प्लेटो डेटा इंटेलिजेंस।
लंबवत खोज और एआई।

साइबर सुरक्षा

5 में क्लाउड सुरक्षा की स्थिति के बारे में 2024 कठिन सत्य

प्लेटो द्वारा पुनर्प्रकाशित
प्लेटो द्वारा पुनर्प्रकाशित

दिनांक:

दृश्य: 0

हालाँकि क्लाउड सुरक्षा ने निश्चित रूप से शुरुआती क्लाउड अपनाने के पश्चिमी दिनों के बाद से एक लंबा सफर तय किया है, लेकिन सच्चाई यह है कि आज अधिकांश संगठनों को अपनी क्लाउड सुरक्षा प्रथाओं को वास्तव में परिपक्व करने से पहले एक लंबा रास्ता तय करना है। और सुरक्षा घटनाओं के मामले में संगठनों को इसकी भारी कीमत चुकानी पड़ रही है।

एक वैनसन बॉर्न अध्ययन इस वर्ष की शुरुआत में पता चला कि पिछले वर्ष संगठनों द्वारा किए गए उल्लंघनों में से लगभग आधे क्लाउड में उत्पन्न हुए थे। उसी अध्ययन में पाया गया कि पिछले वर्ष क्लाउड उल्लंघनों के कारण औसत संगठन को लगभग $4.1 मिलियन का नुकसान हुआ।

डार्क रीडिंग ने हाल ही में क्लाउड सुरक्षा की स्थिति पर चर्चा करने के लिए जीरो ट्रस्ट सुरक्षा के गॉडफादर, जॉन किंडरवाग से मुलाकात की। जब वह फॉरेस्टर रिसर्च में विश्लेषक थे, तो किंडरवाग ने शून्य विश्वास सुरक्षा मॉडल की संकल्पना और लोकप्रिय बनाने में मदद की। अब वह इलुमियो में मुख्य प्रचारक हैं, जहां अपनी पहुंच के बीच वह अभी भी शून्य विश्वास के समर्थक हैं, यह समझाते हुए कि यह क्लाउड युग में सुरक्षा को नया स्वरूप देने का एक महत्वपूर्ण तरीका है। किंडरवाग के अनुसार, इसमें सफलता प्राप्त करने के लिए संगठनों को निम्नलिखित कठिन सच्चाइयों से निपटना होगा।

1. केवल क्लाउड पर जाने से आप अधिक सुरक्षित नहीं हो जाते

किंडरवाग का कहना है कि क्लाउड के बारे में आज सबसे बड़े मिथकों में से एक यह है कि यह अधिकांश ऑन-प्रिमाइसेस वातावरणों की तुलना में स्वाभाविक रूप से अधिक सुरक्षित है।

वे कहते हैं, "क्लाउड के बारे में एक बुनियादी ग़लतफ़हमी है कि इसमें मूल रूप से अधिक सुरक्षा अंतर्निहित है, कि क्लाउड पर जाने मात्र से आप अधिक सुरक्षित हो जाते हैं।"

समस्या यह है कि हालांकि हाइपरस्केल क्लाउड प्रदाता बुनियादी ढांचे की सुरक्षा में बहुत अच्छे हो सकते हैं, लेकिन उनके ग्राहकों की सुरक्षा स्थिति पर उनका नियंत्रण और जिम्मेदारी बहुत सीमित है।

“बहुत से लोग सोचते हैं कि वे क्लाउड प्रदाता को सुरक्षा आउटसोर्स कर रहे हैं। वे सोचते हैं कि वे जोखिम स्थानांतरित कर रहे हैं," वे कहते हैं। “साइबर सुरक्षा में, आप कभी भी जोखिम स्थानांतरित नहीं कर सकते। यदि आप उस डेटा के संरक्षक हैं, तो आप हमेशा डेटा के संरक्षक हैं, इससे कोई फर्क नहीं पड़ता कि इसे आपके लिए कौन रखता है।

यही कारण है कि किंडरवाग बार-बार दोहराए जाने वाले वाक्यांश का बड़ा प्रशंसक नहीं है "साझा जिम्मेदारी, '' वह जो कहते हैं उससे ऐसा लगता है जैसे श्रम और प्रयास का 50-50 विभाजन है। वह वाक्यांश पसंद करते हैं "असमान हाथ मिलाना,'' जिसे फॉरेस्टर में उनके पूर्व सहयोगी, जेम्स स्टेटन द्वारा गढ़ा गया था।

