Ενώ η ασφάλεια cloud έχει σίγουρα διανύσει πολύ δρόμο από τις ημέρες της άγριας δύσης της πρώιμης υιοθέτησης του cloud, η αλήθεια είναι ότι υπάρχει πολύς δρόμος για να διανυθεί μέχρι οι περισσότεροι οργανισμοί σήμερα να ωριμάσουν πραγματικά τις πρακτικές ασφάλειας στο cloud. Και αυτό κοστίζει τρομερά στους οργανισμούς όσον αφορά τα συμβάντα ασφαλείας.

Μια μελέτη του Vanson Bourne νωρίτερα φέτος έδειξε ότι σχεδόν οι μισές παραβιάσεις που υπέστησαν οργανισμοί το περασμένο έτος προήλθαν από το cloud. Η ίδια μελέτη διαπίστωσε ότι ο μέσος οργανισμός έχασε σχεδόν 4.1 εκατομμύρια δολάρια από παραβιάσεις του cloud τον τελευταίο χρόνο.

Το Dark Reading συνομίλησε πρόσφατα με τον νονό της ασφάλειας μηδενικής εμπιστοσύνης, John Kindervag, για να συζητήσουν την κατάσταση της ασφάλειας στο cloud σήμερα. Όταν ήταν αναλυτής στην Forrester Research, ο Kindervag βοήθησε στη σύλληψη και στη διάδοση του μοντέλου ασφάλειας μηδενικής εμπιστοσύνης. Τώρα είναι ο επικεφαλής ευαγγελιστής στο Illumio, όπου εν μέσω της εξάπλωσής του εξακολουθεί να είναι πολύ υπέρμαχος της μηδενικής εμπιστοσύνης, εξηγώντας ότι είναι ένας βασικός τρόπος για να επανασχεδιαστεί η ασφάλεια στην εποχή του cloud. Σύμφωνα με την Kindervag, οι οργανισμοί πρέπει να αντιμετωπίσουν τις ακόλουθες σκληρές αλήθειες προκειμένου να επιτύχουν με αυτό.

1. Δεν γίνεστε πιο ασφαλείς απλώς πηγαίνοντας στο Cloud

Ένας από τους μεγαλύτερους μύθους σήμερα για το cloud είναι ότι είναι εγγενώς πιο ασφαλές από τα περισσότερα περιβάλλοντα εσωτερικής εγκατάστασης, λέει ο Kindervag.

«Υπάρχει μια θεμελιώδης παρανόηση για το cloud ότι κατά κάποιο τρόπο υπάρχει περισσότερη ασφάλεια εγγενώς ενσωματωμένη σε αυτό, ότι είσαι πιο ασφαλής πηγαίνοντας στο cloud απλώς με την κίνηση του cloud», λέει.

Το πρόβλημα είναι ότι ενώ οι πάροχοι cloud υπερκλίμακας μπορεί να είναι πολύ καλοί στην προστασία της υποδομής, ο έλεγχος και η ευθύνη για τη στάση ασφαλείας του πελάτη τους είναι πολύ περιορισμένη.

«Πολλοί άνθρωποι πιστεύουν ότι αναθέτουν σε εξωτερικούς συνεργάτες την ασφάλεια στον πάροχο cloud. Νομίζουν ότι μεταφέρουν τον κίνδυνο», λέει. «Στην κυβερνοασφάλεια, δεν μπορείς ποτέ να μεταφέρεις τον κίνδυνο. Εάν είστε ο θεματοφύλακας αυτών των δεδομένων, είστε πάντα ο θεματοφύλακας των δεδομένων, ανεξάρτητα από το ποιος τα κρατά για εσάς.”

Αυτός είναι ο λόγος που η Kindervag δεν είναι μεγάλος θαυμαστής της συχνά επαναλαμβανόμενης φράσης "κοινή ευθύνη», το οποίο λέει ότι ακούγεται σαν να υπάρχει ένας καταμερισμός εργασίας και προσπάθειας 50-50. Προτιμά τη φράση «άνιση χειραψία», το οποίο επινοήθηκε από τον πρώην συνάδελφό του στο Forrester, James Staten.

"Αυτό είναι το θεμελιώδες πρόβλημα, είναι ότι οι άνθρωποι πιστεύουν ότι υπάρχει ένα μοντέλο κοινής ευθύνης και αντί αυτού υπάρχει μια άνιση χειραψία", λέει.

