Хотя облачная безопасность, безусловно, прошла долгий путь со времен раннего внедрения облачных технологий на Диком Западе, правда в том, что предстоит пройти долгий путь, прежде чем большинство сегодняшних организаций действительно добьются зрелости в своих практиках облачной безопасности. И это обходится организациям очень дорого с точки зрения инцидентов, связанных с безопасностью.

Исследование Вансона Борна Ранее в этом году выяснилось, что почти половина нарушений, с которыми столкнулись организации в прошлом году, возникла в облаке. В том же исследовании выяснилось, что в прошлом году средняя организация потеряла почти 4.1 миллиона долларов из-за взломов облачных технологий.

Дарк Ридинг недавно встретился с крестным отцом безопасности с нулевым доверием Джоном Киндервагом, чтобы обсудить современное состояние облачной безопасности. Будучи аналитиком в Forrester Research, Киндерваг помог концептуализировать и популяризировать модель безопасности с нулевым доверием. Сейчас он является главным евангелистом в Illumio, где, несмотря на свою информационно-просветительскую деятельность, он по-прежнему является активным сторонником нулевого доверия, объясняя, что это ключевой способ перепроектировать безопасность в эпоху облачных вычислений. По мнению Киндервага, чтобы добиться успеха, организации должны учитывать следующие суровые истины.

1. Вы не станете более защищенным, просто перейдя в облако

По словам Киндервага, один из самых больших мифов сегодня об облаке заключается в том, что оно изначально более безопасно, чем большинство локальных сред.

«Существует фундаментальное непонимание облака, что каким-то образом в него встроено больше безопасности, что вы становитесь более защищенными, переходя в облако, просто переходя в облако», — говорит он.

Проблема в том, что, хотя провайдеры гипермасштабируемых облаков могут быть очень хороши в защите инфраструктуры, контроль и ответственность за состояние безопасности своих клиентов, которые они имеют, очень ограничены.

«Многие люди думают, что передают безопасность провайдеру облачных услуг. Они думают, что передают риск», — говорит он. «В сфере кибербезопасности вы никогда не сможете передать риск. Если вы являетесь хранителем этих данных, вы всегда являетесь хранителем данных, независимо от того, кто хранит их для вас».

Вот почему Киндерваг не является большим поклонником часто повторяемой фразы «общая ответственностьПо его словам, это звучит так, будто существует разделение труда и усилий 50 на 50. Он предпочитает фразу «неравномерное рукопожатие», который был придуман его бывшим коллегой из Forrester Джеймсом Стейтеном.

«Это фундаментальная проблема: люди думают, что существует модель совместной ответственности, а вместо этого существует неравномерное рукопожатие», — говорит он.

2. В гибридном мире сложно управлять встроенными средствами безопасности

А пока давайте поговорим об улучшенных встроенных средствах управления облачной безопасностью, которые поставщики создали за последнее десятилетие. Хотя многие провайдеры проделали хорошую работу, предложив клиентам больший контроль над их рабочими нагрузками, идентификацией и видимостью, это качество непостоянно. Как говорит Киндерваг: «Некоторые из них хороши, некоторые нет». Настоящая проблема всех них заключается в том, что ими трудно управлять в реальном мире, помимо изоляции среды одного поставщика.

«Для этого нужно много людей, и в каждом отдельном облаке они разные. Я думаю, что каждая компания, с которой я разговаривал за последние пять лет, использует мультиоблачную и гибридную модели, причем обе модели реализуются одновременно», — говорит он. «Гибридное существо: «Я использую свои локальные ресурсы и облака, я использую несколько облаков, и я могу использовать несколько облаков для предоставления доступа к различным микросервисам для одного приложения». Единственный способ решить эту проблему — иметь средства контроля безопасности, которыми можно было бы управлять во всех многочисленных облаках».

По его словам, это один из главных факторов, стимулирующих дискуссии о переходе с нулевым доверием в облако.

«Нулевое доверие работает независимо от того, куда вы помещаете данные или активы. Это может быть в облаке. Это может быть локально. Это может быть конечная точка», — говорит он.

3. Идентичность не спасет ваше облако

В наши дни, когда так много внимания уделяется управлению идентификацией в облаке, а также непропорционально большое внимание компоненту идентификации при нулевом доверии, организациям важно понимать, что идентификация — это лишь часть хорошо сбалансированного завтрака для нулевого доверия в облаке.

«Большая часть повествования о нулевом доверии касается идентичности, идентичности и еще раз идентичности», — говорит Киндерваг. «Идентичность важна, но мы используем идентичность в политике с нулевым доверием. Это еще не конец. Это не решает всех проблем».

Киндерваг имеет в виду, что при модели нулевого доверия учетные данные не предоставляют пользователям автоматически доступ к чему-либо в пределах данного облака или сети. Политика точно ограничивает то, какой и когда предоставляется доступ к конкретным активам. Киндерваг был давним сторонником сегментации — сетей, рабочих нагрузок, активов, данных — задолго до того, как он начал разрабатывать модель нулевого доверия. Как он поясняет, суть определения доступа с нулевым доверием с помощью политики заключается в разделении вещей на «поверхности защиты», поскольку уровень риска различных типов пользователей, получающих доступ к каждой защищенной поверхности, будет определять политики, которые будут привязаны к любым данным учетным данным.

