5 حقیقت سخت درباره وضعیت امنیت ابری در سال 2024 | دانش مرکز داده

در حالی که امنیت ابری مطمئناً از روزهای غرب وحشی استفاده اولیه از ابر، راه درازی را پیموده است، حقیقت این است که راه درازی در پیش است تا بسیاری از سازمان‌های امروزی واقعاً شیوه‌های امنیت ابری خود را به بلوغ برسانند. و این از نظر حوادث امنیتی هزینه های زیادی را برای سازمان ها تحمیل می کند.

مطالعه Vanson Bourne در اوایل سال جاری نشان داد که تقریباً نیمی از نقض‌هایی که در سال گذشته توسط سازمان‌ها متحمل شده‌اند در فضای ابری نشات گرفته‌اند. همان مطالعه نشان داد که یک سازمان متوسط ​​تقریباً 4.1 میلیون دلار در سال گذشته به دلیل رخنه های ابری از دست داده است.

مربوط: چگونه ISO، CIS، MITRE و CSA بر معماری امنیت ابری شما تأثیر می‌گذارند

دارک ریدینگ اخیراً با پدرخوانده امنیت صفر اعتماد، جان کیندرواگ، تماس گرفت تا در مورد وضعیت امنیت ابری بحث کند. وقتی کیندرواگ در تحقیقات Forrester تحلیلگر بود، به مفهوم سازی و رایج کردن مدل امنیتی صفر اعتماد کمک کرد. اکنون او بشارتگر ارشد در ایلومیو است، جایی که در میان فعالیت‌هایش هنوز هم طرفدار اعتماد صفر است و توضیح می‌دهد که این یک راه کلیدی برای طراحی مجدد امنیت در عصر ابر است. به گفته کیندرواگ، سازمان ها برای دستیابی به موفقیت باید با حقایق سخت زیر برخورد کنند.

1. فقط با رفتن به فضای ابری امن تر نمی شوید

کیندرواگ می‌گوید یکی از بزرگترین افسانه‌ها در مورد ابر این است که ذاتاً از بسیاری از محیط‌های داخلی امن‌تر است.

مربوط: فهرست کارهای معمار امنیت ابری

او می‌گوید: «یک سوء تفاهم اساسی از ابر وجود دارد که به نوعی امنیت بیشتری در آن تعبیه شده است، که با رفتن به ابر فقط با رفتن به ابر، امنیت بیشتری خواهید داشت.

مشکل این است که در حالی که ارائه دهندگان ابر مقیاس ابر ممکن است در حفاظت از زیرساخت ها بسیار خوب باشند، کنترل و مسئولیتی که آنها بر وضعیت امنیتی مشتریان خود دارند بسیار محدود است.

Kindervag می‌گوید: “بسیاری از مردم فکر می‌کنند که امنیت را به ارائه‌دهنده ابری برون سپاری می‌کنند. آنها فکر می‌کنند که در حال انتقال ریسک هستند.” “در امنیت سایبری، شما هرگز نمی توانید خطر را انتقال دهید. اگر شما نگهبان آن داده ها هستید، شما همیشه نگهبان داده ها هستید، مهم نیست چه کسی آن را برای شما نگه می دارد.”

به همین دلیل است که کیندرواگ از طرفداران پر و پا قرص عبارت «مسئولیت مشترک» نیست که به گفته او باعث می‌شود 50-50 تقسیم کار و تلاش وجود داشته باشد. او عبارت “دست دادن ناهموار” را ترجیح می دهد که توسط جیمز استاتن، همکار سابقش در Forrester ابداع شده است.

او می‌گوید: «مشکل اساسی این است که مردم فکر می‌کنند که یک مدل مسئولیت مشترک وجود دارد و در عوض یک دست دادن ناهموار وجود دارد.

2. مدیریت کنترل های امنیتی بومی در دنیای ترکیبی سخت است

در همین حال، بیایید در مورد آن دسته از کنترل‌های امنیتی ابری بومی بهبود یافته که ارائه‌دهندگان در دهه گذشته ایجاد کرده‌اند، صحبت کنیم. در حالی که بسیاری از ارائه دهندگان کار خوبی انجام داده اند و به مشتریان کنترل بیشتری بر حجم کاری، هویت و دید خود ارائه می دهند، این کیفیت ناسازگار است. همانطور که کیندرواگ می گوید، “بعضی از آنها خوب هستند، برخی از آنها نه.” مشکل واقعی همه آنها این است که مدیریت آنها در دنیای واقعی، فراتر از انزوای محیط یک ارائه دهنده، دشوار است.

