Auch wenn die Cloud-Sicherheit seit den frühen Tagen der Cloud-Einführung im Wilden Westen zweifellos große Fortschritte gemacht hat, ist es in Wahrheit noch ein langer Weg, bis die meisten Unternehmen heute ihre Cloud-Sicherheitspraktiken wirklich ausgereift haben. Und dies verursacht für Unternehmen enorme Kosten im Hinblick auf Sicherheitsvorfälle.
Eine Vanson-Bourne-Studie Anfang dieses Jahres zeigte sich, dass fast die Hälfte der Sicherheitsverletzungen, die Unternehmen im vergangenen Jahr erlitten haben, ihren Ursprung in der Cloud hatten. Dieselbe Studie ergab, dass ein durchschnittliches Unternehmen im letzten Jahr fast 4.1 Millionen US-Dollar durch Cloud-Verstöße verloren hat.
Dark Reading hat sich kürzlich mit dem Paten der Zero-Trust-Sicherheit, John Kindervag, getroffen, um den aktuellen Stand der Cloud-Sicherheit zu besprechen. Als Analyst bei Forrester Research half Kindervag dabei, das Zero-Trust-Sicherheitsmodell zu konzipieren und bekannt zu machen. Jetzt ist er Chefevangelist bei Illumio, wo er im Rahmen seiner Öffentlichkeitsarbeit immer noch ein starker Befürworter von Zero Trust ist und erklärt, dass dies ein wichtiger Weg zur Neugestaltung der Sicherheit im Cloud-Zeitalter sei. Laut Kindervag müssen sich Organisationen mit den folgenden harten Wahrheiten auseinandersetzen, um damit Erfolg zu haben.
1. Sie werden nicht sicherer, indem Sie einfach in die Cloud gehen
Einer der größten Mythen heute über die Cloud ist, dass sie von Natur aus sicherer ist als die meisten lokalen Umgebungen, sagt Kindervag.
„Es besteht ein grundlegendes Missverständnis über die Cloud, dass irgendwie mehr Sicherheit von Haus aus eingebaut ist, dass man durch den Wechsel in die Cloud allein dadurch sicherer ist, dass man in die Cloud geht“, sagt er.
Das Problem besteht darin, dass Hyperscale-Cloud-Anbieter zwar sehr gut darin sind, die Infrastruktur zu schützen, die Kontrolle und Verantwortung über die Sicherheitslage ihrer Kunden jedoch sehr begrenzt ist.
„Viele Leute glauben, dass sie die Sicherheit an den Cloud-Anbieter auslagern. Sie glauben, dass sie das Risiko übertragen“, sagt er. „In der Cybersicherheit kann man das Risiko niemals übertragen. Wenn Sie der Verwalter dieser Daten sind, sind Sie immer der Verwalter der Daten, unabhängig davon, wer sie für Sie verwahrt.“
Aus diesem Grund ist Kindervag kein großer Fan des oft wiederholten Satzes „geteilte Verantwortung„Was seiner Meinung nach den Eindruck erweckt, als gäbe es eine 50:50-Arbeitsteilung. Er bevorzugt den Satz „ungleichmäßiger Händedruck„, der von seinem ehemaligen Kollegen bei Forrester, James Staten, geprägt wurde.
„Das ist das grundlegende Problem: Die Leute denken, dass es ein Modell der geteilten Verantwortung gibt, und stattdessen gibt es einen ungleichmäßigen Händedruck“, sagt er.
2. Native Sicherheitskontrollen sind in einer hybriden Welt schwer zu verwalten
Lassen Sie uns in der Zwischenzeit über die verbesserten nativen Cloud-Sicherheitskontrollen sprechen, die Anbieter im Laufe des letzten Jahrzehnts aufgebaut haben. Während viele Anbieter gute Arbeit geleistet haben, indem sie ihren Kunden mehr Kontrolle über ihre Arbeitslasten, Identitäten und Sichtbarkeit bieten, ist diese Qualität inkonsistent. Wie Kindervag sagt: „Einige davon sind gut, andere nicht.“ Das eigentliche Problem besteht bei allen darin, dass sie außerhalb der Isolation der Umgebung eines einzelnen Anbieters in der realen Welt nur schwer zu verwalten sind.
