در حالی که امنیت ابری مطمئناً از روزهای غرب وحشی استفاده اولیه از ابر، راه درازی را پیموده است، حقیقت این است که راه درازی در پیش است تا بسیاری از سازمانهای امروزی واقعاً شیوههای امنیت ابری خود را به بلوغ برسانند. و این از نظر حوادث امنیتی هزینه های زیادی را برای سازمان ها تحمیل می کند.
مطالعه Vanson Bourne در اوایل سال جاری نشان داد که تقریباً نیمی از نقضهایی که در سال گذشته توسط سازمانها متحمل شدهاند در فضای ابری نشات گرفتهاند. همان مطالعه نشان داد که یک سازمان متوسط تقریباً 4.1 میلیون دلار در سال گذشته به دلیل رخنه های ابری از دست داده است.
دارک ریدینگ اخیراً با پدرخوانده امنیت صفر اعتماد، جان کیندرواگ، تماس گرفت تا در مورد وضعیت امنیت ابری بحث کند. وقتی کیندرواگ در تحقیقات Forrester تحلیلگر بود، به مفهوم سازی و رایج کردن مدل امنیتی صفر اعتماد کمک کرد. اکنون او بشارتگر ارشد در ایلومیو است، جایی که در میان فعالیتهایش هنوز هم طرفدار اعتماد صفر است و توضیح میدهد که این یک راه کلیدی برای طراحی مجدد امنیت در عصر ابر است. به گفته کیندرواگ، سازمان ها برای دستیابی به موفقیت باید با حقایق سخت زیر برخورد کنند.
1. فقط با رفتن به فضای ابری امن تر نمی شوید
کیندرواگ میگوید یکی از بزرگترین افسانهها در مورد ابر این است که ذاتاً از بسیاری از محیطهای داخلی امنتر است.
او میگوید: «یک سوء تفاهم اساسی از ابر وجود دارد که به نوعی امنیت بیشتری در آن تعبیه شده است، که با رفتن به ابر فقط با رفتن به ابر، امنیت بیشتری خواهید داشت.
مشکل این است که در حالی که ارائه دهندگان ابر مقیاس ابر ممکن است در حفاظت از زیرساخت ها بسیار خوب باشند، کنترل و مسئولیتی که آنها بر وضعیت امنیتی مشتریان خود دارند بسیار محدود است.
Kindervag میگوید: “بسیاری از مردم فکر میکنند که امنیت را به ارائهدهنده ابری برون سپاری میکنند. آنها فکر میکنند که در حال انتقال ریسک هستند.” “در امنیت سایبری، شما هرگز نمی توانید خطر را انتقال دهید. اگر شما نگهبان آن داده ها هستید، شما همیشه نگهبان داده ها هستید، مهم نیست چه کسی آن را برای شما نگه می دارد.”
به همین دلیل است که کیندرواگ از طرفداران پر و پا قرص عبارت «مسئولیت مشترک» نیست که به گفته او باعث میشود 50-50 تقسیم کار و تلاش وجود داشته باشد. او عبارت “دست دادن ناهموار” را ترجیح می دهد که توسط جیمز استاتن، همکار سابقش در Forrester ابداع شده است.
او میگوید: «مشکل اساسی این است که مردم فکر میکنند که یک مدل مسئولیت مشترک وجود دارد و در عوض یک دست دادن ناهموار وجود دارد.
2. مدیریت کنترل های امنیتی بومی در دنیای ترکیبی سخت است
در همین حال، بیایید در مورد آن دسته از کنترلهای امنیتی ابری بومی بهبود یافته که ارائهدهندگان در دهه گذشته ایجاد کردهاند، صحبت کنیم. در حالی که بسیاری از ارائه دهندگان کار خوبی انجام داده اند و به مشتریان کنترل بیشتری بر حجم کاری، هویت و دید خود ارائه می دهند، این کیفیت ناسازگار است. همانطور که کیندرواگ می گوید، “بعضی از آنها خوب هستند، برخی از آنها نه.” مشکل واقعی همه آنها این است که مدیریت آنها در دنیای واقعی، فراتر از انزوای محیط یک ارائه دهنده، دشوار است.
