Top 3 multicloud sikkerhedsudfordringer og hvordan man bygger en strategi

Ifølge sikkerhedseksperter er der opstået en række bedste praksisser for sikkerhed med fremkomsten af ​​multicloud- miljøer , og der er nogle vigtige skridt, som alle organisationer bør tage, når de udvikler deres egen sikkerhed.

Et databrud eller indbrudsalarm vil få sikkerhedsteam til at være mere proaktive med at begrænse skaden og identificere årsagen.

Den opgave er altid udfordrende, selv når en rigtig it-person kører alle operationer på sin egen infrastruktur. Denne opgave bliver stadig mere kompleks, efterhånden som organisationer har flyttet flere af deres arbejdsbyrder til skyen og efterfølgende til flere cloud-udbydere.

2018 Cloud Operations Report fra RightScale, en cloud-tjenesteudbyder, fandt, at 77 % af teknologiprofessionelle (svarende til 997 respondenter) sagde, at cloud-sikkerhed er en udfordring, og 29 % af disse sagde, at det var en meget stor udfordring.

Sikkerhedseksperter siger, at de ikke er overraskede, især i betragtning af at 81 % af respondenterne i RightScales undersøgelse bruger en multicloud-strategi.

"Multicloud-miljøer vil gøre den måde, du implementerer og administrerer sikkerhedskontrol på, mere kompleks," sagde Ron Lefferts, administrerende direktør og teknologikonsulentleder hos ledelseskonsulentfirmaet. Protiviti-teori.

Han og andre sikkerhedsledere siger, at organisationer er aggressive med hensyn til at opretholde høj sikkerhed, efterhånden som de flytter flere arbejdsbyrder til skyen.

Top multicloud sikkerhedsudfordringer

• Multicloud sikkerhedsudfordring
• Byg en multicloud-strategi
• Sæt forventninger til leverandører
• Brug de nuværende nye teknologier

Multicloud sikkerhedsudfordring

Men de bør også erkende, at multicloud-miljøer kommer med yderligere udfordringer, der skal løses. Dette er en del af en omfattende sikkerhedsstrategi.

"I denne multicloud-verden er koordinering en forudsætning," siger Christos K. Dimitriadis, direktør og tidligere bestyrelsesformand for ISACA, en professionel sammenslutning med fokus på IT-styring, mellem teknologi og menneskelig intelligens. Hvis der nu opstår en hændelse, skal du sikre, at alle enheder er koordineret for at identificere overtrædelser, analysere dem og udvikle forbedringsplaner for mere effektiv kontrol."

Nedenfor er tre elementer, som eksperter siger, er komplekse sikkerhedsstrategier for multicloud-miljøer.

• Stigende kompleksitet : Koordinering af sikkerhedspolitikker, processer og svar fra flere cloud-udbydere og et meget udvidet netværk af forbindelsespunkter tilføjer kompleksitet.

"Du har datacenterudvidelser mange steder rundt om i verden," sagde Juan Perez-Etchegoyen, en forsker og medformand for ERP Security Working Group hos den nonprofit brancheorganisation Cloud Security Alliance (CSA). Og så skal du overholde reglerne i alle de lande eller regioner, hvor du placerer datacentret. Antallet af regler er stort og voksende. Disse regler fremmer de kontroller og mekanismer, som virksomheder skal implementere. Alt dette tilføjer kompleksitet til den måde, vi beskytter data på."

• Manglende synlighed : IT-organisationer kender ofte ikke alle de cloud-tjenester, der bruges af medarbejdere, som nemt kan ignorere forretnings-it-strategier og købe softwaretjenester under radaren, som en tjeneste eller andre cloud-baserede tjenester.

"Så vi forsøger at beskytte dataene, tjenesterne og selve virksomheden uden at skulle have en klar forståelse af, hvor dataene er," sagde Mr. Dimitriadis.

• Nye trusler : Ifølge Jeff Spivey, grundlægger og administrerende direktør for konsulentfirmaet Security Risk Management Inc., bør virksomhedssikkerhedsledere også indse, at det hurtigt udviklende multicloud-miljø kan give anledning til nye trusler.