„Dafür sind viele Leute nötig, und die sind in jeder einzelnen Cloud anders. Ich glaube, jedes Unternehmen, mit dem ich in den letzten fünf Jahren gesprochen habe, verfügt über ein Multi-Cloud- und ein Hybridmodell, die beide gleichzeitig umgesetzt werden“, sagt er. „Hybrid bedeutet: ‚Ich verwende meine lokalen Ressourcen und Clouds, und ich verwende mehrere Clouds, und ich verwende möglicherweise mehrere Clouds, um Zugriff auf verschiedene Microservices für eine einzelne Anwendung bereitzustellen.‘ Die einzige Möglichkeit, dieses Problem zu lösen, ist eine Sicherheitskontrolle, die über alle Clouds hinweg verwaltet werden kann.“
Dies sei einer der Hauptgründe für die Diskussionen über die Verlagerung von Zero Trust in die Cloud, sagt er.
„Zero Trust funktioniert unabhängig davon, wo Sie Daten oder Vermögenswerte ablegen. Es könnte in der Cloud sein. Es könnte lokal sein. Es könnte sich um einen Endpunkt handeln“, sagt er.
3. Identität wird Ihre Cloud nicht retten
Da heutzutage so viel Wert auf Cloud-Identitätsmanagement gelegt wird und der Identitätskomponente bei Zero Trust unverhältnismäßig viel Aufmerksamkeit gewidmet wird, ist es für Unternehmen wichtig zu verstehen, dass Identität nur ein Teil eines ausgewogenen Frühstücks für Zero Trust in der Cloud ist.
„In der Zero-Trust-Erzählung geht es größtenteils um Identität, Identität, Identität“, sagt Kindervag. „Identität ist wichtig, aber wir konsumieren Identität in der Politik ohne Vertrauen. Es ist nicht das A und O. Es löst nicht alle Probleme.“
Was Kindervag meint, ist, dass bei einem Zero-Trust-Modell Benutzer mit Anmeldeinformationen nicht automatisch Zugriff auf alles Mögliche innerhalb einer bestimmten Cloud oder eines bestimmten Netzwerks erhalten. Die Richtlinie begrenzt genau, was und wann Zugriff auf bestimmte Vermögenswerte gewährt wird. Kindervag war schon lange ein Befürworter der Segmentierung – von Netzwerken, Workloads, Assets, Daten – lange bevor er mit der Ausarbeitung des Zero-Trust-Modells begann. Wie er erklärt, besteht der Kern der Definition des Zero-Trust-Zugriffs durch Richtlinien darin, die Dinge in „Schutzoberflächen“ aufzuteilen, da das Risikoniveau verschiedener Arten von Benutzern, die auf jede Schutzoberfläche zugreifen, die Richtlinien definiert, die einem bestimmten Berechtigungsnachweis zugeordnet werden.
„Das ist meine Mission: Menschen dazu zu bringen, sich auf das zu konzentrieren, was sie schützen müssen, und diese wichtigen Dinge in verschiedene Schutzoberflächen zu legen, so wie sich Ihre PCI-Kreditkartendatenbank in einer eigenen Schutzoberfläche befinden sollte. Ihre HR-Datenbank sollte sich in einer eigenen sicheren Oberfläche befinden. Ihr HMI für Ihr IoT-System oder OT-System sollte sich in einer eigenen geschützten Oberfläche befinden“, sagt er. „Wenn wir das Problem in kleine, mundgerechte Stücke aufteilen, lösen wir sie Stück für Stück und erledigen sie nacheinander. Es macht es viel skalierbarer und praktikabler.“
4. Zu viele Unternehmen wissen nicht, was sie schützen wollen
Wenn Unternehmen entscheiden, wie sie ihre Schutzoberflächen in der Cloud segmentieren, müssen sie zunächst klar definieren, was sie schützen möchten. Dies ist von entscheidender Bedeutung, da jedes Asset, jedes System oder jeder Prozess sein eigenes, einzigartiges Risiko birgt und dieses die Richtlinien für den Zugriff und die Absicherung um ihn herum bestimmt. Der Witz ist, dass man keinen 1-Millionen-Dollar-Tresor bauen würde, um ein paar hundert Pennys unterzubringen. Das entsprechende Cloud-Äquivalent würde darin bestehen, ein Cloud-Asset, das von sensiblen Systemen isoliert ist und keine sensiblen Informationen enthält, mit großem Schutz zu versehen.