“این کار به افراد زیادی نیاز دارد، و آنها در هر ابر متفاوت هستند. من فکر می کنم هر شرکتی که در پنج سال گذشته با آنها صحبت کرده ام یک مدل چند ابری و یک مدل ترکیبی دارد که هر دو در یک زمان اتفاق می افتند. ” او می گوید. “موجود ترکیبی، “من از چیزهای داخلی و ابرها استفاده می کنم، و از چندین ابر استفاده می کنم، و ممکن است از چندین ابر برای ارائه دسترسی به میکروسرویس های مختلف برای یک برنامه واحد استفاده کنم.” تنها راهی که میتوانید این مشکل را حل کنید، داشتن یک کنترل امنیتی است که میتواند در تمام ابرهای چندگانه مدیریت شود.»
او میگوید این یکی از عوامل بزرگی است که بحثها را در مورد انتقال اعتماد صفر به فضای ابری پیش میبرد.
او میگوید: «اعتماد صفر مهم نیست که دادهها یا داراییها را کجا قرار دهید». میتواند در فضای ابری باشد. میتواند در محل باشد. میتواند در یک نقطه پایانی باشد.»
3. هویت ابر شما را نجات نخواهد داد
با تأکید بسیار بر مدیریت هویت ابری و توجه نامتناسب به مؤلفه هویت در اعتماد صفر، برای سازمانها مهم است که درک کنند که هویت تنها بخشی از یک صبحانه متعادل برای اعتماد صفر به ابر است.
کیندرواگ میگوید: «بسیاری از روایت اعتماد صفر درباره هویت، هویت، هویت است. “هویت مهم است، اما ما هویت را در سیاست با اعتماد صفر مصرف می کنیم. این همه چیز نیست.
منظور Kindervag این است که با یک مدل بدون اعتماد، اعتبارنامه ها به طور خودکار به کاربران امکان دسترسی به هیچ چیز زیر نور خورشید در یک ابر یا شبکه معین را نمی دهند. این سیاست دقیقاً چه زمانی و چه زمانی به داراییهای خاص دسترسی داده میشود. کیندرواگ مدتها قبل از اینکه مدل اعتماد صفر را ترسیم کند، طرفدار تقسیمبندی شبکهها، حجم کاری، داراییها، دادهها بوده است. همانطور که او توضیح می دهد، قلب تعریف دسترسی بدون اعتماد توسط خط مشی، تقسیم چیزها به “سطوح محافظت” است، زیرا سطح خطر انواع مختلف کاربرانی که به هر سطح محافظتی دسترسی دارند، خط مشی هایی را مشخص می کند که به هر اعتبار مشخصی متصل می شود.
“ماموریت من این است، اینکه مردم را وادار کنم تا روی آنچه باید محافظت کنند تمرکز کنند، چیزهای مهم را در سطوح مختلف محافظتی قرار دهم، مانند پایگاه داده کارت اعتباری PCI شما باید در سطح محافظتی خودش باشد. پایگاه داده منابع انسانی شما باید در سطح محافظتی خودش باشد. HMI شما برای سیستم IoT یا سیستم OT باید در سطح محافظتی خودش باشد. “وقتی مشکل را به این تکه های کوچک تقسیم می کنیم، آنها را یکی یکی حل می کنیم، و آنها را یکی پس از دیگری انجام می دهیم. این کار را بسیار مقیاس پذیرتر و قابل انجام تر می کند.”
4. خیلی از شرکت ها نمی دانند از چه چیزی می خواهند محافظت کنند
از آنجایی که سازمانها تصمیم میگیرند چگونه سطوح محافظتی خود را در فضای ابری تقسیم کنند، ابتدا باید به وضوح مشخص کنند که از چه چیزی محافظت میکنند. این امر بسیار مهم است زیرا هر دارایی یا سیستم یا فرآیند دارای ریسک منحصر به فرد خود است و سیاست های دسترسی و سخت شدن اطراف آن را تعیین می کند. شوخی این است که شما یک خزانه یک میلیون دلاری برای نگهداری چند صد پنی نمی سازید. ابری معادل آن، ایجاد هزاران محافظت در اطراف یک دارایی ابری است که از سیستم های حساس جدا شده است و اطلاعات حساس را در خود جای نمی دهد.
