امروزه غیر معمول نیست که یک سازمان بارهای کاری را در میان چندین ابر و محیط داخلی پخش می کند. این امر کار تأمین بارهای کاری را بیش از گذشته پیچیده می کند. متخصصان فناوری اطلاعات تمام تلاش خود را برای درک خطرات و به کارگیری ابزارهای مناسب انجام می دهند ، اما آسیب های سایبری یک هدف متحرک است ، مهارت های امنیت سایبری داخلی اغلب وجود ندارد و انتخاب گسترده و گیج کننده ای از ابزارهای شناسایی و پیشگیری از امنیت برای انتخاب وجود دارد.
این عوامل بسیاری از سازمانها را بر آن داشته است که به سمت a امنیت ابر مدل خدمات ، جایی که یک ارائه دهنده شخص ثالث با مشارکت تجارت از دارایی محافظت می کند. همه مدل های سرویس های امنیتی ابری محبوب تر می شوند. IDG پیدا شد که 22٪ از شرکتها قصد دارند خدمات امنیتی مبتنی بر ابر را امسال ارزیابی یا سرمایه گذاری کنند ، در حالی که گزارش دیگری ارائه شده است پیدا شد که 83٪ از رهبران فناوری اطلاعات با تیم های امنیتی داخلی در حال بررسی کار برون سپاری امنیت به یک ارائه دهنده خدمات مدیریت شده (MSP) در سال جاری هستند.
سرویس های امنیتی ابر می توانند اشکال مختلفی داشته باشند. بعضی کاملاً خدمات مدیریت شده که همه موارد مربوط به امنیت را در بر می گیرد ، در حالی که دیگران سرویس های ابری هستند که بر روی نوع خاصی از امنیت متمرکز شده اند ، مانند امنیت برنامه ، امنیت شبکه ، ایمیل ایمن و دروازه های وب ، مدیریت هویت و کنترل دسترسی ، احراز هویت کاربر / هویت به عنوان سرویس (IDaaS) ، شناسایی و پاسخ مدیریت شده (MDR) ، یا اطلاعات امنیتی و مدیریت رویدادها (SIEM). برخی سفارشی ترند ، برخی مشاوره ترکیبی دارند ، برخی کاملاً خودکار هستند و برخی ترکیبی از متخصصان اتوماسیون و امنیت سایبری واقعی را آماده و آماده برای قدم زدن ارائه می دهند.
با این وجود حتی با کمک حرفه ای ، حجم کار ابری 100٪ ایمن نیست. در حالی که معمول نیست ، شکست ممکن است رخ دهد. گاهی اوقات ، این اختلال در سرویس دهی به یک منطقه خاص جغرافیایی یا منطقه در دسترس است. بار دیگر ، این خطای انسانی است یا نوع جدیدی از حمله سایبری است که کسی قبلاً با آن روبرو نشده است. دلیل آن مهم نیست ، واقعیت این است: ابر به راحتی مکانی کاملاً امن نیست. هیچ سازمان یا فروشنده ای نمی تواند هر فاکتور را کنترل کند.
این واقعیت ها سرویس های امنیتی ابری را بی ربط نمی دانند. در واقع ، آنها می توانند تا حد زیادی به بهبود امنیت ابر کمک کنند. فقط این توصیه ها را در ذهن داشته باشید:
دقیقاً همان چیزی را که می خواهید شناسایی کنید. بخشهای مختلفی از معمای امنیت سایبری وجود دارد و بسته به تخصص داخلی IT ، بودجه و اشتهای شما برای خطر ، ممکن است بخواهید برخی را به خارج از کشور واگذار کرده و برخی دیگر را به صورت داخلی نگه دارید. اگر خودتان نمی توانید این مسئله را کشف کنید ، از یک مشاور کمک بگیرید. هنگامی که مشخص کردید چه چیزی را می خواهید به یک ارائه دهنده خدمات ابری منتقل کنید ، مطمئن شوید که بقیه پایگاه های خود را تحت پوشش قرار دهید. در سمت پیشگیری ، این ممکن است به معنای پیکربندی درست دیوارهای آتش ، نرم افزار آنتی ویروس ، فایروال برنامه وب و رمزگذاری باشد. همچنین پوشاندن قابلیت های تشخیص برای همه سناریوها مهم است: قبل ، حین و بعد از نقض. “به طور استراتژیک به محیط خود و چگونگی جمع شدن آن فکر کنید. این بهترین راه برای اطمینان از ارائه دهنده خدمات امنیتی ابری است که شما انتخاب می کنید نیازهای شما را برآورده می کند. ”گفت Onkar Birk ، CTO و COO از Alert Logic.