Laut Kindervag kommt es sehr häufig vor, dass Unternehmen keine klare Vorstellung davon haben, was sie in der Cloud oder darüber hinaus schützen. Tatsächlich haben die meisten Unternehmen heutzutage nicht unbedingt eine klare Vorstellung davon, was sich überhaupt in der Cloud befindet oder was mit der Cloud verbunden ist, geschweige denn, was geschützt werden muss. Zum Beispiel, eine Studie der Cloud Security Alliance zeigt, dass nur 23 % der Unternehmen einen vollständigen Einblick in Cloud-Umgebungen haben. Und die Illumio-Studie von Anfang des Jahres zeigt, dass 46 % der Unternehmen keinen vollständigen Einblick in die Konnektivität der Cloud-Dienste ihres Unternehmens haben.
„Die Leute denken nicht darüber nach, was sie eigentlich erreichen wollen, was sie schützen wollen“, sagt er. Dies sei ein grundlegendes Problem, das dazu führt, dass Unternehmen viel Geld für die Sicherheit verschwenden, ohne dabei einen angemessenen Schutz einzurichten, erklärt Kindervag. „Sie werden zu mir kommen und sagen ‚Zero Trust funktioniert nicht‘ und ich werde fragen: ‚Nun, was wollen Sie schützen?‘ und sie werden sagen: „Darüber habe ich noch nicht nachgedacht“, und meine Antwort ist: „Nun, dann bist du noch nicht einmal annähernd dran.“ Beginn des Prozesses des Nullvertrauens. '"
5. Anreize für die native Cloud-Entwicklung sind aus dem Ruder gelaufen
DevOps-Praktiken und Cloud-native-Entwicklung wurden durch die Geschwindigkeit, Skalierbarkeit und Flexibilität, die ihnen Cloud-Plattformen und -Tools bieten, erheblich verbessert. Wenn die Sicherheit angemessen in diesen Mix eingebunden wird, können gute Dinge passieren. Aber Kindervag sagt, dass die meisten Entwicklungsorganisationen keine ausreichenden Anreize dafür haben – was bedeutet, dass die Cloud-Infrastruktur und alle darauf basierenden Anwendungen dabei gefährdet sind.
„Ich sage gerne, dass die DevOps-App-Leute die Ricky Bobbys der IT sind. Sie wollen einfach nur schnell sein. Ich erinnere mich an ein Gespräch mit dem Entwicklungsleiter eines Unternehmens, bei dem es schließlich zu einer Sicherheitsverletzung kam, und ich fragte ihn, was er in Sachen Sicherheit unternehme. Und er sagte: ‚Nichts, die Sicherheit ist mir egal‘“, sagt Kindervag. „Ich fragte: ‚Wie kann es sein, dass einem die Sicherheit egal ist?‘ und er sagt: „Weil ich keinen KPI dafür habe.“ Mein KPI besagt, dass ich in meinem Team fünf Pushs pro Tag machen muss, und wenn ich das nicht mache, bekomme ich keinen Bonus.‘“
Laut Kindervag ist dies ein Beispiel für eines der großen Probleme, nicht nur bei AppSec, sondern auch bei der Umstellung auf Zero Trust für die Cloud und darüber hinaus. Zu viele Organisationen verfügen einfach nicht über die richtigen Anreizstrukturen, um dies zu ermöglichen – und tatsächlich verfügen viele über perverse Anreize, die letztendlich unsichere Praktiken fördern.
Aus diesem Grund ist er ein Befürworter des Aufbaus von Zero-Trust-Kompetenzzentren in Unternehmen, die nicht nur Technologen, sondern auch Unternehmensleiter in die Planungs-, Design- und laufenden Entscheidungsprozesse einbeziehen. Wenn sich diese funktionsübergreifenden Teams treffen, sagt er, sehe er, wie sich „Anreizstrukturen in Echtzeit ändern“, wenn ein einflussreicher Unternehmensleiter vortritt und verkündet, dass sich die Organisation in diese Richtung bewegen wird.
„Die erfolgreichsten Zero-Trust-Initiativen waren diejenigen, bei denen sich Unternehmensführer engagierten“, sagt Kindervag. „Ich hatte eines in einem Fertigungsunternehmen, wo der Executive Vice President – einer der Top-Führungskräfte des Unternehmens – zum Verfechter der Zero-Trust-Transformation für die Fertigungsumgebung wurde. Das verlief sehr reibungslos, da es keine Hemmstoffe gab.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