2. Οι εγγενείς έλεγχοι ασφαλείας είναι δύσκολο να διαχειριστούν σε έναν υβριδικό κόσμο

Εν τω μεταξύ, ας μιλήσουμε για αυτούς τους βελτιωμένους εγγενείς ελέγχους ασφάλειας cloud που έχουν δημιουργήσει οι πάροχοι την τελευταία δεκαετία. Ενώ πολλοί πάροχοι έχουν κάνει καλή δουλειά προσφέροντας στους πελάτες περισσότερο έλεγχο του φόρτου εργασίας, της ταυτότητας και της προβολής τους, αυτή η ποιότητα είναι ασυνεπής. Όπως λέει ο Kindervag, «Μερικοί από αυτούς είναι καλοί, κάποιοι από αυτούς δεν είναι». Το πραγματικό πρόβλημα σε όλα αυτά είναι ότι είναι δύσκολο να τα διαχειριστείς στον πραγματικό κόσμο, πέρα ​​από την απομόνωση του περιβάλλοντος ενός παρόχου.

«Χρειάζονται πολλοί άνθρωποι για να το κάνουν και είναι διαφορετικοί σε κάθε σύννεφο. Νομίζω ότι κάθε εταιρεία με την οποία μίλησα τα τελευταία πέντε χρόνια έχει ένα multicloud και ένα υβριδικό μοντέλο, και τα δύο συμβαίνουν ταυτόχρονα», λέει. "Υβριδικό ον, "Χρησιμοποιώ τα στοιχεία και τα σύννεφα που έχω στην εγκατάσταση, και χρησιμοποιώ πολλά σύννεφα και μπορεί να χρησιμοποιώ πολλά σύννεφα για να προσφέρω πρόσβαση σε διαφορετικές μικροϋπηρεσίες για μία μόνο εφαρμογή." Ο μόνος τρόπος που μπορείτε να λύσετε αυτό το πρόβλημα είναι να έχετε έναν έλεγχο ασφαλείας που μπορεί να διαχειρίζεται σε όλα τα πολλαπλά σύννεφα."

Αυτός είναι ένας από τους μεγάλους παράγοντες που οδηγούν τις συζητήσεις σχετικά με τη μετακίνηση μηδενικής εμπιστοσύνης στο cloud, λέει.

«Η μηδενική εμπιστοσύνη λειτουργεί ανεξάρτητα από το πού τοποθετείτε δεδομένα ή περιουσιακά στοιχεία. Θα μπορούσε να είναι στο σύννεφο. Θα μπορούσε να είναι εντός των εγκαταστάσεων. Θα μπορούσε να είναι σε ένα τελικό σημείο», λέει.

3. Η ταυτότητα δεν θα σώσει το σύννεφο σας

Με τόση έμφαση που δίνεται στη διαχείριση ταυτότητας cloud αυτές τις μέρες και δυσανάλογη προσοχή στο στοιχείο ταυτότητας σε μηδενική εμπιστοσύνη, είναι σημαντικό για τους οργανισμούς να κατανοήσουν ότι η ταυτότητα είναι μόνο μέρος ενός καλά ισορροπημένου πρωινού για μηδενική εμπιστοσύνη στο cloud.

«Τόσο μεγάλο μέρος της αφήγησης μηδενικής εμπιστοσύνης αφορά την ταυτότητα, την ταυτότητα, την ταυτότητα», λέει ο Kindervag. «Η ταυτότητα είναι σημαντική, αλλά καταναλώνουμε την ταυτότητα στην πολιτική με μηδενική εμπιστοσύνη. Δεν είναι το τέλος όλων, γίνε όλα. Δεν λύνει όλα τα προβλήματα».

