوں گا، 'اچھا، تم کس چیز کی حفاظت کرنے کی کوشش کر رہے ہو؟' اور وہ کہیں گے، 'میں نے ابھی تک اس کے بارے میں نہیں سوچا ہے،' اور میرا جواب ہے 'ٹھیک ہے، پھر تم قریب بھی نہیں ہو صفر اعتماد کے عمل کا آغاز. ''

5. کلاؤڈ مقامی ترقی کی ترغیبات عجب سے باہر ہیں۔

ڈی او اوپس پریکٹسز اور کلاؤڈ کی مقامی ترقی کو رفتار، اسکیل ایبلٹی، اور لچک کے ذریعے بہت بہتر بنایا گیا ہے جو انہیں کلاؤڈ پلیٹ فارمز اور ٹولنگ کے ذریعے فراہم کی گئی ہے۔ جب سیکورٹی کو مناسب طریقے سے اس مکس میں شامل کیا جائے تو اچھی چیزیں ہو سکتی ہیں۔ لیکن کنڈرواگ کا کہنا ہے کہ زیادہ تر ترقیاتی تنظیموں کو ایسا کرنے کے لیے مناسب طریقے سے ترغیب نہیں دی جاتی ہے - جس کا مطلب ہے کہ کلاؤڈ انفراسٹرکچر اور اس پر قائم تمام ایپلی کیشنز کو اس عمل میں خطرہ لاحق ہے۔

"میں یہ کہنا چاہتا ہوں کہ DevOps ایپ کے لوگ IT کے Ricky Bobbys ہیں۔ وہ صرف تیزی سے جانا چاہتے ہیں۔ مجھے یاد ہے کہ وہ ایک کمپنی میں ترقی کے سربراہ سے بات کر رہا تھا جس کی بالآخر خلاف ورزی ہوئی، اور میں اس سے پوچھ رہا تھا کہ وہ سیکیورٹی کے بارے میں کیا کر رہا ہے۔ اور اس نے کہا، 'کچھ نہیں، مجھے سیکورٹی کی کوئی پرواہ نہیں،'" کنڈرواگ کہتے ہیں۔ "میں نے پوچھا، 'آپ سیکورٹی کی پرواہ کیسے نہیں کر سکتے؟' اور وہ کہتا ہے 'کیونکہ میرے پاس اس کے لیے KPI نہیں ہے۔ میرا KPI کہتا ہے کہ مجھے اپنی ٹیم میں ایک دن میں پانچ دھکے لگانے پڑتے ہیں، اور اگر میں ایسا نہیں کرتا تو مجھے بونس نہیں ملتا۔''

Kindervag کا کہنا ہے کہ یہ نہ صرف AppSec میں، بلکہ کلاؤڈ اور اس سے آگے کے لیے صفر اعتماد کی طرف جانے میں، ایک بڑی پریشانی کی مثال ہے۔ بہت ساری تنظیموں کے پاس ایسا کرنے کے لیے صحیح ترغیباتی ڈھانچے نہیں ہوتے ہیں - اور درحقیقت بہت سے لوگوں کے پاس ٹیڑھی ترغیبات ہیں جو غیر محفوظ عمل کی حوصلہ افزائی کرتی ہیں۔

یہی وجہ ہے کہ وہ انٹرپرائزز کے اندر صفر ٹرسٹ سینٹرز آف ایکسیلنس بنانے کا وکیل ہے جس میں نہ صرف ٹیکنولوجسٹ بلکہ منصوبہ بندی، ڈیزائن اور فیصلہ سازی کے جاری عمل میں کاروباری قیادت بھی شامل ہے۔ جب یہ کراس فنکشنل ٹیمیں آپس میں ملتی ہیں، تو وہ کہتے ہیں، جب ایک طاقتور بزنس ایگزیکیٹو یہ کہنے کے لیے آگے بڑھتا ہے کہ تنظیم اس سمت میں آگے بڑھنے والی ہے تو اس نے "ترغیبی ڈھانچے کو حقیقی وقت میں بدلتے ہوئے" دیکھا ہے۔

Kindervag کا کہنا ہے کہ "سب سے کامیاب صفر اعتماد کے اقدامات وہ تھے جہاں کاروباری رہنما شامل ہوئے تھے۔" "میرے پاس ایک مینوفیکچرنگ کمپنی تھی جہاں ایگزیکٹو نائب صدر - کمپنی کے سرکردہ رہنماؤں میں سے ایک - مینوفیکچرنگ ماحول کے لیے صفر اعتماد کی تبدیلی کا چیمپئن بن گیا۔ یہ بہت آسانی سے چلا کیونکہ وہاں کوئی روکنے والے نہیں تھے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا