محیط های ابری ایمن در بودجه: تمرکز بر موارد ضروری | دانش مرکز داده

از آنجایی که شرکت‌های فناوری همچنان به اخراج کارمندان و کاهش بودجه ادامه می‌دهند، مدیران مراکز داده باید بفهمند که چگونه می‌توانند بیشترین سود را در هنگام ایمن کردن محیط‌های ابری به دست آورند.

حتی بزرگترین شرکت ها نیز هزینه ها را کاهش می دهند. به عنوان مثال، متا در ماه فوریه کاهش 4 میلیارد دلاری را اعلام کرد که شامل کاهش بودجه مرکز داده بود.

مربوط: بهینه سازی هزینه های ابری: چگونه می توانید بیشترین سود را برای سرمایه خود داشته باشید

خوان اورلاندینی، معمار ارشد و مهندس برجسته در Insight، گفت که بودجه های فناوری اطلاعات یا ثابت هستند یا در حال کاهش هستند. “آنچه که ما به عنوان یک روند کلی می بینیم، بررسی دقیق تر در سطح هزینه های فعلی است.”

در همین حال، مطالبات امنیتی بیش از هر زمان دیگری است. بر اساس یک نظرسنجی اخیر توسط شرکت امنیت رایانه و شبکه Coalfire، 53 درصد از مدیران امنیتی می گویند که سطح حمله گسترده ایجاد شده توسط مهاجرت ابری بزرگترین نگرانی امنیتی آنها است.

مربوط: چه زمانی – و چه زمانی – برای ورود همه جانبه در Cloud Migration

و Check Point Research گزارش می دهد که حملات سایبری مبتنی بر ابر در سال 2022 نسبت به سال گذشته 48 درصد افزایش یافته است.

هولگر مولر، معاون رئیس جمهور و تحلیلگر اصلی در شرکت مشاوره Constellation Research گفت: تهدیدها سریعتر از آن چیزی که شرکت ها می توانند ادامه دهند در حال رشد هستند.

مولر به Data Center Knowledge گفت: “شما باید یک شرکت با اندازه 5 میلیارد دلار یا بزرگتر باشید تا بتوانید تیم امنیتی را در برابر تهدیدها نگه دارید.”

نایجل گیبونز، معاون مدیر و مشاور ارشد گروه مشاوره امنیتی NCC، گفت: بودجه های امنیتی ثابت به توانایی مدیران مراکز داده برای دفاع از زیرساخت های ابری خود آسیب می زند. آنها با نقض های امنیتی، خرابی، ناتوانی در برآورده کردن الزامات انطباق، و چالش های کارکنان مواجه هستند.

اما راه هایی برای حفظ یا حتی بهبود امنیت ابری بدون افزایش قابل توجه هزینه ها وجود دارد.

راه حل های واضحی وجود دارد که اکثر شرکت ها در حال انجام آن هستند. به عنوان مثال، ارائه‌دهندگان ابر سطح دوم و خدمات هم‌محلی اغلب می‌توانند معاملات بهتری ارائه دهند، اگر موارد استفاده از آنها نیازهای شما را برآورده کند. اتوماسیون به بسیاری از مدیران مراکز داده کمک می کند تا هزینه های امنیت ابری خود را نیز کاهش دهند، به خصوص اگر ابزارهایی را که به عنوان بخشی از خدمات ارائه دهنده میزبانی ابری ارائه می شود، یاد بگیرند. و ارتقاء مهارت کارکنان موجود می تواند به شرکت ها کمک کند تا هزینه یافتن کارکنان جدید و با تجربه امنیت سایبری را کاهش دهند.

اما تیم‌های امنیت سایبری مراکز داده می‌توانند با تمرکز بر مسائل اصلی، بازدهی بیشتری را در سرمایه‌گذاری‌های امنیت سایبری خود انجام دهند. این شامل اولویت‌بندی هزینه‌ها بر اساس ریسک و حذف دقیق موارد اضافی است.

اولویت بندی مبتنی بر ریسک

Gibbons از NCC Group گفت که مدیران مراکز داده باید حیاتی ترین خطرات امنیتی را شناسایی کرده و بر این اساس اقدامات امنیتی را اولویت بندی کنند.

او گفت: «ابتدا بر ایمن سازی مهم ترین داده ها و برنامه ها تمرکز کنید و منابع را در جایی که بیشتر مورد نیاز است تخصیص دهید.

این می‌تواند راهی کم‌هزینه برای بهبود امنیت باشد، زیرا ابتدا روی بزرگترین فرصت‌های کاهش ریسک تمرکز می‌کنید.

اما در بلندمدت، می‌تواند منجر به تمرکز کوتاه‌مدت بر راه‌حل‌های موقتی شود که ممکن است بخشی از یک استراتژی امنیتی بزرگ‌تر نباشد و در نهایت امنیت را بدتر کند.

راه دیگری برای اولویت بندی بر اساس نیازهای امنیتی بلند مدت است.

برای مثال، دیون هینچکلیف، معاون و تحلیلگر اصلی در Constellation Research، گفت: برای مثال، بزرگترین چالش امنیت ابری امروز برای مدیران مراکز داده، حرکت به سمت اعتماد صفر است.

تغییر به اعتماد صفر پرهزینه است، و همچنین حفظ وضعیت اعتماد صفر پس از آن گران است.

او به DCK گفت: «همه شبکه‌های ما به‌طور پیش‌فرض طراحی شده‌اند که باز باشند. “این دقیقا برعکس اعتماد صفر است.”

تغییر همه چیز ممکن است سال ها طول بکشد، اما الزامات دولت و تقاضای مشتری آن را ضروری می کند. او افزود: “این گوریل 800 پوندی است که در اطراف امنیت می دود.”