Kindervag میگوید برای سازمانها بسیار رایج است که تصور روشنی از آنچه در فضای ابری یا فراتر از آن محافظت میکنند نداشته باشند. در واقع، اکثر سازمانهای امروزی حتی لزوماً ایده روشنی از آنچه در فضای ابری وجود دارد یا آنچه به ابر متصل میشود، ندارند، چه رسد به اینکه چه چیزی نیاز به محافظت دارد. به عنوان مثال، یک مطالعه Cloud Security Alliance نشان می دهد که تنها 23 درصد از سازمان ها دید کاملی در محیط های ابری دارند. و مطالعه Illumio در اوایل سال جاری نشان می دهد که 46٪ از سازمان ها دید کاملی از اتصال سرویس های ابری خود ندارند.
کیندرواگ میگوید: «مردم به این فکر نمیکنند که واقعاً به دنبال چه چیزی هستند و از چه چیزی محافظت میکنند. این یک مسئله اساسی است که باعث میشود شرکتها پول امنیتی زیادی را بدون ایجاد حفاظت مناسب در این فرآیند هدر دهند.
“آنها پیش من می آیند و می گویند “اعتماد صفر کارساز نیست” و من می گویم “خب، از چه چیزی محافظت می کنید؟” و آنها می گویند، “من هنوز در مورد آن فکر نکرده ام” و پاسخ من این است، “خب، پس، شما حتی به شروع فرآیند اعتماد صفر نزدیک نیستید.”
5. مشوقهای توسعه بومی Cloud خارج از انتظار هستند
شیوههای DevOps و توسعه بومی ابری از طریق سرعت، مقیاسپذیری و انعطافپذیری که توسط پلتفرمهای ابری و ابزارها فراهم شده است، بهشدت افزایش یافتهاند. وقتی امنیت به طور مناسب در آن ترکیب قرار گیرد، اتفاقات خوبی می تواند رخ دهد. اما Kindervag میگوید که بیشتر سازمانهای توسعه انگیزه مناسبی برای تحقق آن ندارند – به این معنی که زیرساخت ابر و همه برنامههایی که بر روی آن قرار دارند در این فرآیند در معرض خطر قرار میگیرند.
Kindervag می گوید: “من دوست دارم بگویم که افراد برنامه DevOps ریکی بابی های فناوری اطلاعات هستند. آنها فقط می خواهند سریع پیش بروند.” “به یاد دارم که با رئیس توسعه در یک شرکت صحبت کردم که در نهایت نقض شد و از او میپرسیدم که در مورد امنیت چه میکند. و او گفت: “هیچی، من به امنیت اهمیت نمیدهم.” من پرسیدم، “چطور می توانید به امنیت اهمیت ندهید؟” و او می گوید: “چون من KPI برای آن ندارم.”
Kindervag می گوید این تصویری از یکی از مشکلات بزرگ است، نه فقط در AppSec، بلکه در حرکت به سمت صفر اعتماد برای ابر و فراتر از آن. بسیاری از سازمانها به سادگی ساختارهای انگیزشی مناسبی برای تحقق آن ندارند – و در واقع، بسیاری از آنها مشوقهای انحرافی دارند که در نهایت باعث تشویق عمل ناامن میشود.
به همین دلیل است که او مدافع ایجاد مراکز تعالی با اعتماد صفر در شرکتها است که نه تنها شامل فنآوران، بلکه رهبری تجاری در برنامهریزی، طراحی و فرآیندهای تصمیمگیری مداوم است. او میگوید وقتی این تیمهای متقابل با هم ملاقات میکنند، وقتی یک مدیر اجرایی قدرتمند کسبوکار جلو میرود و میگوید که سازمان در آن جهت حرکت میکند، دیده است که «ساختارهای انگیزشی در زمان واقعی تغییر میکنند».
کیندرواگ میگوید: «موفقترین طرحهای بدون اعتماد، آنهایی بودند که رهبران کسبوکار در آن مشارکت داشتند. من یکی را در یک شرکت تولیدی داشتم که در آن معاون اجرایی – یکی از رهبران ارشد شرکت – قهرمان تحول بدون اعتماد برای محیط تولید شد.
این مقاله در ابتدا در Dark Reading منتشر شد.