Защищать облако — это все равно, что съесть слона. Как съесть слона? Один укус за раз. То же самое касается и облачной безопасности: с проблемами станет гораздо легче справиться, если разбить процесс на четыре четких и практически осуществимых этапа: оценка, анализ, действие и безопасность. Внедрение облачных сервисов обусловлено цифровой трансформацией и обещанием большей гибкости, масштабируемости и прибыльности. Но в то же время растет количество нарушений, связанных с облачными технологиями. Департамент цифровых технологий, культуры, СМИ и спорта заявил в своем расследовании нарушений кибербезопасности в 2018 году, что компании, использующие облачные вычисления, с большей вероятностью подверглись взлому, чем те, которые этого не сделали. их не было (52% против 43%).
Об авторе Натан Бриттон, менеджер по облачной безопасности в NTT. Нарушение Uber связано с тем, что компания хранила учетные данные AWS в репозитории Github, которые позже были восстановлены хакерами и использованы для доступа к учетной записи Uber AWS. Еще одно крупномасштабное нарушение произошло в Verizon, где неправильно настроенная корзина S3, принадлежащая и управляемая поставщиком NICE Systems, раскрыла имена, адреса, данные учетных записей и PIN-коды почти 14 миллионов клиентов в США.
Облачная безопасность
Облако по своей сути не более опасно, чем локальная ИТ-инфраструктура. Большинство нарушений происходит из-за неправильных ошибок конфигурации или непонимания ожидаемой облачной безопасности. Так почему же данные с большей вероятностью будут доступны в облаке? Многие команды безопасности с трудом справляются с быстрыми темпами развертывания облаков. Подъем и перемещение элементов управления безопасностью также может привести к образованию брешей. Облачные приложения не всегда отражают свою локальную версию, поэтому может потребоваться пересмотреть элементы управления для поддержки корпоративных приложений, которые были размещены, переформатированы или рефакторингованы. Еще одной потенциальной проблемой является отсутствие политик безопасности или руководящих принципов, ориентированных на облако, которые поощряли бы внедрение облачных технологий с «задуманной безопасностью». Модели общей безопасности также могут сделать данные уязвимыми, если неясно, лежит ли ответственность за защиту данных на предприятии, поставщике облачных услуг, потребителе или на их комбинации. Облачная модель, будь то IaaS, PaaS или SaaS, может влиять на распределение ответственности.
4 для облачной безопасности
Этот четырехэтапный процесс поможет организациям понять, как защитить развертывание облака, получить представление о своем облачном следе, понять слабые места и риски и, что наиболее важно, использовать эти знания для разработки плана улучшения облачной безопасности. .
Оценивать
Вы не можете быть уверены в том, чего не видите. Оценка и аудит облачных решений обеспечат видимость развернутых там активов и рабочих нагрузок. Он также высветит потенциальные угрозы, пробелы в безопасности и общее состояние безопасности. Сейчас самое время посмотреть, где сам поставщик облачных решений (CSP) «встраивает» безопасность, а где ее необходимо добавить или расширить. Хорошей идеей будет поискать инструменты и процессы, которые помогут вам оценить, где могут быть пробелы. Результаты оценки можно использовать в качестве ориентира для определения того, где вы находитесь сегодня, и построения дорожной карты облачной безопасности на будущее.
анализировать
Все начинается с определения того, как развертывание облака соотносится с передовыми практиками или системами безопасности, включая требования соответствия нормативным требованиям. Затем изучите уязвимости безопасности, выявленные в результате этого анализа, и дайте количественную оценку потенциальным рискам и угрозам, возникающим в результате этого. Отсюда вы можете сопоставить угрозы с правильными элементами управления безопасностью, чтобы устранить пробелы и расставить приоритеты в порядке их развертывания. Знания, полученные на этом этапе анализа, помогут вам принять обоснованные решения о разработке облачной безопасности и контролировать реализацию, чтобы обеспечить последовательность реализации.
акт
Получив более четкое представление о состоянии безопасности развертывания облака и видимости активов, вы сможете решить проблемы безопасности, разработав и внедрив необходимые элементы управления безопасностью. Это обеспечит единый подход к развертыванию облака и обеспечению безопасности «по замыслу». Хорошей идеей будет начать с собственных средств управления и конфигураций безопасности CSP, используя их в качестве основы для создания минимально жизнеспособной модели безопасности, которую можно будет применять для создания будущих облачных ресурсов безопасным и последовательным образом. Их можно дополнить встроенными средствами управления облачной безопасностью.
безопасный
Когда дело доходит до обеспечения безопасности облачных развертываний, работа никогда не заканчивается. Ваша облачная безопасность должна будет повышаться по мере увеличения количества развертываний и переноса большего количества рабочих нагрузок в облако или интеграции в облако. Чтобы обеспечить соответствие нормативным требованиям и противостоять возникающим угрозам, необходимо постоянно контролировать развертывание облачных технологий и сообщать о любых отклонениях от согласованных стандартов безопасности. Здесь необходима автоматизация, чтобы обеспечить быстрое решение проблемы. Чтобы получить максимальную отдачу от этого этапа процесса, вам потребуется поддержка инструментов и платформ мониторинга безопасности и соответствия требованиям, которые соответствуют вашим операционным требованиям безопасности. Нарушая безопасность облака с помощью упреждающего подхода «четыре как», организации могут получить выгоду от большей прозрачности облачных рабочих нагрузок и активов, а также рисков и угроз, которые необходимо устранить. Это предоставит им информацию, необходимую для создания приоритетного плана действий по исправлению и улучшению, а также обеспечит согласованность и интеграцию безопасности во всех текущих и будущих развертываниях.