هزینه های اولیه زیادی وجود دارد و ممکن است شرکت ها مجبور شوند به ارائه دهندگان ابری مختلف مهاجرت کنند یا از افزونه های گران قیمت شخص ثالث برای حرکت به سمت اعتماد صفر استفاده کنند.

هینچکلیف گفت: «ابرهای عمومی هرگز برای اعتماد صفر طراحی نشدند. و این کد آنهاست، نه مال شما. شما نمی‌توانید آن ماشین‌ها را کنترل کنید، بنابراین نمی‌توانید کاری کنید که برخی از چیزهای آن‌ها هیچ‌گاه اعتماد صفر داشته باشند.»

او گفت و وقتی صحبت از ارائه دهندگان امنیتی شخص ثالث می شود، قاعده کلی این است که هرچه بیشتر هزینه کنید، بهتر هستند.

سپس، هنگامی که محیط ابری مرکز داده بر اساس اصول اعتماد صفر کار می کند، هزینه های مداوم برای حفظ آن سطح از امنیت وجود خواهد داشت.

او گفت: «شما اساساً به هیچ چیز در شبکه اعتماد ندارید. “شما دائماً دوباره احراز هویت می شوید، که در واقع ترافیک ابری جدید زیادی ایجاد می کند.”

اما مراکز داده نیازی ندارند که همه چیز را همزمان به سمت صفر سوق دهند.

آن‌ها می‌توانند با سیستم‌ها و داده‌های با بالاترین ارزش شروع کنند، آن‌ها را ایمن کنند و سپس در صورت اجازه و زمان و بودجه به بقیه بپردازند.

این بهترین ها را از هر دو جهان ایجاد می کند – شما پروژه های امنیتی با بالاترین ارزش را اولویت بندی می کنید، در حالی که استراتژی های امنیتی بلندمدت را در ذهن دارید.

از شر تعدیل شغل خلاص شوید

هنگامی که یک شرکت با بودجه های محدود مواجه می شود، باید مطمئن شود که برای ابزارها یا خدمات بیش از حد پول پرداخت نمی کند.

به گفته اورلاندینی اینسایت، سازمان‌ها اغلب ابزارهای متعددی دارند که تا حدی با هم همپوشانی دارند و می‌توان تعداد آنها را کاهش داد.

او گفت: “احتمالاً کاهش تعداد ابزارها باعث آزاد شدن بودجه ای می شود که می توان آن را مجدداً در آموزش یا اجرای بهتر ابزارهای باقی مانده سرمایه گذاری کرد.”

مقداری همپوشانی ممکن است لازم باشد، اما مهم است که آن را زیاد دور نکنید.

ایان گروبل، مدیر عامل بخش تحول فناوری در ارنست اند یانگ، گفت که همپوشانی لزوماً بد نیست.

گروبل به Data Center Knowledge گفت: «اما برخی از شرکت‌ها آن را تا حد مضحکی پیش می‌برند. پوشیدن دو ست آویز و سه کمربند فقط پیچیدگی شما را افزایش می دهد.

همچنین تکامل SaaS “شف افزار” قدیمی وجود دارد. در آن زمان، زمانی که شرکت‌ها بسته‌های نرم‌افزاری گران‌قیمت سازمانی را خریداری می‌کردند، نصب آن‌ها اغلب پیچیده‌تر از آن بود و بنابراین تا زمانی که مردم به استفاده واقعی از آن‌ها برسند، در یک قفسه می‌نشستند. گاهی اوقات هیچ کس این کار را نکرده است.

گروبل گفت، نوع امروزی این است که شرکت‌ها برای ابزارهای SaaS، پلتفرم‌های هویت به‌عنوان یک سرویس یا سایر خدمات ثبت‌نام می‌کنند – سپس تنها از ۱۰ یا ۲۰ درصد از قابلیت‌های خود استفاده می‌کنند.

با یادگیری نحوه استفاده از سایر ویژگی‌های فناوری که قبلاً برای آن پول پرداخت کرده‌اند، شرکت‌ها در واقع امنیت بیشتری را به صورت رایگان دریافت خواهند کرد.

به ویژه، بسیاری از شرکت ها به آنچه ارائه دهندگان ابری خود ارائه می دهند، توجه کافی ندارند، به خصوص زمانی که ابزارهای جدید همیشه در حال عرضه هستند.

او گفت: “من فکر می کنم که بسیاری از شرکت ها به اندازه کافی از ابزارهای ارائه شده توسط hyperscaler که وجود دارد استفاده نمی کنند.” درعوض، آنها برای ارائه خدمات مشابه به فروشندگان خارجی مراجعه می‌کنند و برای ویژگی‌هایی که می‌توانستند بدون هزینه اضافی یا هزینه نسبتاً کمی برای ارتقاء دریافت کنند، پول می‌پردازند.

به‌ویژه به دلیل دسترسی ارائه‌دهندگان ابری به داده‌های امنیتی، آنها در موقعیت بسیار خوبی برای ارائه ابزارهای هوش مصنوعی و اتوماسیون برای مواردی مانند بررسی‌های امنیتی و اسکن آسیب‌پذیری قرار دارند.

و اگر هنوز آن را ارائه ندهند، به زودی ممکن است. بنابراین، زمانی که یک شرکت فرآیند انتخاب فروشنده را طی می‌کند، آزمایش‌ها را انجام می‌دهد، فناوری امنیتی جدید را نصب می‌کند و آن را با سیستم‌های خود ادغام می‌کند، ممکن است سرویس ارائه‌دهنده ابری آن‌ها برای استفاده آماده باشد.