"यही मूल समस्या है, कि लोग सोचते हैं कि एक साझा जिम्मेदारी मॉडल है, और इसके बजाय एक असमान हाथ मिलाना है," वे कहते हैं।

2. हाइब्रिड दुनिया में मूल सुरक्षा नियंत्रणों को प्रबंधित करना कठिन है

इस बीच, आइए उन बेहतर देशी क्लाउड सुरक्षा नियंत्रणों के बारे में बात करें जो प्रदाताओं ने पिछले दशक में बनाए हैं। जबकि कई प्रदाताओं ने ग्राहकों को उनके कार्यभार, पहचान और दृश्यता पर अधिक नियंत्रण प्रदान करने के लिए अच्छा काम किया है, लेकिन वह गुणवत्ता असंगत है। जैसा कि किंडरवाग कहते हैं, "उनमें से कुछ अच्छे हैं, कुछ नहीं।" उन सभी में वास्तविक समस्या यह है कि एकल प्रदाता के वातावरण के अलगाव से परे, वास्तविक दुनिया में उनका प्रबंधन करना कठिन है।

“इसे करने के लिए बहुत सारे लोगों की आवश्यकता होती है, और वे हर एक बादल में अलग-अलग होते हैं। मुझे लगता है कि पिछले पांच वर्षों में मैंने जिस भी कंपनी से बात की है, उसके पास एक मल्टीक्लाउड और एक हाइब्रिड मॉडल है, दोनों एक ही समय में हो रहे हैं, ”वह कहते हैं। "हाइब्रिड, 'मैं अपने ऑन-प्रिमाइसेस सामान और क्लाउड का उपयोग कर रहा हूं, और मैं कई क्लाउड का उपयोग कर रहा हूं, और मैं एक ही एप्लिकेशन के लिए विभिन्न माइक्रोसर्विसेज तक पहुंच प्रदान करने के लिए कई क्लाउड का उपयोग कर सकता हूं।' एकमात्र तरीका जिससे आप इस समस्या को हल कर सकते हैं वह एक सुरक्षा नियंत्रण है जिसे सभी कई बादलों में प्रबंधित किया जा सकता है।

उनका कहना है कि यह शून्य भरोसे को क्लाउड पर ले जाने के बारे में चर्चा को चलाने वाले बड़े कारकों में से एक है।

“कोई फर्क नहीं पड़ता कि आप डेटा या संपत्ति कहाँ रखते हैं, शून्य विश्वास काम करता है। यह बादल में हो सकता है. यह ऑन-प्रिमाइसेस हो सकता है. यह अंतिम बिंदु पर हो सकता है,'' वह कहते हैं।

3. पहचान आपके बादल को नहीं बचाएगी

आजकल क्लाउड पहचान प्रबंधन पर इतना जोर दिया जा रहा है, और शून्य भरोसे में पहचान घटक पर असंगत ध्यान दिया जा रहा है, संगठनों के लिए यह समझना महत्वपूर्ण है कि पहचान क्लाउड में शून्य भरोसे के लिए एक अच्छी तरह से संतुलित नाश्ते का ही हिस्सा है।

किंडरवाग कहते हैं, "शून्य विश्वास की अधिकांश कथा पहचान, पहचान, पहचान के बारे में है।" “पहचान महत्वपूर्ण है, लेकिन हम शून्य विश्वास में नीति में पहचान का उपभोग करते हैं। यह सब कुछ का अंत नहीं है, सब कुछ हो। यह सभी समस्याओं का समाधान नहीं है।”

किंडरवाग का मतलब यह है कि शून्य विश्वास मॉडल के साथ, क्रेडेंशियल उपयोगकर्ताओं को किसी दिए गए क्लाउड या नेटवर्क के भीतर सूर्य के नीचे किसी भी चीज़ तक स्वचालित रूप से पहुंच नहीं देते हैं। नीति यह सीमित करती है कि विशिष्ट परिसंपत्तियों तक कब और क्या पहुंच दी जाए। किंडरवाग लंबे समय से नेटवर्क, वर्कलोड, संपत्ति, डेटा के विभाजन के समर्थक रहे हैं - इससे पहले कि उन्होंने जीरो ट्रस्ट मॉडल की मैपिंग शुरू की। जैसा कि वह बताते हैं, नीति द्वारा शून्य विश्वास पहुंच को परिभाषित करने का मूल उद्देश्य चीजों को "सुरक्षित सतहों" में विभाजित करना है, क्योंकि प्रत्येक संरक्षित सतह तक पहुंचने वाले विभिन्न प्रकार के उपयोगकर्ताओं का जोखिम स्तर उन नीतियों को परिभाषित करेगा जो किसी भी दिए गए क्रेडेंशियल से जुड़ी होंगी।