Αυτό που σημαίνει η Kindervag είναι ότι με ένα μοντέλο μηδενικής εμπιστοσύνης, τα διαπιστευτήρια δεν δίνουν αυτόματα στους χρήστες πρόσβαση σε οτιδήποτε κάτω από τον ήλιο μέσα σε ένα δεδομένο σύννεφο ή δίκτυο. Η πολιτική περιορίζει ακριβώς τι και πότε παρέχεται πρόσβαση σε συγκεκριμένα στοιχεία. Ο Kindervag υπήρξε επί μακρόν υποστηρικτής της τμηματοποίησης - δικτύων, φόρτου εργασίας, περιουσιακών στοιχείων, δεδομένων - πολύ πριν αρχίσει να χαρτογραφεί το μοντέλο μηδενικής εμπιστοσύνης. Όπως εξηγεί, η καρδιά του καθορισμού της μηδενικής πρόσβασης εμπιστοσύνης ανά πολιτική είναι η διαίρεση των πραγμάτων σε «προστατευτικές επιφάνειες», καθώς το επίπεδο κινδύνου διαφορετικών ειδών χρηστών που έχουν πρόσβαση σε κάθε προστατευτική επιφάνεια θα καθορίσει τις πολιτικές που θα επισυνάπτονται σε κάθε δεδομένο διαπιστευτήριο.

«Αυτή είναι η αποστολή μου, είναι να πείσω τους ανθρώπους να επικεντρωθούν σε αυτό που πρέπει να προστατεύσουν, να βάλουν αυτά τα σημαντικά πράγματα σε διάφορες προστατευτικές επιφάνειες, όπως η βάση δεδομένων της πιστωτικής σας κάρτας PCI θα πρέπει να βρίσκεται στη δική της προστατευτική επιφάνεια. Η βάση δεδομένων HR θα πρέπει να βρίσκεται στη δική της προστατευτική επιφάνεια. Το HMI για το σύστημα IoT ή το σύστημα OT θα πρέπει να βρίσκεται στη δική του προστατευτική επιφάνεια», λέει. «Όταν χωρίζουμε το πρόβλημα σε αυτά τα μικρά κομμάτια μεγέθους μπουκιάς, τα λύνουμε ένα κομμάτι τη φορά και τα κάνουμε το ένα μετά το άλλο. Το κάνει πολύ πιο επεκτάσιμο και εφικτό».

4. Πάρα πολλές εταιρείες δεν ξέρουν τι προσπαθούν να προστατεύσουν

Καθώς οι οργανισμοί αποφασίζουν πώς να τμηματοποιήσουν τις προστατευτικές επιφάνειές τους στο cloud, πρέπει πρώτα να ορίσουν με σαφήνεια τι είναι αυτό που προσπαθούν να προστατεύσουν. Αυτό είναι ζωτικής σημασίας επειδή κάθε στοιχείο ή σύστημα ή διαδικασία θα φέρει τον δικό του μοναδικό κίνδυνο και αυτό θα καθορίσει τις πολιτικές πρόσβασης και τη σκλήρυνση γύρω από αυτό. Το αστείο είναι ότι δεν θα έφτιαχνες ένα θησαυροφυλάκιο 1 εκατομμυρίου δολαρίων για να στεγάσεις μερικές εκατοντάδες πένες. Το ισοδύναμο νέφος με αυτό θα ήταν η παροχή πολλών τόνων προστασίας γύρω από ένα στοιχείο cloud που είναι απομονωμένο από ευαίσθητα συστήματα και δεν φιλοξενεί ευαίσθητες πληροφορίες.

Η Kindervag λέει ότι είναι απίστευτα συνηθισμένο για τους οργανισμούς να μην έχουν ξεκάθαρη ιδέα για το τι προστατεύουν στο cloud ή πέρα ​​από αυτό. Στην πραγματικότητα, οι περισσότεροι οργανισμοί σήμερα δεν έχουν καν κατ 'ανάγκη σαφή ιδέα για το τι είναι αυτό που βρίσκεται ακόμη και στο cloud ή τι συνδέεται με το cloud, πόσο μάλλον τι χρειάζεται προστασία. Για παράδειγμα, μια μελέτη του Cloud Security Alliance δείχνει ότι μόνο το 23% των οργανισμών έχουν πλήρη ορατότητα σε περιβάλλοντα cloud. Και η μελέτη του Illumio στις αρχές του τρέχοντος έτους δείχνει ότι το 46% των οργανισμών δεν έχουν πλήρη ορατότητα στη συνδεσιμότητα των υπηρεσιών cloud του οργανισμού τους.

