Selvom cloud-sikkerhed bestemt er nået langt siden de vilde vestens dage med tidlig cloud-adoption, er sandheden, at der er lang vej igen, før de fleste organisationer i dag virkelig har modnet deres cloud-sikkerhedspraksis. Og det koster organisationer enormt i form af sikkerhedshændelser.

En Vanson Bourne undersøgelse tidligere i år viste, at næsten halvdelen af ​​de overtrædelser, organisationer har lidt i det seneste år, stammer fra skyen. Den samme undersøgelse viste, at den gennemsnitlige organisation mistede næsten 4.1 millioner dollars på grund af skybrud i det sidste år.

Dark Reading har for nylig indhentet gudfaderen til nul-tillidssikkerhed, John Kindervag, for at diskutere tilstanden af ​​cloud-sikkerhed i dag. Da han var analytiker hos Forrester Research, hjalp Kindervag med at konceptualisere og popularisere nul-tillidssikkerhedsmodellen. Nu er han chefevangelist hos Illumio, hvor han midt i sin udbredelse stadig er meget fortaler for nul tillid, og forklarer, at det er en vigtig måde at redesigne sikkerhed i cloud-æraen. Ifølge Kindervag skal organisationer forholde sig til følgende hårde sandheder for at opnå succes med dette.

1. Du bliver ikke mere sikker bare ved at gå til skyen

En af de største myter i dag om skyen er, at den i sig selv er mere sikker end de fleste lokale miljøer, siger Kindervag.

"Der er en grundlæggende misforståelse af skyen, at der på en eller anden måde er mere sikkerhed indbygget i den, at du er mere sikker ved at gå til skyen bare ved at gå til skyen," siger han.

Problemet er, at selvom hyperskala cloud-udbydere kan være meget gode til at beskytte infrastruktur, er kontrollen og ansvaret over deres kundes sikkerhedsposition, de har, meget begrænset.

“Mange mennesker tror, ​​de outsourcer sikkerhed til cloud-udbyderen. De tror, ​​de overfører risikoen,” siger han. ”I cybersikkerhed kan man aldrig overføre risikoen. Hvis du er depot for disse data, er du altid depot for dataene, uanset hvem der opbevarer dem for dig.”

Det er derfor, Kindervag ikke er en stor fan af den ofte gentagne sætning "fælles ansvar, som han siger får det til at lyde som om, at der er en 50-50 arbejdsdeling og indsats. Han foretrækker udtrykket "ujævnt håndtryk,” som blev opfundet af hans tidligere kollega i Forrester, James Staten.

"Det er det grundlæggende problem, er, at folk tror, ​​at der er en fælles ansvarsmodel, og der er et ujævnt håndtryk i stedet for," siger han.

2. Indbyggede sikkerhedskontroller er svære at administrere i en hybridverden

Lad os i mellemtiden tale om de forbedrede native cloud-sikkerhedskontroller, som udbydere har opbygget i løbet af det sidste årti. Mens mange udbydere har gjort et godt stykke arbejde med at tilbyde kunderne mere kontrol over deres arbejdsmængder, identiteter og synlighed, er denne kvalitet inkonsekvent. Som Kindervag siger: "Nogle af dem er gode, nogle af dem er ikke." Det virkelige problem på tværs af dem alle er, at de er svære at håndtere ude i den virkelige verden, ud over isolationen af ​​en enkelt udbyders miljø.

“Det kræver mange mennesker at gøre det, og de er forskellige i hver eneste sky. Jeg tror, ​​at alle de virksomheder, jeg har talt med i de seneste fem år, har en multicloud- og en hybridmodel, som begge foregår på samme tid,” siger han. "Hybrid væsen, 'Jeg bruger mine lokale ting og skyer, og jeg bruger flere skyer, og jeg bruger muligvis flere skyer til at levere adgang til forskellige mikrotjenester til en enkelt applikation.' Den eneste måde, du kan løse dette problem på, er at have en sikkerhedskontrol, der kan styres på tværs af alle de mange skyer."

Dette er en af ​​de store faktorer, der driver diskussioner om at flytte nul tillid til skyen, siger han.

"Nul tillid virker, uanset hvor du placerer data eller aktiver. Det kan være i skyen. Det kan være på stedet. Det kunne være på et endepunkt,« siger han.

3. Identitet vil ikke redde din sky

Med så meget vægt på cloud-identitetsstyring i disse dage og uforholdsmæssig opmærksomhed på identitetskomponenten i nul tillid, er det vigtigt for organisationer at forstå, at identitet kun er en del af en velafbalanceret morgenmad for nul tillid til skyen.

"Så meget af fortællingen om nul tillid handler om identitet, identitet, identitet," siger Kindervag. “Identitet er vigtig, men vi bruger identitet i politik i nul tillid. Det er ikke ende-alt, vær-alt. Det løser ikke alle problemerne.”

Hvad Kindervag betyder er, at med en nul-tillidsmodel giver legitimationsoplysninger ikke automatisk brugere adgang til noget under solen inden for en given sky eller et givet netværk. Politikken begrænser præcis, hvad og hvornår der gives adgang til specifikke aktiver. Kindervag har længe været en fortaler for segmentering - af netværk, arbejdsbelastninger, aktiver, data - længe før han begyndte at kortlægge nul-tillidsmodellen. Som han forklarer, er hjertet ved at definere nul tillidsadgang ved politik at dele tingene op i "beskyttelsesflader", eftersom risikoniveauet for forskellige typer brugere, der får adgang til hver beskyttende overflade, vil definere de politikker, der vil blive knyttet til enhver given legitimation.

