Även om molnsäkerhet förvisso har kommit en bra bit på vägen sedan de vilda västern-dagarna av tidig molnintroduktion, är sanningen att det är en lång väg kvar innan de flesta organisationer idag verkligen har mognat sina molnsäkerhetsmetoder. Och detta kostar organisationer oerhört mycket när det gäller säkerhetsincidenter.

En Vanson Bourne-studie tidigare i år visade att nästan hälften av de intrång som organisationer drabbats av under det senaste året har sitt ursprung i molnet. Samma studie fann att den genomsnittliga organisationen förlorade nästan 4.1 miljoner dollar på molnintrång under det senaste året.

Dark Reading träffade nyligen gudfadern för nollförtroendesäkerhet, John Kindervag, för att diskutera tillståndet för molnsäkerhet idag. När han var analytiker på Forrester Research hjälpte Kindervag till att konceptualisera och popularisera nollförtroendesäkerhetsmodellen. Nu är han chefevangelist på Illumio, där han, mitt i sin uppsökande verksamhet, fortfarande är en förespråkare för noll förtroende, och förklarar att det är ett viktigt sätt att omforma säkerheten i molnets era. Enligt Kindervag måste organisationer hantera följande hårda sanningar för att nå framgång med detta.

1. Du blir inte säkrare bara genom att gå till molnet

En av de största myterna idag om molnet är att det är medfödd säkrare än de flesta lokala miljöer, säger Kindervag.

"Det finns ett grundläggande missförstånd om molnet att det på något sätt finns mer säkerhet inbyggt i det, att du är säkrare genom att gå till molnet bara genom att gå till molnet", säger han.

Problemet är att även om hyperskala molnleverantörer kan vara väldigt bra på att skydda infrastruktur, är kontrollen och ansvaret över deras kunders säkerhetsställning mycket begränsad.

"Många tror att de lägger ut säkerheten på entreprenad till molnleverantören. De tror att de överför risken, säger han. "Inom cybersäkerhet kan du aldrig överföra risken. Om du är väktaren av dessa uppgifter är du alltid väktaren av uppgifterna, oavsett vem som håller den åt dig.”

Det är därför Kindervag inte är ett stort fan av den ofta upprepade frasen "delat ansvar, vilket han säger får det att låta som att det finns en 50-50 arbetsfördelning och ansträngning. Han föredrar frasen "ojämnt handslag", som myntades av hans tidigare kollega på Forrester, James Staten.

"Det är det grundläggande problemet, det är att folk tror att det finns en modell för delat ansvar, och det blir ett ojämnt handslag istället", säger han.

2. Inbyggda säkerhetskontroller är svåra att hantera i en hybridvärld

Under tiden, låt oss prata om de förbättrade inbyggda molnsäkerhetskontrollerna som leverantörer har byggt upp under det senaste decenniet. Även om många leverantörer har gjort ett bra jobb med att erbjuda kunderna mer kontroll över deras arbetsbelastning, identiteter och synlighet, är den kvaliteten inkonsekvent. Som Kindervag säger: "En del av dem är bra, andra är det inte." Det verkliga problemet för dem alla är att de är svåra att hantera ute i den verkliga världen, bortom isoleringen av en enskild leverantörs miljö.

"Det krävs många människor för att göra det, och de är olika i varje moln. Jag tror att alla företag som jag har pratat med de senaste fem åren har en multimoln- och en hybridmodell, som båda händer samtidigt, säger han. "Hybrid är: "Jag använder mina lokala saker och moln, och jag använder flera moln, och jag kanske använder flera moln för att ge tillgång till olika mikrotjänster för en enda applikation." Det enda sättet att lösa det här problemet är att ha en säkerhetskontroll som kan hanteras över alla flera moln.”

Detta är en av de stora faktorerna som driver diskussioner om att flytta noll förtroende till molnet, säger han.

"Noll förtroende fungerar oavsett var du placerar data eller tillgångar. Det kan vara i molnet. Det kan vara på plats. Det kan vara på en slutpunkt, säger han.

3. Identitet kommer inte att rädda ditt moln

Med så stor tonvikt på molnidentitetshantering i dessa dagar, och oproportionerlig uppmärksamhet på identitetskomponenten i noll förtroende, är det viktigt för organisationer att förstå att identitet bara är en del av en välbalanserad frukost för noll förtroende i molnet.

"Så mycket av nollförtroendeberättelsen handlar om identitet, identitet, identitet," säger Kindervag. ”Identitet är viktigt, men vi konsumerar identitet i politiken utan förtroende. Det är inte slutet av allt, var allt. Det löser inte alla problem.”