«Οι άνθρωποι δεν σκέφτονται τι πραγματικά προσπαθούν να επιτύχουν, τι προσπαθούν να προστατεύσουν», λέει. Αυτό είναι ένα θεμελιώδες ζήτημα που αναγκάζει τις εταιρείες να σπαταλούν πολλά χρήματα για την ασφάλεια χωρίς να έχουν δημιουργήσει κατάλληλα προστασία στη διαδικασία, εξηγεί η Kindervag. «Θα έρθουν σε μένα και θα μου πουν "Η μηδενική εμπιστοσύνη δεν λειτουργεί" και θα ρωτήσω, "Λοιπόν, τι προσπαθείς να προστατέψεις;" και θα πουν, "Δεν το έχω σκεφτεί ακόμα αυτό" και η απάντησή μου είναι "Λοιπόν, τότε δεν είσαι καν κοντά στο έναρξη της διαδικασίας μηδενικής εμπιστοσύνης. ""

5. Τα κίνητρα ανάπτυξης του Cloud Native είναι εκτός λειτουργίας

Οι πρακτικές DevOps και η εγγενής ανάπτυξη cloud έχουν βελτιωθεί σημαντικά μέσω της ταχύτητας, της επεκτασιμότητας και της ευελιξίας που τους παρέχουν οι πλατφόρμες και τα εργαλεία cloud. Όταν η ασφάλεια ενσωματωθεί κατάλληλα σε αυτό το μείγμα, μπορούν να συμβούν καλά πράγματα. Αλλά η Kindervag λέει ότι οι περισσότεροι οργανισμοί ανάπτυξης δεν έχουν τα κατάλληλα κίνητρα για να συμβεί αυτό - πράγμα που σημαίνει ότι η υποδομή cloud και όλες οι εφαρμογές που στηρίζονται σε αυτό τίθενται σε κίνδυνο στη διαδικασία.

«Μου αρέσει να λέω ότι οι άνθρωποι της εφαρμογής DevOps είναι οι Ricky Bobbys του IT. Θέλουν απλώς να πάνε γρήγορα. Θυμάμαι ότι μίλησα με τον επικεφαλής ανάπτυξης μιας εταιρείας που τελικά παραβιάστηκε, και τον ρώτησα τι έκανε για την ασφάλεια. Και είπε, «Τίποτα, δεν με νοιάζει η ασφάλεια», λέει ο Kindervag. "Ρώτησα, "Πώς μπορείς να μην σε νοιάζει η ασφάλεια;" και λέει «Επειδή δεν έχω KPI για αυτό. Ο KPI μου λέει ότι πρέπει να κάνω πέντε σπρωξίματα την ημέρα στην ομάδα μου και αν δεν το κάνω αυτό, δεν παίρνω μπόνους».

Η Kindervag λέει ότι αυτό είναι μια απεικόνιση ενός από τα μεγάλα προβλήματα, όχι μόνο στο AppSec, αλλά στη μετάβαση σε μηδενική εμπιστοσύνη για το cloud και όχι μόνο. Πάρα πολλοί οργανισμοί απλά δεν έχουν τις κατάλληλες δομές κινήτρων για να το πραγματοποιήσουν — και στην πραγματικότητα πολλοί έχουν διεστραμμένα κίνητρα που καταλήγουν να ενθαρρύνουν την ανασφαλή πρακτική.

Αυτός είναι ο λόγος για τον οποίο είναι υπέρμαχος της δημιουργίας κέντρων αριστείας μηδενικής εμπιστοσύνης σε επιχειρήσεις που περιλαμβάνουν όχι μόνο τεχνολόγους αλλά και επιχειρηματική ηγεσία στο σχεδιασμό, το σχεδιασμό και τις συνεχείς διαδικασίες λήψης αποφάσεων. Όταν συναντώνται αυτές οι διαλειτουργικές ομάδες, λέει, έχει δει ότι «οι δομές κινήτρων αλλάζουν σε πραγματικό χρόνο», όταν ένα ισχυρό στέλεχος επιχείρησης προχωρά για να πει ότι ο οργανισμός θα κινηθεί προς αυτή την κατεύθυνση.

«Οι πιο επιτυχημένες πρωτοβουλίες μηδενικής εμπιστοσύνης ήταν αυτές στις οποίες συμμετείχαν ηγέτες επιχειρήσεων», λέει ο Kindervag. «Είχα ένα σε μια κατασκευαστική εταιρεία όπου ο εκτελεστικός αντιπρόεδρος - ένας από τους κορυφαίους ηγέτες της εταιρείας - έγινε πρωταθλητής για τον μετασχηματισμό μηδενικής εμπιστοσύνης για το περιβάλλον παραγωγής. Αυτό πήγε πολύ ομαλά γιατί δεν υπήρχαν αναστολείς».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024