Chociaż bezpieczeństwo w chmurze z pewnością przeszło długą drogę od czasów wczesnego przyjęcia chmury na Dzikim Zachodzie, prawda jest taka, że przed większością współczesnych organizacji naprawdę dojrzała praktyki w zakresie bezpieczeństwa w chmurze, przed którymi jest jeszcze długa droga. A to ogromnie kosztuje organizacje, jeśli chodzi o incydenty związane z bezpieczeństwem.
Badanie Vansona Bourne’a na początku tego roku pokazało, że prawie połowa naruszeń, których doznały organizacje w ubiegłym roku, miała swój początek w chmurze. To samo badanie wykazało, że w zeszłym roku przeciętna organizacja straciła prawie 4.1 miliona dolarów w wyniku naruszeń rozwiązań chmurowych.
Firma Dark Reading spotkała się niedawno z ojcem chrzestnym bezpieczeństwa zerowego zaufania, Johnem Kindervagiem, aby omówić dzisiejszy stan bezpieczeństwa chmury. Kiedy był analitykiem w Forrester Research, Kindervag pomógł w opracowaniu i spopularyzowaniu modelu bezpieczeństwa zerowego zaufania. Obecnie jest głównym ewangelistą w firmie Illumio, gdzie w ramach swoich działań informacyjnych nadal jest zwolennikiem zerowego zaufania, wyjaśniając, że jest to kluczowy sposób na przeprojektowanie bezpieczeństwa w erze chmury. Według Kindervaga organizacje muszą zmierzyć się z następującymi twardymi prawdami, aby osiągnąć sukces.
1. Nie zwiększysz bezpieczeństwa po prostu przechodząc do chmury
Kindervag twierdzi, że jednym z największych mitów na temat chmury jest to, że jest z natury bezpieczniejsza niż większość środowisk lokalnych.
„Panuje zasadnicze niezrozumienie chmury, że w jakiś sposób natywnie jest w nią wbudowane większe bezpieczeństwo i że przejście do chmury jest bezpieczniejsze przez sam fakt przejścia do chmury” – mówi.
Problem polega na tym, że chociaż dostawcy chmur hiperskalowych mogą być bardzo dobrzy w ochronie infrastruktury, ich kontrola i odpowiedzialność za stan bezpieczeństwa swoich klientów są bardzo ograniczone.
„Wiele osób uważa, że zlecają bezpieczeństwo dostawcy usług w chmurze. Myślą, że przenoszą ryzyko” – mówi. „W cyberbezpieczeństwie nigdy nie można przenieść ryzyka. Jeśli jesteś opiekunem tych danych, zawsze jesteś opiekunem danych, niezależnie od tego, kto je dla Ciebie przechowuje.”
Dlatego Kindervag nie jest wielkim fanem często powtarzanego wyrażenia „wspólna odpowiedzialność”, co jego zdaniem brzmi tak, jakby istniał podział pracy i wysiłku w stosunku 50 do 50. Woli sformułowanie „nierówny uścisk dłoni”, który został wymyślony przez jego byłego kolegę z Forrester, Jamesa Statena.
„To podstawowy problem polega na tym, że ludzie myślą, że istnieje model wspólnej odpowiedzialności, a zamiast tego występuje nierówny uścisk dłoni” – mówi.
2. Natywne kontrole bezpieczeństwa są trudne do zarządzania w świecie hybrydowym
Tymczasem porozmawiajmy o ulepszonych natywnych mechanizmach kontroli bezpieczeństwa chmury, które dostawcy stworzyli w ciągu ostatniej dekady. Chociaż wielu dostawców wykonało dobrą robotę, oferując klientom większą kontrolę nad obciążeniem, tożsamością i widocznością, jakość ta jest niespójna. Jak mówi Kindervag: „Niektóre z nich są dobre, inne nie”. Prawdziwym problemem wszystkich z nich jest to, że trudno nimi zarządzać w prawdziwym świecie, poza izolacją środowiska jednego dostawcy.
