Хоча хмарна безпека, безумовно, пройшла довгий шлях з часів Дикого Заходу, коли раннє впровадження хмари, правда полягає в тому, що попереду ще довгий шлях, перш ніж більшість сьогоднішніх організацій справді вдосконалять свої практики хмарної безпеки. І це обходиться організаціям у величезні витрати з точки зору інцидентів безпеки.

Дослідження Вансона Борна на початку цього року показали, що майже половина зламів, яких зазнали організації в минулому році, виникла в хмарі. Те саме дослідження показало, що середньостатистична організація втратила майже 4.1 мільйона доларів через злам хмари за останній рік.

Dark Reading нещодавно поспілкувався з хрещеним батьком безпеки з нульовою довірою Джоном Кіндервагом, щоб обговорити сьогоднішній стан хмарної безпеки. Коли він був аналітиком у Forrester Research, Кіндерваг допоміг концептуалізувати та популяризувати модель безпеки нульової довіри. Зараз він є головним проповідником в Illumio, де, незважаючи на свій охоплення, він все ще є прихильником нульової довіри, пояснюючи, що це ключовий спосіб переробити безпеку в епоху хмари. Згідно з Kindervag, організації повинні мати справу з наступними важкими істинами, щоб досягти успіху в цьому.

1. Ви не станете безпечнішим, просто перейшовши в хмару

Один із найбільших міфів про хмару сьогодні полягає в тому, що вона за своєю природою є більш безпечною, ніж більшість локальних середовищ, каже Кіндерваг.

«Існує фундаментальне хибне розуміння хмари, що якимось чином у ній вбудовано більше безпеки, що ви стаєте більш безпечними, переходячи до хмари, просто переходячи до хмари», — каже він.

Проблема полягає в тому, що хоча постачальники гіпермасштабованих хмарних технологій можуть дуже добре захищати інфраструктуру, контроль і відповідальність за стан безпеки їхніх клієнтів є дуже обмеженими.

«Багато людей думають, що вони передають безпеку постачальнику хмарних послуг. Вони думають, що перекладають ризик», — каже він. «У кібербезпеці ви ніколи не можете передати ризик. Якщо ви є зберігачем цих даних, ви завжди є зберігачем даних, незалежно від того, хто зберігає їх для вас».

Ось чому Kindervag не є великим шанувальником часто повторюваної фрази «спільна відповідальність”, що, за його словами, звучить так, ніби існує розподіл праці та зусиль 50-50. Йому більше подобається фраза «нерівне рукостискання”, яку придумав його колишній колега з Forrester Джеймс Стейтен.

«Це фундаментальна проблема полягає в тому, що люди думають, що існує модель спільної відповідальності, а натомість є нерівне рукостискання», — каже він.

2. У гібридному світі важко керувати вбудованими засобами безпеки

Тим часом, давайте поговоримо про ті вдосконалені вбудовані засоби керування безпекою в хмарі, які постачальники створили за останнє десятиліття. Хоча багато постачальників добре попрацювали, пропонуючи клієнтам більше контролю над їхніми робочими навантаженнями, ідентифікацією та видимістю, ця якість непостійна. Як каже Kindervag: «Деякі з них хороші, а деякі ні». Справжня проблема всіх з них полягає в тому, що ними важко керувати в реальному світі, поза межами ізоляції середовища одного постачальника.

«Для цього потрібно багато людей, і вони різні в кожній хмарі. Я думаю, що кожна компанія, з якою я спілкувався протягом останніх п’яти років, має багатохмарну та гібридну моделі, і обидві вони відбуваються одночасно», — каже він. «Гібридна істота: «Я використовую свій локальний матеріал і хмари, я використовую кілька хмар, і я, можливо, використовую кілька хмар, щоб надати доступ до різних мікросервісів для однієї програми». Єдиний спосіб вирішити цю проблему — мати контроль безпеки, яким можна керувати в усіх хмарах».

За його словами, це один із важливих факторів, що спонукають до дискусій про перенесення нульової довіри в хмару.

«Нульова довіра працює незалежно від того, куди ви розміщуєте дані чи активи. Це може бути в хмарі. Це може бути локально. Це може бути на кінцевій точці», — каже він.

3. Ідентичність не врятує вашу хмару

У наш час так багато уваги приділяється управлінню ідентифікацією в хмарі та непропорційну увагу компоненту ідентифікації в умовах нульової довіри, організаціям важливо розуміти, що ідентифікація є лише частиною добре збалансованого сніданку для нульової довіри до хмари.

«Здебільшого наратив нульової довіри стосується ідентичності, ідентичності, ідентичності», — каже Кіндерваг. «Ідентичність важлива, але ми використовуємо ідентичність у політиці без довіри. Це не кінець усього, будь-все. Це не вирішує всіх проблем».