فروشندگان احتمالی را با دقت بررسی کنید. شان هاید ، تحلیلگر تحقیق در Cloud Security Alliance ، گفت: “از پرسیدن س hardالات سخت نترسید.” “در مورد سخت شدن امنیت خودشان س Askال کنید ، و گزارش های حسابرسی و گزارش های تأیید را جمع آوری کنید. سپس همه چیز را با یک شانه دندانه ریز مرور کنید تا مطمئن شوید که این نیازهای کسب و کار شما را برآورده می کند و شما برای چیزی که تجارت شما آماده مدیریت آن نیست ، هزینه نمی کنید. “
جزئیات را چکش بزنید. به طور کلی ، امنیت ابری یک مسئولیت مشترک بین ارائه دهندگان و مشاغل است و این کار از همان زمان مذاکره در مورد قرارداد آغاز می شود. “فکر کنید که کجا خط کشیده شده است. چه کسی مسئول چه چیزی است؟ نقش شما از کجا متوقف می شود و نقش آنها شروع می شود؟ چه کسی مسئول تشخیص ، وصله گذاری ، به روزرسانی ، پاسخگویی به حوادث است؟ چه کسی داده ها را در اختیار دارد و به آنها دسترسی دارد؟ چه اتفاقی می افتد اگر یک وضعیت بر روی یک سیستم مشترک کار کند یا یک سیستم مشترک داشته باشد؟ آیا مجازاتی برای ارائه دهنده خدمات ابری برای عدم عملکرد وجود دارد؟ پاسخ به همه این س importantالات مهم است. ” برایان سارتین، مدیر اجرایی سابق خدمات امنیتی جهانی در Verizon و اکنون MDR شرکت eSentire افسر ارشد خدمات. “اگر در مرحله قرارداد پیرامون مالکیت ، حل اختلاف و عدم عملکرد گام های درستی بردارید ، وضعیت شما بهتر خواهد بود.”
نگرش شرکت خود را نسبت به ابر دوباره بررسی کنید. دامنه و دامنه امنیت اطلاعات به طور کامل در برخی سازمانها به ابر گسترش نمی یابد و این یک مشکل است. وی خاطرنشان كرد: “اغلب اوقات ، حجم كارهای ابری واقعاً خارج از محدوده توجه infosec است.” “امنیت اجرای سیاست ها و عملیات امنیتی روزمره به طور کامل مکان های شرکت ها را کاملاً تحت پوشش قرار می دهد ، اما تمایل دارند از دارایی های مربوط به ابر و اجزای متحرک به داخل و ازجمله مستاجران ابرها بگذرند. “ اخیرا گزارش از این ادعا پشتیبانی می کند ، و خاطرنشان می کند که گرچه تصمیم گیرندگان امنیت را به عنوان مهمترین جنبه ابر ابر رتبه بندی می کنند ، اما در میان سرمایه گذاری های برتر ابر امسال قرار ندارد.
ابرها و سرویس های ابری ممکن است خودکار باشند ، اما به یاد داشته باشید که در پشت صحنه افراد واقعی وجود دارند و مردم مرتکب اشتباه می شوند. خطای انسانی هم از طرف ارائه دهنده ابر و هم از طرف مشتری یک مسئله کاملاً واقعی است. و حتی اشتباهات کوچک نیز می توانند تأثیرات بزرگی داشته باشند. یکی از رایج ترین خطاهای انسانی که منجر به خرابی یا خرابی می شود ، پیکربندی غلط است. تنظیمات اشتباه توسط بیرك خاطرنشان كرد: علت اصلی ورود به درب منزل بسیار زیاد است. یکی دیگر از مشکلات بشری است سایه آن. از آنجا که ابر در داخل شرکت ها کمتر تنظیم می شود ، برای پرسنل دور زدن روش ها و تهیه نمونه های ابری خود نسبتاً آسان است. سارتین توصیه می کند این مسئله را از طریق خرید با امتناع از اجازه خریدهای شرکت یا تهیه ابر بدون رضایت صریح دفتر CISO حل کنید.
در برابر تمایل به اعتماد کورکورانه به ارائه دهنده خدمات ابری خود مقاومت کنید. حتی اگر ارائه دهنده خود را با دقت بررسی کرده اید ، درک مطلب موجود بسیار مهم است کنترل های امنیتی ، ویژگی ها و خدمات در دسترس آنها. “امنیت ابر باید در هر لایه از راه حل شما ، از توسعه تا استقرار تا گردش کار عملیاتی و فراتر از آن ، در همه لایه های شما وجود داشته باشد. این آموزش برای شرکتهایی که بارهای م effectiveثر و ایمنی در فضای ابری دارند ، اساسی است. “، استوارت اسکات ، مسئول محتوای AWS و امنیت در Cloud Academy توضیح داد. “شما نمی توانید فقط کلیدها را تحویل دهید و انتظار داشته باشید شخص دیگری همه کارها را برای شما انجام دهد. هر دو طرف مسئولیت دارند ، حتی اگر یک سرویس مدیریت شده باشد. باید بدانید که اگر چیزی کاملاً درست به نظر نمی رسد باید به دنبال چه چیزی بگردید. آنها می توانند داشبورد به شما بدهند ، اما در نهایت این شرکت و جواهرات شرکت شما است. “
این به این نتیجه می رسد: مهم نیست که چقدر پول یا تخصص می اندازید امنیت ابر، شما واقعاً کنترل ندارید و زمان خرابی هرچند کمیاب اتفاق می افتد. پذیرفتن این مهم ، ضمن اطمینان از داشتن توانایی های مناسب ، مهم است.