"Vi skaber noget nyt, hvor vi ikke kender til alle sårbarhederne endnu. Men vi kan opdage disse sårbarheder, efterhånden som vi går fremad.", sagde han.

Byg en multicloud-strategi

Ifølge sikkerhedseksperter er der opstået en række best practices for sikkerhed med fremkomsten af ​​multicloud-miljøer, og der er nogle vigtige skridt, som alle organisationer bør tage, når de udvikler deres strategier.

Den første ting at gøre er at identificere alle de skyer, hvor data "residerer" og sikre, at organisationen har et stærkt datastyringsprogram - "et komplet billede af dataene og dets tjenester, samt it-aktiver relateret til alle typer information" ( ifølge hr. Dimitriadis).

Hr. Dimitriadis er også leder af informationssikkerhed, informationsoverholdelse og beskyttelse af intellektuel ejendom hos INTRALOT Group, spiloperatøren og løsningsudbyderen, anerkendte, at disse sikkerhedsforslag ikke kun omfattede multicloud-miljøer.

Han siger dog, at det bliver vigtigere end nogensinde at have disse grundlæggende foranstaltninger på plads, da data flyttes til skyen og spænder over flere forskellige cloud-platforme.

Statistik viser, hvorfor det er så vigtigt at have en stærk sikkerhedsbase. KPMG og Oracles 2018 Cloud Threats Report, som undersøgte 450 sikkerheds- og it-professionelle, rapporterede, at 90 % af virksomhederne klassificerer halvdelen af ​​deres data som cloud-baserede. De er følsomme.

Rapporten fandt også, at 82 % af de adspurgte er bekymrede over, at medarbejderne ikke følger cloud-sikkerhedspolitikker, og 38 % har problemer med at opdage og reagere på cloud-sikkerhedshændelser.

For at bekæmpe sådanne situationer bør virksomheder klassificere information for at skabe flere lag af sikkerhed, sagde Ramsés Gallego, leder hos ISACA og evangelist på CTO-kontoret hos Symantec. Dette fortæller os, at ikke alle data kræver det samme niveau af tillid og verifikation for at få adgang til eller låse.

Sikkerhedseksperter råder også virksomheder til at implementere andre fornuftige sikkerhedsforanstaltninger på tværs af de grundlæggende lag, der er nødvendige for at beskytte multicloud-miljøer. Ud over dataklassificeringspolitikker anbefaler Gallego at bruge løsninger til kryptering, identitet og adgangsstyring (IAM), såsom to-faktor-godkendelse .

Virksomheder skal standardisere politikker og strukturer for at sikre ensartet anvendelse og automatisere så meget som muligt for at hjælpe med at begrænse afvigelser fra disse sikkerhedsstandarder.

“Hvad indsats en virksomhed lægger i vil afhænge af risikoen og følsomheden af ​​dataene. Så hvis du bruger skyen til at gemme eller behandle ikke-fortrolige data, behøver du ikke den samme sikkerhedstilgang som for en sky, der indeholder vigtige oplysninger,” sagde Mr. Gadia.

Han bemærkede også, at standardisering og automatisering er meget effektive. Disse foranstaltninger reducerer ikke kun de samlede omkostninger, men gør det også muligt for sikkerhedsledere at rette flere ressourcer til opgaver af højere værdi.

Ifølge eksperter bør sådanne grundlæggende elementer indgå i en større, mere sammenhængende strategi. Bemærk, at virksomheder vil klare sig godt, når de vedtager en ramme til at håndtere sikkerhedsrelaterede opgaver. Fælles rammer omfatter National Institute of Standards and Technologys NIST; ISACA kontrolmål for informationsteknologi (COBIT); ISO 27000-serien; og Cloud Security Alliance Cloud Control Matrix (CCM).

Sæt forventninger til leverandører

Ifølge Mr. Dimitriadis vejleder den valgte ramme ikke kun virksomheder, men også leverandører.