«Моя миссия — заставить людей сосредоточиться на том, что им нужно защитить, поместить эти важные вещи на различные защитные поверхности, например, ваша база данных кредитных карт PCI должна находиться на отдельной защитной поверхности. Ваша база данных HR должна находиться на отдельной защищенной поверхности. Ваш HMI для вашей системы Интернета вещей или OT-системы должен находиться на отдельной защищенной поверхности», — говорит он. «Когда мы разбиваем проблему на эти небольшие кусочки, мы решаем их по одному за раз и выполняем их один за другим. Это делает его гораздо более масштабируемым и выполнимым».

4. Слишком многие фирмы не знают, что пытаются защитить.

Когда организации решают, как сегментировать свои защищаемые поверхности в облаке, им сначала необходимо четко определить, что именно они пытаются защитить. Это крайне важно, поскольку каждый актив, система или процесс будет нести свой собственный уникальный риск, и это будет определять политику доступа и усиление защиты вокруг него. Шутка в том, что вы не станете строить хранилище стоимостью в 1 миллион долларов, чтобы вместить в него несколько сотен пенни. Облачный эквивалент этого будет заключаться в том, чтобы обеспечить мощную защиту облачного актива, который изолирован от конфиденциальных систем и не содержит конфиденциальной информации.

Киндерваг говорит, что организации очень часто не имеют четкого представления о том, что они защищают в облаке или за его пределами. Фактически, большинство организаций сегодня даже не обязательно имеют четкое представление о том, что именно находится в облаке или что подключается к облаку, не говоря уже о том, что нуждается в защите. Например, исследование Cloud Security Alliance показывает, что только 23% организаций имеют полную видимость облачных сред. А исследование Illumio, проведенное ранее в этом году, показывает, что 46% организаций не имеют полного представления о возможности подключения облачных сервисов своей организации.

«Люди не думают о том, чего они на самом деле пытаются достичь, что они пытаются защитить», — говорит он. «Это фундаментальная проблема, из-за которой компании тратят много денег на безопасность без должной настройки защиты», — объясняет Киндерваг. «Они придут ко мне и скажут: «Нулевое доверие не работает», а я спрошу: «Ну и что вы пытаетесь защитить?» и они скажут: «Я еще об этом не думал», а мой ответ: «Ну, тогда ты даже и близко не подошёл к этому». начало процесса нулевого доверия. '”

5. Стимулы к разработке облачных технологий вышли из строя

Практики DevOps и облачная разработка были значительно улучшены благодаря скорости, масштабируемости и гибкости, обеспечиваемым облачными платформами и инструментами. Когда в эту смесь надлежащим образом включена безопасность, могут произойти хорошие вещи. Но Киндерваг говорит, что большинство организаций-разработчиков не заинтересованы должным образом в том, чтобы это произошло, а это означает, что облачная инфраструктура и все основанные на ней приложения подвергаются риску в процессе.

«Мне нравится говорить, что люди, работающие над DevOps-приложениями, — это Рикки Бобби из ИТ. Они просто хотят идти быстро. Я помню, как разговаривал с руководителем отдела разработки компании, которую в конечном итоге взломали, и спросил его, что он делает с безопасностью. А он ответил: «Ничего, безопасность меня не волнует», — говорит Киндерваг. «Я спросил: «Как можно не заботиться о безопасности?» и он говорит: «Потому что у меня нет для этого KPI». Мой KPI говорит, что я должен делать пять нажатий в день в своей команде, и если я этого не сделаю, я не получу бонус».

Киндерваг говорит, что это иллюстрация одной из больших проблем не только в AppSec, но и в переходе к нулевому доверию в облаке и за его пределами. Слишком многие организации просто не имеют подходящих структур стимулирования, чтобы это произошло, и на самом деле многие из них имеют порочные стимулы, которые в конечном итоге поощряют небезопасную практику.

Вот почему он выступает за создание центров передового опыта с нулевым доверием на предприятиях, которые включают в себя не только технологов, но и бизнес-лидеров в планировании, проектировании и текущих процессах принятия решений. По его словам, когда эти межфункциональные команды встречаются, он видит, как «структуры стимулирования меняются в реальном времени», когда влиятельный руководитель бизнеса выходит вперед и заявляет, что организация собирается двигаться в этом направлении.

«Наиболее успешными инициативами нулевого доверия были те, в которых участвовали бизнес-лидеры», — говорит Киндерваг. «У меня был такой случай в производственной компании, где исполнительный вице-президент — один из высших руководителей компании — стал сторонником трансформации нулевого доверия в производственной среде. Все прошло очень гладко, потому что не было никаких ингибиторов».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024