„Do tego potrzeba wielu ludzi, a w każdej chmurze są inni. Myślę, że każda firma, z którą rozmawiałem w ciągu ostatnich pięciu lat, ma model wielochmurowy i hybrydowy, a oba działają w tym samym czasie” – mówi. „Hybrydowa istota: korzystam z zasobów lokalnych i chmur oraz korzystam z wielu chmur i być może korzystam z wielu chmur, aby zapewnić dostęp do różnych mikrousług dla pojedynczej aplikacji”. Jedynym sposobem rozwiązania tego problemu jest posiadanie kontroli bezpieczeństwa, którą można zarządzać we wszystkich wielu chmurach”.
Mówi, że jest to jeden z głównych czynników napędzających dyskusje na temat przeniesienia zerowego zaufania do chmury.
„Zero zaufania działa niezależnie od tego, gdzie umieścisz dane lub zasoby. Może być w chmurze. Może to być lokalnie. Może to nastąpić w punkcie końcowym” – mówi.
3. Tożsamość nie uratuje Twojej chmury
Biorąc pod uwagę obecnie tak duży nacisk kładziony na zarządzanie tożsamością w chmurze i nieproporcjonalną uwagę poświęcaną komponentowi tożsamości w przypadku zerowego zaufania, ważne jest, aby organizacje zrozumiały, że tożsamość to tylko część dobrze zbilansowanego śniadania na rzecz zerowego zaufania do chmury.
„W dużej mierze narracja o zerowym zaufaniu dotyczy tożsamości, tożsamości, tożsamości” – mówi Kindervag. „Tożsamość jest ważna, ale w polityce wykorzystujemy ją przy zerowym zaufaniu. To nie koniec wszystkiego. To nie rozwiązuje wszystkich problemów.”
Kindervag oznacza, że w przypadku modelu zerowego zaufania dane uwierzytelniające nie dają automatycznie użytkownikom dostępu do czegokolwiek pod słońcem w danej chmurze lub sieci. Polityka ogranicza dokładnie to, kiedy i jaki jest dostęp do określonych zasobów. Kindervag od dawna był zwolennikiem segmentacji – sieci, obciążeń, zasobów i danych – na długo przed tym, zanim zaczął opracowywać model zerowego zaufania. Jak wyjaśnia, sednem definiowania dostępu o zerowym zaufaniu za pomocą zasad jest podzielenie rzeczy na „chronione powierzchnie”, ponieważ poziom ryzyka różnych typów użytkowników uzyskujących dostęp do każdej chronionej powierzchni określi zasady, które zostaną powiązane z dowolnymi danymi uwierzytelniającymi.
„Moja misja polega na tym, aby ludzie skupili się na tym, co muszą chronić, umieszczali ważne rzeczy na różnych powierzchniach ochronnych, tak jak baza danych kart kredytowych PCI powinna znajdować się na własnej powierzchni ochronnej. Twoja baza danych HR powinna znajdować się na osobnej powierzchni chronionej. Interfejs HMI systemu IoT lub systemu OT powinien znajdować się na osobnej powierzchni ochronnej” – mówi. „Kiedy dzielimy problem na małe kawałki, rozwiązujemy je po kawałku i robimy to jeden po drugim. Dzięki temu jest on znacznie bardziej skalowalny i wykonalny.”
4. Zbyt wiele firm nie wie, co próbują chronić
Gdy organizacje decydują, jak podzielić swoje chronione powierzchnie w chmurze, muszą najpierw jasno określić, co chcą chronić. Ma to kluczowe znaczenie, ponieważ każdy zasób, system lub proces będzie wiązał się z własnym, unikalnym ryzykiem, które określi zasady dostępu i związane z nim wzmacnianie. Żart jest taki, że nie zbudowałbyś skarbca o wartości miliona dolarów, w którym można przechowywać kilkaset groszy. Odpowiednikiem tego w chmurze byłoby zapewnienie ogromnej ochrony zasobu w chmurze, który jest odizolowany od wrażliwych systemów i nie przechowuje wrażliwych informacji.
