Podle bezpečnostních expertů se s nástupem multicloudových prostředí objevila řada osvědčených bezpečnostních postupů a existuje několik důležitých kroků, které by všechny organizace měly podniknout při vývoji svých strategií.
Narušení dat nebo výstraha narušitelů způsobí, že bezpečnostní týmy budou proaktivnější při potlačování škod a identifikaci příčiny.
Tento úkol je vždy náročný, i když skutečný IT člověk provozuje všechny operace na své vlastní infrastruktuře. Tento úkol je stále složitější, protože organizace přesunuly větší část své pracovní zátěže do cloudu a následně k více poskytovatelům cloudu.
Zpráva o cloudových operacích za rok 2018 od RightScale, poskytovatele cloudových služeb, zjistila, že 77 % technologických profesionálů (což odpovídá 997 respondentům) uvedlo, že zabezpečení cloudu je výzvou, a 29 % z nich uvedlo, že jde o velmi velkou výzvu.
Bezpečnostní experti tvrdí, že je to nepřekvapuje, zvláště když 81 % respondentů průzkumu RightScale používá multicloudovou strategii.
"Multicloud prostředí učiní způsob, jakým implementujete a spravujete bezpečnostní kontroly, složitější," řekl Ron Lefferts, výkonný ředitel a vedoucí technologického poradenství v poradenské firmě pro řízení.
On a další bezpečnostní lídři tvrdí, že organizace jsou agresivní, pokud jde o udržení vysoké bezpečnosti, protože přesouvají více pracovních zátěží do cloudu.
Největší multicloudové bezpečnostní výzvy
Měli by však také uznat, že multicloudová prostředí přicházejí s dalšími výzvami, které je třeba řešit. Jedná se o součást komplexní bezpečnostní strategie.
„V tomto multicloudovém světě je koordinace nezbytným předpokladem,“ říká Christos K. Dimitriadis, ředitel a bývalý předseda představenstva ISACA, profesního sdružení zaměřujícího se na IT governance mezi technologií a lidskou inteligencí. Nyní, pokud dojde k incidentu, musíte zajistit, aby všechny subjekty byly koordinovány, aby identifikovaly porušení, analyzovaly je a vytvořily plány zlepšení pro účinnější kontrolu."
Níže jsou uvedeny tři prvky, které podle odborníků představují komplexní bezpečnostní strategie pro multicloudová prostředí.
„Rozšíření datových center máte na mnoha místech po celém světě,“ řekl Juan Perez-Etchegoyen, výzkumník a spolupředseda pracovní skupiny ERP Security Working Group v neziskové obchodní organizaci Cloud Security Alliance (CSA). A pak musíte dodržovat předpisy všech zemí nebo regionů, kde datové centrum umístíte. Počet regulací je velký a roste. Tyto předpisy podporují kontroly a mechanismy, které společnosti potřebují zavést. To vše zvyšuje složitost způsobu, jakým chráníme data.“
"Takže se snažíme chránit data, služby a samotné podnikání, aniž bychom museli jasně chápat, kde se data nacházejí," řekl pan Dimitriadis.
"Vytváříme něco nového, kde ještě nevíme o všech zranitelnostech. Ale můžeme tyto zranitelnosti objevit, když půjdeme kupředu," řekl.
Podle bezpečnostních expertů se s nástupem multicloudových prostředí objevila řada osvědčených bezpečnostních postupů a existuje několik důležitých kroků, které by všechny organizace měly podniknout při vývoji svých strategií.
První věc, kterou musíte udělat, je identifikovat všechny cloudy, kde „sídlí“ data, a zajistit, aby organizace měla silný program správy dat – „úplný obrázek o datech a jejich službách, stejně jako o aktivech IT souvisejících se všemi typy informací“ ( podle pana Dimitriadise).
Pan Dimitriadis je také vedoucím informační bezpečnosti, shody s informacemi a ochrany duševního vlastnictví ve společnosti INTRALOT Group, provozovatele her a poskytovateli řešení, uznal, že tyto návrhy zabezpečení neposkytují pouze multicloudová prostředí.
Nicméně říká, že zavedení těchto základních opatření je stále důležitější než kdy jindy, protože data se přesouvají do cloudu a pokrývají více cloudových platforem.