Vad Kindervag menar är att med en nollförtroendemodell ger användaruppgifter inte automatiskt åtkomst till något under solen inom ett givet moln eller nätverk. Policyn begränsar exakt vad och när åtkomst ges till specifika tillgångar. Kindervag har länge varit en förespråkare för segmentering - av nätverk, arbetsbelastningar, tillgångar, data - långt innan han började kartlägga nollförtroendemodellen. Som han förklarar, är hjärtat i att definiera noll förtroendeåtkomst genom policy att dela upp saker i "skyddsytor", eftersom risknivån för olika typer av användare som kommer åt varje skyddsyta kommer att definiera policyerna som kommer att kopplas till en given referens.

"Det är mitt uppdrag, är att få människor att fokusera på vad de behöver skydda, lägga de viktiga sakerna på olika skyddsytor, som att din PCI-kreditkortsdatabas ska vara i sin egen skyddsyta. Din HR-databas bör vara i sin egen skyddsyta. Ditt HMI för ditt IoT-system eller OT-system bör vara i sin egen skyddsyta”, säger han. "När vi delar upp problemet i de här små bitarna, löser vi dem en bit i taget och vi gör dem en efter en. Det gör det mycket mer skalbart och genomförbart.”

4. För många företag vet inte vad de försöker skydda

När organisationer bestämmer hur de ska segmentera sina skyddsytor i molnet måste de först tydligt definiera vad det är som de försöker skydda. Detta är avgörande eftersom varje tillgång eller system eller process kommer att bära sin egen unika risk, och det kommer att avgöra policyerna för åtkomst och hårdheten runt den. Skämtet är att du inte skulle bygga ett valv på 1 miljon dollar för att hysa några hundra ören. Molnet som motsvarar det skulle vara att sätta massor av skydd runt en molntillgång som är isolerad från känsliga system och inte innehåller känslig information.

Kindervag säger att det är otroligt vanligt att organisationer inte har en klar uppfattning om vad de skyddar i molnet eller utanför. Faktum är att de flesta organisationer idag inte ens nödvändigtvis har en klar uppfattning om vad det är som ens finns i molnet eller vad som ansluter till molnet, än mindre vad som behöver skyddas. Till exempel, en Cloud Security Alliance-studie visar att endast 23 % av organisationerna har full insyn i molnmiljöer. Och Illumio-studien från tidigare i år visar att 46 % av organisationerna inte har full insyn i anslutningen av deras organisations molntjänster.

"Folk tänker inte på vad de faktiskt försöker åstadkomma, vad de försöker skydda", säger han. Detta är en grundläggande fråga som gör att företag slösar mycket säkerhetspengar utan att på lämpligt sätt sätta upp skydd i processen, förklarar Kindervag. "De kommer till mig och säger 'Noll förtroende fungerar inte', och jag kommer att fråga, 'Jaha, vad försöker du skydda?' och de kommer att säga: 'Jag har inte tänkt på det än' och mitt svar är 'Ja, då är du inte ens i närheten av börjar processen med noll förtroende. ””

5. Incitament för molnbaserad utveckling är ur spel

DevOps-praxis och molnbaserad utveckling har förbättrats avsevärt genom den hastighet, skalbarhet och flexibilitet som molnplattformar och verktyg ger dem. När säkerheten är lämpligt inlagd i den mixen kan bra saker hända. Men Kindervag säger att de flesta utvecklingsorganisationer inte har rätt incitament att få det att hända - vilket innebär att molninfrastruktur och alla applikationer som vilar på den utsätts för risker i processen.

"Jag tycker om att säga att DevOps-appen är IT-teknikernas Ricky Bobbys. De vill bara gå fort. Jag minns att jag pratade med utvecklingschefen på ett företag som till slut blev intrång, och jag frågade honom vad han gjorde om säkerheten. Och han sa: 'Ingenting, jag bryr mig inte om säkerhet', säger Kindervag. "Jag frågade, 'Hur kan du inte bry dig om säkerheten?' och han säger 'Eftersom jag inte har någon KPI för det. Min KPI säger att jag måste göra fem push om dagen i mitt lag, och om jag inte gör det får jag ingen bonus.'”

Kindervag säger att detta är en illustration av ett av de stora problemen, inte bara i AppSec, utan att gå till noll förtroende för molnet och bortom det. Alltför många organisationer har helt enkelt inte de rätta incitamentsstrukturerna för att få det att hända - och i själva verket har många perversa incitament som i slutändan uppmuntrar osäker praktik.

Det är därför han är en förespråkare för att bygga upp noll trust centers of excellence inom företag som inkluderar inte bara teknologer utan även företagsledarskap i planerings-, design- och pågående beslutsprocesser. När dessa tvärfunktionella team möts, säger han, har han sett "incitamentstrukturer förändras i realtid" när en kraftfull företagsledare kliver fram för att säga att organisationen kommer att gå i den riktningen.

"De mest framgångsrika initiativen med noll förtroende var de där företagsledare engagerade sig", säger Kindervag. "Jag hade en i ett tillverkningsföretag där vicepresidenten - en av företagets högsta ledare - blev en förkämpe för noll förtroendeförändring för tillverkningsmiljön. Det gick väldigt smidigt eftersom det inte fanns några inhibitorer.”

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024