“این کار به افراد زیادی نیاز دارد، و آنها در هر ابر متفاوت هستند. من فکر می کنم هر شرکتی که در پنج سال گذشته با آنها صحبت کرده ام یک مدل چند ابری و یک مدل ترکیبی دارد که هر دو در یک زمان اتفاق می افتند. ” او می گوید. “موجود ترکیبی، “من از چیزهای داخلی و ابرها استفاده می کنم، و از چندین ابر استفاده می کنم، و ممکن است از چندین ابر برای ارائه دسترسی به میکروسرویس های مختلف برای یک برنامه واحد استفاده کنم.” تنها راهی که می‌توانید این مشکل را حل کنید، داشتن یک کنترل امنیتی است که می‌تواند در تمام ابرهای چندگانه مدیریت شود.»

او می‌گوید این یکی از عوامل بزرگی است که بحث‌ها را در مورد انتقال اعتماد صفر به فضای ابری پیش می‌برد.

او می‌گوید: «اعتماد صفر مهم نیست که داده‌ها یا دارایی‌ها را کجا قرار دهید». می‌تواند در فضای ابری باشد. می‌تواند در محل باشد. می‌تواند در یک نقطه پایانی باشد.»

3. هویت ابر شما را نجات نخواهد داد

با تأکید بسیار بر مدیریت هویت ابری و توجه نامتناسب به مؤلفه هویت در اعتماد صفر، برای سازمان‌ها مهم است که درک کنند که هویت تنها بخشی از یک صبحانه متعادل برای اعتماد صفر به ابر است.

کیندرواگ می‌گوید: «بسیاری از روایت اعتماد صفر درباره هویت، هویت، هویت است. “هویت مهم است، اما ما هویت را در سیاست با اعتماد صفر مصرف می کنیم. این همه چیز نیست.

منظور Kindervag این است که با یک مدل بدون اعتماد، اعتبارنامه ها به طور خودکار به کاربران امکان دسترسی به هیچ چیز زیر نور خورشید در یک ابر یا شبکه معین را نمی دهند. این سیاست دقیقاً چه زمانی و چه زمانی به دارایی‌های خاص دسترسی داده می‌شود. کیندرواگ مدت‌ها قبل از اینکه مدل اعتماد صفر را ترسیم کند، طرفدار تقسیم‌بندی شبکه‌ها، حجم کاری، دارایی‌ها، داده‌ها بوده است. همانطور که او توضیح می دهد، قلب تعریف دسترسی بدون اعتماد توسط خط مشی، تقسیم چیزها به “سطوح محافظت” است، زیرا سطح خطر انواع مختلف کاربرانی که به هر سطح محافظتی دسترسی دارند، خط مشی هایی را مشخص می کند که به هر اعتبار مشخصی متصل می شود.

“ماموریت من این است، اینکه مردم را وادار کنم تا روی آنچه باید محافظت کنند تمرکز کنند، چیزهای مهم را در سطوح مختلف محافظتی قرار دهم، مانند پایگاه داده کارت اعتباری PCI شما باید در سطح محافظتی خودش باشد. پایگاه داده منابع انسانی شما باید در سطح محافظتی خودش باشد. HMI شما برای سیستم IoT یا سیستم OT باید در سطح محافظتی خودش باشد. “وقتی مشکل را به این تکه های کوچک تقسیم می کنیم، آنها را یکی یکی حل می کنیم، و آنها را یکی پس از دیگری انجام می دهیم. این کار را بسیار مقیاس پذیرتر و قابل انجام تر می کند.”

4. خیلی از شرکت ها نمی دانند از چه چیزی می خواهند محافظت کنند

از آنجایی که سازمان‌ها تصمیم می‌گیرند چگونه سطوح محافظتی خود را در فضای ابری تقسیم کنند، ابتدا باید به وضوح مشخص کنند که از چه چیزی محافظت می‌کنند. این امر بسیار مهم است زیرا هر دارایی یا سیستم یا فرآیند دارای ریسک منحصر به فرد خود است و سیاست های دسترسی و سخت شدن اطراف آن را تعیین می کند. شوخی این است که شما یک خزانه یک میلیون دلاری برای نگهداری چند صد پنی نمی سازید. ابری معادل آن، ایجاد هزاران محافظت در اطراف یک دارایی ابری است که از سیستم های حساس جدا شده است و اطلاعات حساس را در خود جای نمی دهد.