Statistiky ukazují, proč je tak důležité mít silnou bezpečnostní základnu. Zpráva KPMG a Oracle o cloudových hrozbách za rok 2018, která zkoumala 450 odborníků v oblasti zabezpečení a IT, uvedla, že 90 % podniků klasifikuje polovinu svých dat jako cloudová. Jsou citlivá.
Zpráva také zjistila, že 82 % respondentů se obává, že zaměstnanci nedodržují zásady zabezpečení cloudu, a 38 % má problémy s detekcí a reakcí na bezpečnostní incidenty cloudu.
V boji proti takovým situacím by podniky měly klasifikovat informace, aby vytvořily více vrstev zabezpečení, řekl Ramsés Gallego, vedoucí ve společnosti ISACA a evangelista v kanceláři CTO ve společnosti Symantec. To nám říká, že ne všechna data vyžadují stejnou úroveň důvěry a ověření pro přístup nebo uzamčení.
Bezpečnostní experti také radí podnikům, aby implementovaly další běžná bezpečnostní opatření napříč základními vrstvami nezbytnými k ochraně multicloudových prostředí. Kromě zásad klasifikace dat společnost Gallego doporučuje používat řešení pro šifrování, správu identity a přístupu (IAM), jako je dvoufaktorová autentizace .
Podniky potřebují standardizovat zásady a struktury, aby zajistily konzistentní aplikace a co nejvíce automatizovaly, aby pomohly omezit odchylky od těchto bezpečnostních standardů.
„Úroveň úsilí, kterou společnost vynaloží, bude záviset na riziku a citlivosti dat. Pokud tedy používáte cloud k ukládání nebo zpracování nedůvěrných dat, nepotřebujete stejný přístup k zabezpečení jako cloud obsahující důležité informace,“ řekl pan Gadia.
Poznamenal také, že standardizace a automatizace jsou velmi účinné. Tato opatření nejen snižují celkové náklady, ale také umožňují vedoucím pracovníkům v oblasti bezpečnosti nasměrovat více zdrojů na úkoly s vyšší hodnotou.
Podle odborníků by takové základní prvky měly být součástí větší a soudržnější strategie. Všimněte si, že podniky budou dělat dobře, když přijmou rámec pro správu úkolů souvisejících se zabezpečením. Mezi běžné rámce patří NIST Národního institutu pro standardy a technologie; Kontrolní cíle ISACA pro informační technologie (COBIT); Řada ISO 27000; a Cloud Security Alliance Cloud Control Matrix (CCM).
Podle pana Dimitriadise zvolený rámec nevede pouze podniky, ale také dodavatele.
„Co musíme udělat, je zkombinovat tyto rámce s poskytovateli cloudových služeb. Poté budete moci vytvářet kontroly kolem dat a služeb, které se snažíte chránit,“ uvedl dále.
Bezpečnostní experti tvrdí, že vyjednávání s poskytovateli cloudu a následné smlouvy o službách budou řešit izolaci dat a způsob jejich ukládání. Budou spolupracovat a koordinovat se s ostatními poskytovateli cloudu a poté poskytovat služby podnikům.
Je důležité mít jasnou představu o tom, jaké služby od jednotlivých poskytovatelů získáváte a zda mají kapacitu danou službu spravovat a provozovat.
"Buďte konkrétní, co očekáváte a jak se tam dostat," dodává pan Spivey. "Musí být jasné, jaké služby získáte od jednotlivých poskytovatelů a zda mají kapacitu je spravovat a provozovat."
Ale podle pana Gallega nenechávejte problémy se zabezpečením na poskytovatelích služeb cloud computingu .
Poskytovatelé cloudových služeb často prodávají své služby tak, že zdůrazňují, co mohou dělat jménem podnikových zákazníků, a často zahrnují bezpečnostní služby. Ale to nestačí. Pamatujte, že tyto společnosti podnikají v oblasti služeb cloud computingu a nespecializují se na oblast zabezpečení.
Proto tvrdí, že vedoucí podnikové bezpečnosti musí budovat své bezpečnostní plány na granulární úrovni, například kdo má k čemu, kdy a jak přístup. Poté jej dejte každému poskytovateli cloudu, aby vám pomohl tyto plány realizovat.