Kindervag twierdzi, że niezwykle często organizacje nie mają jasnego pojęcia, co chronią w chmurze lub poza nią. Tak naprawdę większość dzisiejszych organizacji niekoniecznie ma jasne pojęcie o tym, co znajduje się w chmurze lub co łączy się z chmurą, nie mówiąc już o tym, co wymaga ochrony. Na przykład, badanie Cloud Security Alliance pokazuje, że tylko 23% organizacji ma pełny wgląd w środowiska chmurowe. Badanie Illumio z początku tego roku pokazuje, że 46% organizacji nie ma pełnego wglądu w łączność usług chmurowych swojej organizacji.
„Ludzie nie myślą o tym, co tak naprawdę chcą osiągnąć i co chcą chronić” – mówi. Jest to podstawowa kwestia, która powoduje, że firmy marnują dużo pieniędzy na bezpieczeństwo bez odpowiedniego skonfigurowania ochrony, wyjaśnia Kindervag. „Przyjdą do mnie i powiedzą: „Zero zaufania nie działa”, a ja zapytam: „No cóż, co próbujesz chronić?”. a oni powiedzą: „Jeszcze o tym nie myślałem”, a moja odpowiedź brzmi: „No cóż, w takim razie nie jesteś nawet blisko rozpoczynając proces zerowego zaufania. ””
5. Zachęty do rozwoju natywnego w chmurze nie mają już sensu
Praktyki DevOps i rozwój natywny w chmurze zostały znacznie ulepszone dzięki szybkości, skalowalności i elastyczności, jaką zapewniają platformy i narzędzia chmurowe. Kiedy bezpieczeństwo zostanie odpowiednio uwzględnione w tej mieszance, mogą wydarzyć się dobre rzeczy. Kindervag twierdzi jednak, że większość organizacji programistycznych nie jest odpowiednio zachęcana, aby tak się stało, co oznacza, że infrastruktura chmury i wszystkie oparte na niej aplikacje są w tym procesie zagrożone.
„Lubię powtarzać, że ludzie zajmujący się aplikacją DevOps to Ricky Bobbys IT. Chcą po prostu jechać szybko. Pamiętam, jak rozmawiałem z dyrektorem ds. rozwoju w firmie, w której w końcu doszło do naruszenia bezpieczeństwa, i zapytałem go, co robi w sprawie bezpieczeństwa. A on na to: „Nic, nie zależy mi na bezpieczeństwie” – mówi Kindervag. „Zapytałem: «Jak można nie dbać o bezpieczeństwo?» a on odpowiada: „Ponieważ nie mam dla tego KPI”. Mój KPI mówi, że w moim zespole muszę wykonywać pięć pchnięć dziennie, a jeśli tego nie zrobię, nie dostanę premii”.
Kindervag twierdzi, że jest to ilustracja jednego z największych problemów nie tylko w AppSec, ale także w przejściu do zerowego zaufania do chmury i nie tylko. Zbyt wiele organizacji po prostu nie ma odpowiednich struktur motywacyjnych, aby to urzeczywistnić — a w rzeczywistości wiele z nich stosuje przewrotne zachęty, które w efekcie zachęcają do niebezpiecznych praktyk.
Dlatego jest zwolennikiem budowania centrów doskonałości o zerowym zaufaniu w przedsiębiorstwach, które obejmują nie tylko technologów, ale także kierownictwo biznesowe w zakresie planowania, projektowania i bieżących procesów decyzyjnych. Mówi, że kiedy spotykają się te wielofunkcyjne zespoły, widzi „struktury motywacyjne zmieniają się w czasie rzeczywistym”, gdy wpływowy dyrektor biznesowy występuje i mówi, że organizacja zamierza podążać w tym kierunku.
„Najskuteczniejsze inicjatywy zerowego zaufania to te, w które zaangażowali się liderzy biznesu” – mówi Kindervag. „Miałem takiego w firmie produkcyjnej, gdzie wiceprezes wykonawczy — jeden z czołowych liderów firmy — został orędownikiem transformacji opartej na zerowym zaufaniu w środowisku produkcyjnym. Poszło bardzo gładko, ponieważ nie było żadnych inhibitorów.”
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