"Det er min mission, er at få folk til at fokusere på det, de har brug for at beskytte, sætte de vigtige ting i forskellige beskyttende overflader, som din PCI-kreditkortdatabase burde være i sin egen beskyttende overflade. Din HR-database skal være i sin egen beskyttede overflade. Dit HMI til dit IoT-system eller OT-system skal være i sin egen beskyttende overflade,” siger han. "Når vi deler problemet op i disse små mundrette bidder, løser vi dem en luns ad gangen, og vi gør dem en efter en. Det gør det meget mere skalerbart og gennemførligt."

4. For mange virksomheder ved ikke, hvad de forsøger at beskytte

Når organisationer beslutter, hvordan de skal segmentere deres beskyttende overflader i skyen, skal de først klart definere, hvad det er, de forsøger at beskytte. Dette er afgørende, fordi hvert aktiv eller system eller proces vil bære sin egen unikke risiko, og det vil bestemme politikkerne for adgang og hærdningen omkring det. Joken er, at du ikke ville bygge en 1 million dollars hvælving til at huse et par hundrede øre. Den sky, der svarer til det, ville være at sætte tonsvis af beskyttelse omkring et cloudaktiv, der er isoleret fra følsomme systemer og ikke rummer følsomme oplysninger.

Kindervag siger, at det er utroligt almindeligt, at organisationer ikke har en klar idé om, hvad de beskytter i skyen eller udenfor. Faktisk har de fleste organisationer i dag ikke engang nødvendigvis en klar idé om, hvad det er, der selv er i skyen, eller hvad der forbinder til skyen, endsige hvad der skal beskyttes. For eksempel, en Cloud Security Alliance undersøgelse viser, at kun 23 % af organisationerne har fuld synlighed i cloudmiljøer. Og Illumio-undersøgelsen fra tidligere i år viser, at 46 % af organisationerne ikke har fuld indsigt i forbindelsen til deres organisations cloud-tjenester.

"Folk tænker ikke over, hvad de rent faktisk forsøger at opnå, hvad de forsøger at beskytte," siger han. Dette er et grundlæggende problem, der får virksomheder til at spilde mange sikkerhedspenge uden at opsætte beskyttelse på passende vis i processen, forklarer Kindervag. "De vil komme til mig og sige 'Nul tillid virker ikke', og jeg vil spørge: 'Nå, hvad prøver du at beskytte?' og de vil sige, 'det har jeg ikke tænkt over endnu', og mit svar er 'Nå, så er du ikke engang tæt på begynder processen med nul tillid. ””

5. Cloud Native-udviklingsincitamenter er ude af skygge

DevOps-praksis og cloud-native udvikling er blevet væsentligt forbedret gennem hastigheden, skalerbarheden og fleksibiliteten, som skyplatforme og -værktøjer giver dem. Når sikkerhed er passende lagdelt i denne blanding, kan der ske gode ting. Men Kindervag siger, at de fleste udviklingsorganisationer ikke er ordentligt incitamentet til at få det til at ske - hvilket betyder, at cloud-infrastruktur og alle de applikationer, der hviler på den, udsættes for risiko i processen.

"Jeg kan godt lide at sige, at DevOps-appens folk er IT's Ricky Bobbys. De vil bare gå hurtigt. Jeg kan huske, at jeg talte med udviklingschefen i en virksomhed, der til sidst blev brudt, og jeg spurgte ham, hvad han gjorde med sikkerheden. Og han sagde: 'Intet, jeg er ligeglad med sikkerhed', siger Kindervag. "Jeg spurgte: 'Hvordan kan du være ligeglad med sikkerheden?' og han siger 'Fordi jeg ikke har en KPI for det. Min KPI siger, at jeg skal lave fem skub om dagen i mit team, og hvis jeg ikke gør det, får jeg ingen bonus.'”

Kindervag siger, at dette er en illustration af et af de store problemer, ikke kun i AppSec, men med at flytte til nul tillid til skyen og videre. Alt for mange organisationer har simpelthen ikke de rigtige incitamentstrukturer til at få det til at ske - og faktisk har mange perverse incitamenter, der ender med at opmuntre til usikker praksis.

Det er grunden til, at han er en fortaler for at opbygge nul tillidscentre for ekspertise inden for virksomheder, der ikke kun omfatter teknologer, men også virksomhedslederskab i planlægning, design og igangværende beslutningsprocesser. Når disse tværfunktionelle teams mødes, siger han, har han set "incitamentstrukturer ændre sig i realtid", når en magtfuld virksomhedsleder træder frem for at sige, at organisationen vil bevæge sig i den retning.

"De mest succesrige nultillidsinitiativer var dem, hvor virksomhedsledere blev involveret," siger Kindervag. "Jeg havde en i en produktionsvirksomhed, hvor den executive vice president - en af ​​virksomhedens øverste ledere - blev en forkæmper for nul tillid transformation til produktionsmiljøet. Det gik meget glat, fordi der ikke var nogen inhibitorer."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024