Kindervag می‌گوید برای سازمان‌ها بسیار رایج است که تصور روشنی از آنچه در فضای ابری یا فراتر از آن محافظت می‌کنند نداشته باشند. در واقع، اکثر سازمان‌های امروزی حتی لزوماً ایده روشنی از آنچه در فضای ابری وجود دارد یا آنچه به ابر متصل می‌شود، ندارند، چه رسد به اینکه چه چیزی نیاز به محافظت دارد. به عنوان مثال، یک مطالعه Cloud Security Alliance نشان می دهد که تنها 23 درصد از سازمان ها دید کاملی در محیط های ابری دارند. و مطالعه Illumio در اوایل سال جاری نشان می دهد که 46٪ از سازمان ها دید کاملی از اتصال سرویس های ابری خود ندارند.

کیندرواگ می‌گوید: «مردم به این فکر نمی‌کنند که واقعاً به دنبال چه چیزی هستند و از چه چیزی محافظت می‌کنند. این یک مسئله اساسی است که باعث می‌شود شرکت‌ها پول امنیتی زیادی را بدون ایجاد حفاظت مناسب در این فرآیند هدر دهند.

“آنها پیش من می آیند و می گویند “اعتماد صفر کارساز نیست” و من می گویم “خب، از چه چیزی محافظت می کنید؟” و آنها می گویند، “من هنوز در مورد آن فکر نکرده ام” و پاسخ من این است، “خب، پس، شما حتی به شروع فرآیند اعتماد صفر نزدیک نیستید.”

5. مشوق‌های توسعه بومی Cloud خارج از انتظار هستند

شیوه‌های DevOps و توسعه بومی ابری از طریق سرعت، مقیاس‌پذیری و انعطاف‌پذیری که توسط پلتفرم‌های ابری و ابزارها فراهم شده است، به‌شدت افزایش یافته‌اند. وقتی امنیت به طور مناسب در آن ترکیب قرار گیرد، اتفاقات خوبی می تواند رخ دهد. اما Kindervag می‌گوید که بیشتر سازمان‌های توسعه انگیزه مناسبی برای تحقق آن ندارند – به این معنی که زیرساخت ابر و همه برنامه‌هایی که بر روی آن قرار دارند در این فرآیند در معرض خطر قرار می‌گیرند.

Kindervag می گوید: “من دوست دارم بگویم که افراد برنامه DevOps ریکی بابی های فناوری اطلاعات هستند. آنها فقط می خواهند سریع پیش بروند.” “به یاد دارم که با رئیس توسعه در یک شرکت صحبت کردم که در نهایت نقض شد و از او می‌پرسیدم که در مورد امنیت چه می‌کند. و او گفت: “هیچی، من به امنیت اهمیت نمی‌دهم.” من پرسیدم، “چطور می توانید به امنیت اهمیت ندهید؟” و او می گوید: “چون من KPI برای آن ندارم.”

Kindervag می گوید این تصویری از یکی از مشکلات بزرگ است، نه فقط در AppSec، بلکه در حرکت به سمت صفر اعتماد برای ابر و فراتر از آن. بسیاری از سازمان‌ها به سادگی ساختارهای انگیزشی مناسبی برای تحقق آن ندارند – و در واقع، بسیاری از آنها مشوق‌های انحرافی دارند که در نهایت باعث تشویق عمل ناامن می‌شود.

به همین دلیل است که او مدافع ایجاد مراکز تعالی با اعتماد صفر در شرکت‌ها است که نه تنها شامل فن‌آوران، بلکه رهبری تجاری در برنامه‌ریزی، طراحی و فرآیندهای تصمیم‌گیری مداوم است. او می‌گوید وقتی این تیم‌های متقابل با هم ملاقات می‌کنند، وقتی یک مدیر اجرایی قدرتمند کسب‌وکار جلو می‌رود و می‌گوید که سازمان در آن جهت حرکت می‌کند، دیده است که «ساختارهای انگیزشی در زمان واقعی تغییر می‌کنند».

کیندرواگ می‌گوید: «موفق‌ترین طرح‌های بدون اعتماد، آنهایی بودند که رهبران کسب‌وکار در آن مشارکت داشتند. من یکی را در یک شرکت تولیدی داشتم که در آن معاون اجرایی – یکی از رهبران ارشد شرکت – قهرمان تحول بدون اعتماد برای محیط تولید شد.

این مقاله در ابتدا در Dark Reading منتشر شد.