في حين أن الأمن السحابي قد قطع بالتأكيد شوطًا طويلًا منذ أيام الغرب المتوحش التي شهدت اعتماد السحابة مبكرًا، فالحقيقة هي أن هناك طريقًا طويلًا يجب قطعه قبل أن تنضج معظم المؤسسات اليوم حقًا ممارساتها الأمنية السحابية. وهذا يكلف المنظمات تكاليف هائلة فيما يتعلق بالحوادث الأمنية.
دراسة فانسون بورن وأظهرت في وقت سابق من هذا العام أن ما يقرب من نصف الانتهاكات التي تعرضت لها المؤسسات في العام الماضي نشأت في السحابة. ووجدت نفس الدراسة أن المؤسسة المتوسطة خسرت ما يقرب من 4.1 مليون دولار بسبب الخروقات السحابية في العام الماضي.
التقت Dark Reading مؤخرًا مع عراب أمان الثقة المعدومة، جون كيندرفاج، لمناقشة حالة الأمن السحابي اليوم. عندما كان كيندرفاج محللًا في شركة Forrester Research، ساعد في وضع تصور لنموذج أمان الثقة المعدومة ونشره. وهو الآن كبير المبشرين في Illumio، حيث لا يزال وسط انتشاره مؤيدًا إلى حد كبير لسياسة انعدام الثقة، موضحًا أنها طريقة رئيسية لإعادة تصميم الأمان في عصر السحابة. وفقًا لـ Kindervag، يجب على المنظمات التعامل مع الحقائق الصعبة التالية من أجل تحقيق النجاح في هذا الأمر.
1. لن تصبح أكثر أمانًا بمجرد الانتقال إلى السحابة
يقول كيندرفاج إن إحدى أكبر الخرافات اليوم حول السحابة هي أنها أكثر أمانًا بطبيعتها من معظم البيئات المحلية.
ويقول: "هناك سوء فهم أساسي للسحابة، حيث يوجد بطريقة أو بأخرى المزيد من الأمان المدمج فيها، وأنك أكثر أمانًا بالانتقال إلى السحابة فقط من خلال الانتقال إلى السحابة".
المشكلة هي أنه على الرغم من أن موفري الخدمات السحابية واسعة النطاق قد يكونون جيدين جدًا في حماية البنية التحتية، إلا أن التحكم والمسؤولية عن الوضع الأمني لعملائهم محدود للغاية.
"يعتقد الكثير من الأشخاص أنهم يستعينون بمصادر خارجية لتوفير الأمن لموفر السحابة. ويقول: "إنهم يعتقدون أنهم ينقلون المخاطر". "في مجال الأمن السيبراني، لا يمكنك أبدًا نقل المخاطر. إذا كنت الوصي على تلك البيانات، فأنت دائمًا الوصي على البيانات، بغض النظر عمن يحتفظ بها لك.
ولهذا السبب فإن Kindervag ليس من أشد المعجبين بالعبارة المتكررة كثيرًا "المسؤولية المشتركة"، وهو ما يجعل الأمر يبدو كما لو أن هناك تقسيمًا بنسبة 50-50 للعمل والجهد. ويفضل عبارة "مصافحة غير متساوية"، والتي صاغها زميله السابق في شركة فوريستر، جيمس ستاتن.
ويقول: "هذه هي المشكلة الأساسية، وهي أن الناس يعتقدون أن هناك نموذج المسؤولية المشتركة، وأن هناك مصافحة غير متساوية بدلاً من ذلك".
2. من الصعب إدارة ضوابط الأمن المحلية في عالم هجين
وفي الوقت نفسه، دعونا نتحدث عن ضوابط الأمان السحابية الأصلية المحسنة التي أنشأها مقدمو الخدمات على مدار العقد الماضي. في حين أن العديد من مقدمي الخدمات قاموا بعمل جيد من خلال منح العملاء مزيدًا من التحكم في أعباء العمل والهويات والرؤية، إلا أن هذه الجودة غير متسقة. وكما يقول كيندرفاج، "بعضهم جيد، وبعضهم ليس كذلك." المشكلة الحقيقية في كل هذه الخدمات هي أنه من الصعب إدارتها في العالم الحقيقي، بما يتجاوز عزلة بيئة مزود واحد.