"Det, vi skal gøre, er at kombinere disse rammer med cloud-tjenesteudbydere. Du vil så være i stand til at opbygge kontroller omkring de data og tjenester, du forsøger at beskytte,” uddybede han.

Sikkerhedseksperter siger, at forhandlinger med cloud-udbydere og efterfølgende serviceaftaler vil omhandle dataisolering og hvordan de opbevares. De vil samarbejde og koordinere med andre cloud-udbydere og derefter levere tjenester til virksomheder.

Det er vigtigt at have en klar forståelse af, hvilke tjenester du får fra hver udbyder, og om de har kapaciteten til at administrere og drive denne tjeneste.

"Vær specifik om, hvad du forventer, og hvordan du kommer dertil," tilføjer Mr. Spivey. "Der skal være en klar forståelse af, hvilke tjenester du får fra hver udbyder, og om de har kapaciteten til at administrere og drive den."

Men ifølge Mr. Gallego, overlad ikke sikkerhedsproblemer til cloud computing -tjenesteudbydere .

Cloud-tjenesteudbydere sælger ofte deres tjenester ved at understrege, hvad de kan gøre på vegne af virksomhedskunder, og inkluderer ofte sikkerhedstjenester. Men det er ikke nok. Husk, at disse virksomheder er i cloud computing-servicebranchen, ikke specialiseret i sikkerhedsområdet.

Derfor argumenterer han for, at virksomhedssikkerhedsledere skal bygge deres sikkerhedsplaner på et detaljeret niveau, såsom hvem der har adgang til hvad, hvornår og hvordan. Giv det derefter til hver cloud-udbyder for at hjælpe med at udføre disse planer.

Han tilføjede også: "Skytjenesteudbydere skal vinde kundernes tillid."

Brug de nuværende nye teknologier

Politikker, styring og endda sunde fornuftssikkerhedsforanstaltninger som to-faktor-autentificering er nødvendige, men ikke nok til at håndtere den kompleksitet, der opstår, når arbejdsbelastninger distribueres på flere skyer.

Virksomheder skal anvende nye teknologier designet til at sætte virksomhedens sikkerhedsteams i stand til bedre at administrere og udføre deres multicloud-sikkerhedsstrategier.

Gallego og andre forskere peger på løsninger såsom Cloud Access Security Brokers (CASB), et softwareværktøj eller en service, der sidder mellem en organisations lokale infrastruktur og cloududbyderens infrastruktur. cloud for at konsolidere og håndhæve sikkerhedsforanstaltninger såsom autentificering, kortlægning af legitimationsoplysninger, opbevaring af enhedsoplysninger, kryptering og opdagelse af malware .

Værktøjet lister også kunstig intelligens-teknologier og analyserer derefter netværkstrafik for præcist at detektere unormale fænomener, der kræver menneskelig opmærksomhed, og derved begrænse antallet af hændelser, der skal verificeres eller erstattes. og derefter omdirigere disse ressourcer til hændelser, der har potentiale til at få alvorlige konsekvenser .

Og eksperter nævner den fortsatte brug af automatisering som en nøgleteknologi til at optimere sikkerheden i et multicloud-miljø. Som hr. Spivey også bemærkede: "Succesfulde organisationer er dem, der automatiserer mange dele og fokuserer på styring og ledelse."

Derudover siger Spivey og andre forskere, at selvom de nøjagtige teknologier, der bruges til at sikre data gennem mange cloud-tjenester, såsom CASB, kan være unikke for miljøet, multicloud. Eksperter understreger, at det overordnede sikkerhedsprincip følger målet om en langsigtet tilgang af både mennesker og teknologi for at bygge den bedste strategi.

"Vi taler om forskellige teknologier og scenarier, mere fokuseret på data, men det er de samme koncepter, som du skal implementere," sagde Perez-Etchegoyen, også CTO for Onapsis. "Den tekniske tilgang vil være forskellig for hvert multicloud-miljø, men den overordnede strategi vil være den samme."

Se mere:

• Cloud computing og 10 ofte stillede sikkerhedsspørgsmål
• Sådan integrerer du cloud storage med arbejde
• Udfordringer ved cloud computing