Vaikka pilviturva onkin edennyt pitkälle villin lännen aikojen jälkeen, kun pilvet otettiin käyttöön varhaisessa vaiheessa, totuus on, että on vielä pitkä matka ennen kuin useimmat organisaatiot ovat nykyään todella kypsyneet pilvitietoturvakäytäntöjään. Ja tämä maksaa organisaatioille valtavasti tietoturvaloukkausten vuoksi.
Vanson Bournen tutkimus aiemmin tänä vuonna osoitti, että lähes puolet organisaatioiden viime vuoden aikana kokemista rikkomuksista on peräisin pilvestä. Samassa tutkimuksessa havaittiin, että keskimääräinen organisaatio menetti lähes 4.1 miljoonaa dollaria pilviloukkausten vuoksi viime vuonna.
Dark Reading tapasi hiljattain nollaluottamuksen turvallisuuden kummisetä John Kindervagin keskustellakseen pilviturvallisuuden tilasta tänään. Kun Kindervag oli Forrester Researchin analyytikko, hän auttoi luomaan nollaluottamustietoturvamallia ja popularisoimaan sitä. Nyt hän on pääevankelista Illumiossa, jossa hän on edelleen vahvasti nollaluottamuksen kannattaja ja selittää, että se on keskeinen tapa suunnitella uudelleen tietoturva pilviaikakaudella. Kindervagin mukaan organisaatioiden tulee käsitellä seuraavia kovia totuuksia menestyäkseen tässä.
1. Et ole turvallisempi vain siirtymällä pilveen
Yksi tämän päivän suurimmista myyteistä pilvestä on, että se on luonnostaan turvallisempi kuin useimmat paikalliset ympäristöt, Kindervag sanoo.
"Pilvessä on perustavanlaatuinen väärinymmärrys siitä, että siihen on jotenkin sisäänrakennettu enemmän turvallisuutta, että olet turvallisempi siirtymällä pilveen pelkästään pilveen", hän sanoo.
Ongelmana on, että vaikka hyperscale-pilvipalveluntarjoajat voivat olla erittäin hyviä suojaamaan infrastruktuuria, heidän asiakkaidensa suojausasennon valvonta ja vastuu on hyvin rajallinen.
"Monet ihmiset ajattelevat ulkoistavansa tietoturvan pilvipalveluntarjoajalle. He luulevat siirtävänsä riskin”, hän sanoo. ”Kyberturvallisuudessa riskiä ei voi koskaan siirtää. Jos olet näiden tietojen säilyttäjä, olet aina tietojen säilyttäjä riippumatta siitä, kuka niitä pitää hallussaan."
Tästä syystä Kindervag ei ole suuri fani usein toistetusta lauseesta "jaettu vastuu”, jonka hän sanoo saavansa kuulostamaan siltä, että työn ja työnjako on 50–50. Hän pitää parempana lauseesta "epätasainen kädenpuristus”, jonka loi hänen entinen kollegansa Forresterissä James Staten.
"Se on se perustavanlaatuinen ongelma, että ihmiset ajattelevat, että on olemassa yhteisvastuumalli, jonka sijaan kädenpuristus on epätasaista", hän sanoo.
2. Alkuperäisiä suojausohjaimia on vaikea hallita hybridimaailmassa
Puhutaanpa sillä välin niistä parannetuista natiivipilven suojausohjaimista, joita palveluntarjoajat ovat rakentaneet viimeisen vuosikymmenen aikana. Vaikka monet palveluntarjoajat ovat tehneet hyvää työtä tarjoten asiakkaille enemmän hallintaa työkuormituksensa, henkilöllisyytensä ja näkyvyyden suhteen, tämä laatu on epäjohdonmukaista. Kuten Kindervag sanoo: "Jotkut heistä ovat hyviä, jotkut eivät." Todellinen ongelma niissä kaikissa on, että niitä on vaikea hallita todellisessa maailmassa, yksittäisen palveluntarjoajan ympäristön eristäytymisen lisäksi.