"يتطلب الأمر الكثير من الأشخاص للقيام بذلك، وهم مختلفون في كل سحابة على حدة. أعتقد أن كل شركة تحدثت إليها في السنوات الخمس الماضية لديها نموذج متعدد السحابات ونموذج مختلط، وكلاهما يحدث في نفس الوقت. "الأمر المختلط هو أنني أستخدم السحابات والأشياء الموجودة في مقر العمل، وأستخدم العديد من السحابات، وربما أستخدم العديد من السحابات لتوفير الوصول إلى خدمات صغيرة مختلفة لتطبيق واحد." الطريقة الوحيدة التي يمكنك من خلالها حل هذه المشكلة هي أن يكون لديك تحكم أمني يمكن إدارته عبر جميع السحابات المتعددة.
ويقول إن هذا هو أحد العوامل الكبيرة التي تدفع المناقشات حول نقل الثقة المعدومة إلى السحابة.
"تعمل الثقة المعدومة بغض النظر عن المكان الذي تضع فيه البيانات أو الأصول. يمكن أن يكون في السحابة. يمكن أن يكون في أماكن العمل. يقول: "يمكن أن يكون عند نقطة النهاية".
3. الهوية لن تحفظ السحابة الخاصة بك
مع التركيز الكبير على إدارة الهوية السحابية هذه الأيام، والاهتمام غير المتناسب بعنصر الهوية في انعدام الثقة، من المهم للمؤسسات أن تفهم أن الهوية ليست سوى جزء من وجبة إفطار متوازنة لثقة معدومة في السحابة.
يقول كيندرفاج: "إن الكثير من سرد الثقة المعدومة يدور حول الهوية، والهوية، والهوية". "الهوية مهمة، لكننا نستهلك الهوية في السياسة بثقة معدومة. إنها ليست نهاية المطاف، كن كل شيء. وهذا لا يحل جميع المشاكل."
ما يعنيه Kindervag هو أنه مع نموذج الثقة المعدومة، لا تمنح بيانات الاعتماد المستخدمين تلقائيًا إمكانية الوصول إلى أي شيء تحت الشمس داخل سحابة أو شبكة معينة. تحدد السياسة بالضبط ما ومتى يتم منح الوصول إلى أصول محددة. لقد كان كيندرفاج مؤيدًا منذ فترة طويلة للتجزئة - الشبكات، وأعباء العمل، والأصول، والبيانات - قبل وقت طويل من البدء في رسم نموذج الثقة المعدومة. وكما يوضح، فإن جوهر تعريف الوصول إلى الثقة المعدومة من خلال السياسة هو تقسيم الأشياء إلى "أسطح حماية"، نظرًا لأن مستوى المخاطر لأنواع مختلفة من المستخدمين الذين يصلون إلى كل سطح حماية سيحدد السياسات التي سيتم إرفاقها بأي بيانات اعتماد معينة.
"هذه هي مهمتي، وهي حث الأشخاص على التركيز على ما يحتاجون إلى حمايته، ووضع هذه الأشياء المهمة في أسطح حماية مختلفة، مثل قاعدة بيانات بطاقة الائتمان PCI الخاصة بك التي يجب أن تكون في سطح الحماية الخاص بها. يجب أن تكون قاعدة بيانات الموارد البشرية الخاصة بك في سطح الحماية الخاص بها. يقول: "يجب أن تكون واجهة HMI الخاصة بنظام إنترنت الأشياء أو نظام التشغيل التشغيلي الخاص بك في سطح الحماية الخاص به". "عندما نقوم بتقسيم المشكلة إلى أجزاء صغيرة، فإننا نحلها قطعة تلو الأخرى، ونحلها واحدة تلو الأخرى. وهذا يجعلها أكثر قابلية للتطوير والتنفيذ."
4. الكثير من الشركات لا تعرف ما الذي تحاول حمايته
عندما تقرر المؤسسات كيفية تقسيم أسطح الحماية الخاصة بها في السحابة، فإنها تحتاج أولاً إلى تحديد ما تحاول حمايته بوضوح. وهذا أمر بالغ الأهمية لأن كل أصل أو نظام أو عملية سوف تحمل مخاطرها الفريدة، والتي ستحدد سياسات الوصول إليها والتشديد المحيط بها. النكتة هي أنك لن تبني قبوًا بقيمة مليون دولار لإيواء بضع مئات من البنسات. السحابة المكافئة لذلك ستضع قدرًا كبيرًا من الحماية حول الأصول السحابية المعزولة عن الأنظمة الحساسة ولا تحتوي على معلومات حساسة.