Dodal také: „Poskytovatelé cloudových služeb si potřebují získat důvěru zákazníků.“
Zásady, správa a dokonce i běžná bezpečnostní opatření, jako je dvoufaktorová autentizace, jsou nezbytné, ale nestačí k tomu, aby zvládly složitosti, které vznikají při distribuci pracovních zátěží na více cloudech.
Podniky musí přijmout nové technologie navržené tak, aby umožnily podnikovým bezpečnostním týmům lépe řídit a provádět jejich multicloudové bezpečnostní strategie.
Pan Gallego a další výzkumníci poukazují na řešení, jako je Cloud Access Security Brokers (CASB), softwarový nástroj nebo služba, která se nachází mezi místní infrastrukturou organizace a infrastrukturou poskytovatele cloudu. cloud ke konsolidaci a vynucení bezpečnostních opatření, jako je autentizace, mapování pověření, uchovávání informací o zařízení, šifrování a detekce malwaru .
Nástroj také uvádí seznam technologií umělé inteligence a poté analyzuje síťový provoz, aby přesně detekoval anomální jevy, které vyžadují lidskou pozornost, a tím omezil počet incidentů, které je nutné ověřit nebo nahradit. a poté přesměrovat tyto zdroje na incidenty, které mohou mít vážné následky. .
A odborníci uvádějí pokračující používání automatizace jako klíčovou technologii pro optimalizaci zabezpečení v multicloudovém prostředí. Jak také poznamenal pan Spivey: „Úspěšné organizace jsou ty, které automatizují mnoho částí a zaměřují se na správu a řízení.“
Spivey a další výzkumníci navíc tvrdí, že i když přesné technologie používané k zabezpečení dat prostřednictvím mnoha cloudových služeb, jako je CASB, mohou být jedinečné pro prostředí, multicloud. Odborníci zdůrazňují, že celkový bezpečnostní princip sleduje cíl dlouhodobého přístupu lidí i technologií k vybudování nejlepší strategie.
„Hovoříme o různých technologiích a scénářích, více zaměřených na data, ale jsou to stejné koncepty, které musíte implementovat,“ řekl Perez-Etchegoyen, také CTO společnosti Onapsis. "Technický přístup se bude pro každé multicloudové prostředí lišit, ale celková strategie bude stejná."
Vidět víc:
Statická IP adresa je pevná IP adresa nakonfigurovaná v nastavení počítače nebo routeru. Někteří poskytovatelé internetových služeb (ISP) vyžadují zadání statické IP adresy na vašem počítači nebo nastavení TCP/IP routeru, abyste se mohli připojit k internetu.
Podle způsobu infekce patří PublicBoardSearch do kategorie únosců prohlížeče. Jedná se o typ malwaru navržený tak, aby převzal nastavení známého prohlížeče.
Kolekce tapet s vysokým rozlišením pro uživatele počítačů a notebooků s plným rozlišením od Full HD po 4K.
Unixový systém, také známý jako „loopback“, může sám sobě posílat a přijímat síťovou komunikaci přes virtuální síťové zařízení. Počítač může posílat zprávy sám sobě, což umožňuje komunikaci bez aktivní sítě.
Pravděpodobně jste slyšeli rčení, že dostanete to, za co zaplatíte, ale co když dojde na antivirový software? Měli byste si raději koupit softwarové balíčky, než se rozhodnout pro bezplatná řešení ochrany? Možná tomu tak není a zde je důvod!
V dnešním článku Quantrimang shrne oblíbené značky antivirového softwaru na trhu a zjistí, jak se liší mezi Windows PC a macOS.
Není jasné, co Sun Valley přinese kromě změn a vylepšení uživatelského rozhraní nejvyšší úrovně. Zde je tedy to, co uživatelé doufají, že uvidí od velké aktualizace systému Windows 10 Sun Valley, která bude uvedena v příštím roce.
Systém Windows poskytuje možnost Spustit jako správce, která uživatelům umožňuje spouštět aplikace a programy s oprávněními správce. Můžete jej také použít k odstraňování problémů s počítačem. Ale co když tato funkce nefunguje a odebere vám práva správce?
Chyby související s jednotkou vašeho počítače mohou zabránit správnému spuštění systému a omezit přístup k vašim souborům a aplikacím.
Některé varianty malwaru mohou používat různé moduly ke změně toho, jak ovlivňují cílový systém. Co je tedy modulární malware a jak funguje?