"Sen tekemiseen tarvitaan paljon ihmisiä, ja he ovat erilaisia jokaisessa pilvessä. Luulen, että jokaisella yrityksellä, jonka kanssa olen puhunut viimeisen viiden vuoden aikana, on multicloud- ja hybridimalli, jotka molemmat tapahtuvat samaan aikaan”, hän sanoo. "Hybridioleto: 'Käytän paikan päällä olevia juttujani ja pilviä, ja käytän useita pilviä, ja saatan käyttää useita pilviä tarjotakseni pääsyn erilaisiin mikropalveluihin yhdelle sovellukselle." Ainoa tapa ratkaista tämä ongelma on turvallisuuden hallinta, jota voidaan hallita kaikissa useissa pilvissä."
Tämä on yksi suurimmista tekijöistä, jotka ohjaavat keskusteluja nollaluottamuksen siirtämisestä pilveen, hän sanoo.
”Nolla luottamus toimii riippumatta siitä, mihin sijoitat tiedot tai resurssit. Se voi olla pilvessä. Se voi olla paikan päällä. Se voi olla päätepisteessä, hän sanoo.
3. Identiteetti ei pelasta pilvesi
Koska pilvi-identiteetin hallintaan kiinnitetään nykyään niin paljon huomiota ja identiteettikomponenttiin kiinnitetään suhteettomasti huomiota nollaluottamuksella, on tärkeää, että organisaatiot ymmärtävät, että identiteetti on vain osa tasapainoista aamiaista nollaluottamukselle pilveen.
"Niin suuri osa nollaluottamuskertomuksesta koskee identiteettiä, identiteettiä, identiteettiä", Kindervag sanoo. ”Identiteetti on tärkeää, mutta käytämme identiteettiä politiikassa nollassa luottamuksessa. Se ei ole kaiken loppu, olkoon kaikki. Se ei ratkaise kaikkia ongelmia."
Kindervag tarkoittaa sitä, että nollaluottamusmallissa käyttäjätiedot eivät automaattisesti anna käyttäjille pääsyä mihinkään auringon alla tietyssä pilvessä tai verkossa. Käytäntö rajoittaa tarkalleen, mitä ja milloin tiettyihin omaisuuseriin pääsy annetaan. Kindervag on pitkään kannattanut segmentointia – verkkoja, työkuormia, resursseja ja dataa – kauan ennen kuin hän aloitti nollaluottamusmallin kartoittamisen. Kuten hän selittää, nollaluottamuksellisen pääsyn määrittelemisen ydin on asioiden jakaminen "suojapinnoiksi", koska erilaisten käyttäjien riskitaso, joka käyttää jokaista suojattua pintaa, määrittelee käytännöt, jotka liitetään mihin tahansa tiettyyn valtuustietoon.
”Se on minun tehtäväni, saada ihmiset keskittymään siihen, mitä he tarvitsevat suojaamaan, laittamaan tärkeitä asioita erilaisille suojapinnoille, kuten PCI-luottokorttitietokantasi pitäisi olla omalla suojapinnallaan. HR-tietokantasi tulee olla omalla suojapinnallaan. IoT- tai OT-järjestelmäsi käyttöliittymän tulee olla omalla suojapinnallaan”, hän sanoo. ”Kun jaamme ongelman pieniksi pureman kokoisiksi paloiksi, ratkaisemme ne pala kerrallaan ja teemme ne yksi kerrallaan. Se tekee siitä paljon skaalautuvampaa ja toteutettavissa olevaa."
4. Liian monet yritykset eivät tiedä, mitä he yrittävät suojella
Kun organisaatiot päättävät, miten suojattavat pinnansa segmentoidaan pilvessä, niiden on ensin määriteltävä selkeästi, mitä he yrittävät suojata. Tämä on ratkaisevan tärkeää, koska jokaisella omaisuudella, järjestelmällä tai prosessilla on oma ainutlaatuinen riskinsä, ja se määrittää pääsyn käytännöt ja sitä ympäröivän koventamisen. Vitsi on, että et rakentaisi miljoonan dollarin holvia muutaman sadan penniä varten. Sitä vastaava pilvi tarjoaisi runsaasti suojaa pilviresurssille, joka on eristetty arkaluonteisista järjestelmistä ja joka ei sisällä arkaluonteisia tietoja.