يقول Kindervag أنه من الشائع للغاية ألا يكون لدى المؤسسات فكرة واضحة عما تقوم بحمايته في السحابة أو خارجها. في الواقع، ليس لدى معظم المؤسسات اليوم بالضرورة فكرة واضحة عما هو موجود حتى في السحابة أو ما يتصل بالسحابة، ناهيك عن ما يحتاج إلى الحماية. على سبيل المثال، دراسة التحالف الأمني السحابي يوضح أن 23% فقط من المؤسسات تتمتع برؤية كاملة للبيئات السحابية. وتظهر دراسة Illumio التي أجريت في وقت سابق من هذا العام أن 46% من المؤسسات ليس لديها رؤية كاملة لاتصال الخدمات السحابية الخاصة بمؤسساتهم.
ويقول: "لا يفكر الناس فيما يحاولون تحقيقه فعليًا، أو ما يحاولون حمايته". يوضح كيندرفاج أن هذه مشكلة أساسية تجعل الشركات تهدر الكثير من الأموال الأمنية دون إعداد الحماية بشكل مناسب في هذه العملية. "سوف يأتون إلي ويقولون لي: "الثقة المعدومة لا تعمل"، وسأسألهم: "حسناً، ما الذي تحاول حمايته؟" وسيقولون: "لم أفكر في ذلك بعد"، وإجابتي هي "حسنًا، فأنت لست قريبًا حتى من ذلك" بدء عملية الثقة الصفرية".
5. حوافز التطوير السحابي الأصلية غير قابلة للتنفيذ
لقد تم تحسين ممارسات DevOps والتطوير السحابي الأصلي بشكل كبير من خلال السرعة وقابلية التوسع والمرونة التي توفرها لهم الأنظمة الأساسية والأدوات السحابية. عندما يتم دمج الأمان بشكل مناسب في هذا المزيج، يمكن أن تحدث أشياء جيدة. لكن كيندرفاج يقول إن معظم منظمات التطوير لا يتم تحفيزها بشكل صحيح لتحقيق ذلك - مما يعني أن البنية التحتية السحابية وجميع التطبيقات التي تعتمد عليها معرضة للخطر في هذه العملية.
"أود أن أقول إن العاملين في تطبيق DevOps هم أمثال ريكي بوبي في مجال تكنولوجيا المعلومات. إنهم يريدون فقط أن يذهبوا بسرعة. أتذكر أنني تحدثت مع رئيس التطوير في إحدى الشركات التي تعرضت للاختراق في النهاية، وكنت أسأله عما كان يفعله فيما يتعلق بالأمن. فقال: "لا شيء، أنا لا أهتم بالأمن"، يقول كيندرفاج. «سألت: كيف لا تهتمون بالأمن؟ ويقول: "لأنني لا أملك مؤشر أداء رئيسيًا لذلك". يشير مؤشر الأداء الرئيسي الخاص بي إلى أنه يجب علي القيام بخمس دفعات يوميًا في فريقي، وإذا لم أفعل ذلك، فلن أحصل على مكافأة.'"
يقول Kindervag إن هذا مثال على إحدى المشكلات الكبيرة، ليس فقط في AppSec، ولكن أيضًا في الانتقال إلى انعدام الثقة في السحابة وخارجها. إن العديد من المنظمات لا تمتلك ببساطة هياكل الحوافز المناسبة لتحقيق ذلك - وفي الواقع، لدى العديد منها حوافز ضارة تؤدي في نهاية المطاف إلى تشجيع الممارسات غير الآمنة.
ولهذا السبب فهو يدعو إلى بناء مراكز التميز ذات الثقة المعدومة داخل المؤسسات التي لا تشمل التقنيين فحسب، بل أيضًا قيادة الأعمال في التخطيط والتصميم وعمليات صنع القرار المستمرة. ويقول إنه عندما تجتمع هذه الفرق متعددة الوظائف، فإنه يرى "هياكل الحوافز تتغير في الوقت الفعلي" عندما يتقدم مسؤول تنفيذي قوي في الشركة ليقول إن المنظمة ستتحرك في هذا الاتجاه.
يقول كيندرفاج: "إن أكثر مبادرات الثقة المعدومة نجاحًا هي تلك التي شارك فيها قادة الأعمال". "كان لدي واحدة في شركة تصنيع حيث أصبح نائب الرئيس التنفيذي - أحد كبار قادة الشركة - بطلاً لتحول الثقة المعدومة في بيئة التصنيع. لقد سار الأمر بسلاسة كبيرة لأنه لم تكن هناك مثبطات.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