Kindervag має на увазі те, що з моделлю нульової довіри облікові дані автоматично не дають користувачам доступ до будь-чого під сонцем у певній хмарі чи мережі. Політика точно обмежує, що і коли надається доступ до певних активів. Kindervag був давнім прихильником сегментації — мереж, робочих навантажень, активів, даних — задовго до того, як він почав розробляти модель нульової довіри. Як він пояснює, суть визначення доступу з нульовою довірою за допомогою політики полягає в розподілі речей на «захисні поверхні», оскільки рівень ризику різних типів користувачів, які отримують доступ до кожної захисної поверхні, визначатиме політики, які будуть додані до будь-яких облікових даних.

«Це моя місія полягає в тому, щоб змусити людей зосередитися на тому, що їм потрібно захистити, розміщувати ці важливі речі в різних захисних поверхнях, наприклад база даних вашої кредитної картки PCI має бути на власній захисній поверхні. Ваша база даних кадрів має бути у власній захисній поверхні. Ваш HMI для вашої системи IoT або системи OT має бути на власній захисній поверхні», — каже він. «Коли ми розбиваємо проблему на ці невеликі частини, ми вирішуємо їх по черзі, і ми виконуємо їх одну за одною. Це робить його набагато більш масштабованим і здійсненним».

4. Занадто багато компаній не знають, що вони намагаються захистити

Коли організації вирішують, як сегментувати свої захисні поверхні в хмарі, їм спочатку потрібно чітко визначити, що саме вони намагаються захистити. Це надзвичайно важливо, оскільки кожен актив, система чи процес несе власний унікальний ризик, і це визначатиме політику доступу та жорсткість навколо нього. Жарт полягає в тому, що ви не побудуєте сховище в 1 мільйон доларів, щоб умістити кілька сотень пенні. Хмара, еквівалентна цьому, помістить тонни захисту навколо хмарного активу, який ізольований від конфіденційних систем і не містить конфіденційної інформації.

У Kindervag кажуть, що для організацій надзвичайно часто не мають чіткого уявлення про те, що вони захищають у хмарі чи за його межами. Насправді більшість організацій сьогодні навіть не обов’язково мають чітке уявлення про те, що саме є в хмарі або що з’єднується з хмарою, не кажучи вже про те, що потребує захисту. Наприклад, дослідження Cloud Security Alliance показує, що лише 23% організацій мають повний доступ до хмарних середовищ. А дослідження Illumio, проведене на початку цього року, показує, що 46% організацій не мають повної видимості підключення хмарних служб своєї організації.

«Люди не думають про те, чого вони насправді намагаються досягти, що вони намагаються захистити», – каже він. Це фундаментальна проблема, яка змушує компанії витрачати багато грошей на безпеку без належного налаштування захисту в процесі, пояснює Кіндерваг. «Вони прийдуть до мене і скажуть: «Нульова довіра не працює», а я запитаю: «Ну, що ти намагаєшся захистити?» і вони скажуть: «Я ще не думав про це», а я відповім: «Ну, тоді ти навіть близько не початок процесу нульової довіри. '"

5. Стимули для розробки нативних хмар не працюють

Практики DevOps і власну хмарну розробку значно покращили завдяки швидкості, масштабованості та гнучкості, які надають їм хмарні платформи та інструменти. Якщо безпека належним чином включена в цю суміш, можуть статися хороші речі. Але Kindervag каже, що більшість організацій-розробників не мають належного стимулу до цього — а це означає, що хмарна інфраструктура та всі додатки, які на ній базуються, піддаються ризику в процесі.

«Мені подобається говорити, що люди, які розробляють програму DevOps, — це Рікі Боббі ІТ. Вони просто хочуть їхати швидко. Я пам’ятаю, як розмовляв із керівником відділу розробки в компанії, яку зрештою зламали, і я запитав його, що він робить щодо безпеки. А він сказав: «Нічого, я не дбаю про безпеку», — розповідає Кіндерваг. «Я запитав: «Як можна не дбати про безпеку?» і він каже: «Тому що я не маю KPI для цього. Мій KPI говорить, що я повинен робити п’ять поштовхів на день у своїй команді, і якщо я цього не зроблю, я не отримаю бонус».

Кіндерваг каже, що це ілюстрація однієї з великих проблем не лише в AppSec, а й у переході до нульової довіри для хмари та за її межами. Надто багато організацій просто не мають правильних структур стимулів, щоб реалізувати це — і насправді багато хто має спотворені стимули, які в кінцевому підсумку заохочують до небезпечної практики.

Ось чому він виступає за створення на підприємствах центрів передового досвіду з нульовою довірою, які включають не лише технологів, а й бізнес-лідерів у процесах планування, проектування та поточного прийняття рішень. За його словами, коли ці міжфункціональні команди зустрічаються, він бачить, як «структури заохочення змінюються в реальному часі», коли потужний бізнес-керівник виступає вперед, щоб сказати, що організація збирається рухатися в цьому напрямку.

«Найуспішнішими ініціативами «нульової довіри» були ті, у яких залучалися бізнес-лідери», — каже Кіндерваг. «У мене був такий випадок у виробничій компанії, де виконавчий віце-президент — один із вищих керівників компанії — став поборником трансформації нульової довіри до виробничого середовища. Це пройшло дуже гладко, тому що не було інгібіторів».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024