“यह मेरा मिशन है, लोगों को इस बात पर ध्यान केंद्रित करना है कि उन्हें किस चीज़ की सुरक्षा करने की आवश्यकता है, उस महत्वपूर्ण सामग्री को विभिन्न सुरक्षा सतहों में रखें, जैसे कि आपका पीसीआई क्रेडिट कार्ड डेटाबेस अपनी स्वयं की सुरक्षा सतह में होना चाहिए। आपका HR डेटाबेस अपनी स्वयं की सुरक्षित सतह पर होना चाहिए। आपके IoT सिस्टम या OT सिस्टम के लिए आपका HMI अपनी सुरक्षा सतह पर होना चाहिए,'' वे कहते हैं। “जब हम समस्या को इन छोटे-छोटे टुकड़ों में बांटते हैं, तो हम उन्हें एक समय में एक टुकड़े में हल करते हैं, और हम उन्हें एक के बाद एक करते हैं। यह इसे और अधिक स्केलेबल और व्यवहार्य बनाता है।"

4. बहुत सी कंपनियाँ नहीं जानतीं कि वे क्या सुरक्षित रखने का प्रयास कर रही हैं

जैसा कि संगठन तय करते हैं कि क्लाउड में अपनी सुरक्षा सतहों को कैसे विभाजित किया जाए, उन्हें पहले स्पष्ट रूप से परिभाषित करने की आवश्यकता है कि वे क्या सुरक्षा करने की कोशिश कर रहे हैं। यह महत्वपूर्ण है क्योंकि प्रत्येक परिसंपत्ति या प्रणाली या प्रक्रिया का अपना अनूठा जोखिम होगा, और यह पहुंच के लिए नीतियों और इसके चारों ओर सख्तता का निर्धारण करेगा। मज़ाक यह है कि आप कुछ सौ पैसों को रखने के लिए $1 मिलियन की तिजोरी नहीं बना सकते। इसके समतुल्य क्लाउड एक ऐसे क्लाउड एसेट के चारों ओर ढेर सारी सुरक्षा लगाएगा जो संवेदनशील प्रणालियों से अलग है और जिसमें संवेदनशील जानकारी नहीं है।

किंडरवाग का कहना है कि संगठनों के लिए यह अविश्वसनीय रूप से सामान्य है कि उन्हें इस बात का स्पष्ट अंदाजा नहीं है कि वे क्लाउड में या उससे परे क्या सुरक्षा कर रहे हैं। वास्तव में, आज अधिकांश संगठनों को इस बात की स्पष्ट जानकारी भी नहीं है कि क्लाउड में क्या है या क्लाउड से क्या जुड़ता है, यह तो दूर की बात है कि किस चीज़ की सुरक्षा की आवश्यकता है। उदाहरण के लिए, एक क्लाउड सुरक्षा एलायंस अध्ययन दर्शाता है कि केवल 23% संगठनों के पास क्लाउड वातावरण में पूर्ण दृश्यता है। और इस साल की शुरुआत में इल्लुमियो अध्ययन से पता चलता है कि 46% संगठनों को अपने संगठन की क्लाउड सेवाओं की कनेक्टिविटी की पूरी जानकारी नहीं है।

वे कहते हैं, "लोग इस बारे में नहीं सोचते कि वे वास्तव में क्या हासिल करने की कोशिश कर रहे हैं, वे क्या बचाने की कोशिश कर रहे हैं।" किंडरवाग बताते हैं कि यह एक बुनियादी मुद्दा है जिसके कारण कंपनियां इस प्रक्रिया में उचित सुरक्षा स्थापित किए बिना बहुत सारी सुरक्षा राशि बर्बाद कर देती हैं। "वे मेरे पास आएंगे और कहेंगे 'शून्य विश्वास काम नहीं कर रहा है,' और मैं पूछूंगा, 'अच्छा, आप किसकी रक्षा करने की कोशिश कर रहे हैं?' और वे कहेंगे, 'मैंने अभी तक इसके बारे में नहीं सोचा है,' और मेरा उत्तर होगा, 'ठीक है, तो आप इसके करीब भी नहीं हैं शून्य विश्वास की प्रक्रिया शुरू करना। ' "