Kindervagin mukaan on uskomattoman yleistä, että organisaatioilla ei ole selkeää käsitystä siitä, mitä ne suojaavat pilvessä tai sen ulkopuolella. Itse asiassa useimmilla organisaatioilla ei nykyään välttämättä edes ole selkeää käsitystä siitä, mitä pilvessä on tai mikä pilveen liittyy, puhumattakaan siitä, mikä tarvitsee suojaa. Esimerkiksi, Cloud Security Alliancen tutkimus osoittaa, että vain 23 prosentilla organisaatioista on täysi näkyvyys pilviympäristöihin. Ja Illumio-tutkimus aiemmin tänä vuonna osoittaa, että 46 prosentilla organisaatioista ei ole täyttä näkyvyyttä organisaationsa pilvipalveluiden liitettävyydestä.
"Ihmiset eivät ajattele, mitä he todella yrittävät saada aikaan, mitä he yrittävät suojella", hän sanoo. Tämä on peruskysymys, joka saa yritykset tuhlaamaan paljon turvallisuusrahoja ilman, että prosessissa suojataan asianmukaisesti, Kindervag selittää. "He tulevat luokseni ja sanovat, että "nollaluottamus ei toimi", ja minä kysyn: "No, mitä yrität suojella?" ja he sanovat: "En ole ajatellut sitä vielä", ja vastaukseni on "No, sitten et ole edes lähellä nollaluottamusprosessin aloittaminen. "
5. Cloud Native -kehityskannustimet ovat loppuneet
DevOps-käytännöt ja pilvipohjainen kehitys on parantunut huomattavasti pilvialustojen ja -työkalujen tarjoaman nopeuden, skaalautuvuuden ja joustavuuden ansiosta. Kun turvallisuus on kerrostettu asianmukaisesti tähän sekoitukseen, voi tapahtua hyviä asioita. Mutta Kindervag sanoo, että useimpia kehitysorganisaatioita ei ole asianmukaisesti kannustettu toteuttamaan tätä - mikä tarkoittaa, että pilviinfrastruktuuri ja kaikki siihen perustuvat sovellukset ovat vaarassa prosessissa.
"Haluan sanoa, että DevOps-sovelluksen ihmiset ovat IT:n Ricky Bobbyja. He haluavat vain mennä nopeasti. Muistan puhuneeni yrityksen kehityspäällikön kanssa, joka lopulta joutui murtautumaan, ja kysyin häneltä, mitä hän teki turvallisuuden suhteen. Ja hän sanoi: "Ei mitään, en välitä turvallisuudesta", Kindervag sanoo. "Kysyin: 'Miten et välitä turvallisuudesta?' ja hän sanoo: "Koska minulla ei ole KPI:tä sille. KPI sanoo, että minun täytyy tehdä viisi työntöä päivässä tiimissäni, ja jos en tee sitä, en saa bonusta.'”
Kindervagin mukaan tämä on esimerkki yhdestä suurista ongelmista, ei vain AppSecissä, vaan siirtymisessä nollaluottamukseen pilvessä ja sen ulkopuolella. Liian monilla organisaatioilla ei yksinkertaisesti ole oikeita kannustinrakenteita sen toteuttamiseksi – ja itse asiassa monilla on vääristyneitä kannustimia, jotka lopulta rohkaisevat epävarmoja käytäntöjä.
Tästä syystä hän kannattaa nollaluottamuskeskusten rakentamista yrityksiin, joissa ei ole vain teknologioita vaan myös yritysten johtajuutta suunnittelussa, suunnittelussa ja jatkuvassa päätöksentekoprosesseissa. Kun nämä monialaiset tiimit tapaavat, hän sanoo, että "kannustinrakenteet muuttuvat reaaliajassa", kun voimakas yritysjohtaja astuu eteenpäin ja sanoo, että organisaatio aikoo siirtyä tähän suuntaan.
"Menestyneimmät nollaluottamushankkeet olivat ne, joihin yritysjohtajat osallistuivat", Kindervag sanoo. ”Minulla oli sellainen tuotantoyhtiössä, jossa varatoimitusjohtajasta – yhdestä yrityksen huippujohtajista – tuli nollaluottamuksen muutoksen mestari tuotantoympäristössä. Se sujui erittäin sujuvasti, koska estäjiä ei ollut."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