5. क्लाउड नेटिव डेवलपमेंट प्रोत्साहन अप्रचलित हैं

क्लाउड प्लेटफ़ॉर्म और टूलींग द्वारा प्रदान की गई गति, स्केलेबिलिटी और लचीलेपन के माध्यम से DevOps प्रथाओं और क्लाउड नेटिव विकास को काफी बढ़ाया गया है। जब सुरक्षा को उस मिश्रण में उचित रूप से शामिल किया जाता है, तो अच्छी चीजें हो सकती हैं। लेकिन किंडरवाग का कहना है कि अधिकांश विकास संगठनों को ऐसा करने के लिए उचित रूप से प्रोत्साहित नहीं किया जाता है - जिसका अर्थ है कि क्लाउड इंफ्रास्ट्रक्चर और उस पर निर्भर सभी एप्लिकेशन इस प्रक्रिया में जोखिम में डाल दिए जाते हैं।

“मुझे यह कहना पसंद है कि DevOps ऐप के लोग आईटी के रिकी बॉबी हैं। वे बस तेजी से आगे बढ़ना चाहते हैं। मुझे याद है कि मैं एक कंपनी के विकास प्रमुख से बात कर रहा था जिसका अंततः उल्लंघन हो गया था, और मैं उससे पूछ रहा था कि वह सुरक्षा के बारे में क्या कर रहा है। और उन्होंने कहा, 'कुछ नहीं, मुझे सुरक्षा की परवाह नहीं है,'' किंडरवाग कहते हैं। "मैंने पूछा, 'आप सुरक्षा की परवाह कैसे नहीं कर सकते?' और वह कहते हैं 'क्योंकि मेरे पास इसके लिए KPI नहीं है। मेरा KPI कहता है कि मुझे अपनी टीम में प्रतिदिन पाँच पुश करने होंगे, और यदि मैं ऐसा नहीं करता, तो मुझे बोनस नहीं मिलेगा।''

किंडरवाग का कहना है कि यह न केवल ऐपसेक में, बल्कि क्लाउड और उससे आगे के लिए शून्य भरोसे की ओर बढ़ने में बड़ी समस्याओं में से एक का उदाहरण है। बहुत से संगठनों के पास ऐसा करने के लिए सही प्रोत्साहन संरचनाएं नहीं हैं - और वास्तव में कई के पास विकृत प्रोत्साहन हैं जो अंततः असुरक्षित अभ्यास को प्रोत्साहित करते हैं।

यही कारण है कि वह उद्यमों के भीतर उत्कृष्टता के शून्य विश्वास केंद्रों के निर्माण के समर्थक हैं, जिसमें न केवल प्रौद्योगिकीविद् बल्कि योजना, डिजाइन और चल रही निर्णय लेने की प्रक्रियाओं में व्यावसायिक नेतृत्व भी शामिल है। वह कहते हैं, जब ये क्रॉस-फ़ंक्शनल टीमें मिलती हैं, तो उन्होंने देखा है कि "प्रोत्साहन संरचनाएं वास्तविक समय में बदलती हैं" जब एक शक्तिशाली व्यवसाय कार्यकारी यह कहने के लिए आगे बढ़ता है कि संगठन उस दिशा में आगे बढ़ने जा रहा है।

किंडरवाग कहते हैं, "सबसे सफल शून्य विश्वास पहल वे थीं जहां व्यापारिक नेता शामिल हुए।" “मेरे पास एक विनिर्माण कंपनी थी जहां कार्यकारी उपाध्यक्ष - कंपनी के शीर्ष नेताओं में से एक - विनिर्माण वातावरण के लिए शून्य विश्वास परिवर्तन के लिए एक चैंपियन बन गया। यह बहुत आसानी से हो गया क्योंकि कोई अवरोधक नहीं थे।''

स्पॉट_आईएमजी

नवीनतम खुफिया

स्पॉट_आईएमजी

कॉपीराइट @ 2024 प्लेटो टेक्नोलॉजीज इंक।

हमारे साथ चैट करें

नमस्ते! मैं आपकी कैसे मदद कर सकता हूँ?