Top 3 multicloud öryggisáskoranir og hvernig á að byggja upp stefnu

Samkvæmt öryggissérfræðingum hafa ýmsar bestu starfsvenjur í öryggi komið fram með aukningu fjölskýjaumhverfis og það eru nokkur mikilvæg skref sem allar stofnanir ættu að taka þegar þær þróa aðferðir sínar.

Gagnabrot eða viðvörun um boðflenna mun valda því að öryggisteymi verða virkari við að hemja tjónið og finna orsökina.

Það verkefni er alltaf krefjandi jafnvel þegar raunverulegur upplýsingatæknimaður rekur alla starfsemi á eigin innviðum. Þetta verkefni verður sífellt flóknara þar sem stofnanir hafa fært meira af vinnuálagi sínu yfir í skýið og í kjölfarið til margra skýjaveitna.

Skýrsluskýrslan 2018 frá RightScale, skýjaþjónustuveitanda, komst að því að 77% tæknisérfræðinga (sem jafngildir 997 svarendum) sögðu að skýjaöryggi væri áskorun og 29% þeirra sögðu að þetta væri mjög stór áskorun.

Öryggissérfræðingar segja að þeir séu ekki hissa, sérstaklega í ljósi þess að 81% svarenda í könnun RightScale nota multicloud stefnu.

„Mjölhólfsumhverfi mun gera hvernig þú innleiðir og stjórnar öryggisstýringum flóknari,“ sagði Ron Lefferts, framkvæmdastjóri og leiðtogi tækniráðgjafar hjá rekstrarráðgjafafyrirtækinu. Protiviti kenningin.

Hann og aðrir öryggisleiðtogar segja að stofnanir séu árásargjarnar varðandi að viðhalda miklu öryggi þar sem þau færa meira vinnuálag yfir í skýið.

Helstu fjölský öryggisáskoranir

• Multicloud öryggisáskorun
• Búðu til multicloud stefnu
• Settu væntingar til birgja
• Notaðu núverandi nýja tækni

Multicloud öryggisáskorun

En þeir ættu líka að viðurkenna að fjölskýjaumhverfi fylgja fleiri áskoranir sem þarf að takast á við. Þetta er hluti af alhliða öryggisstefnu.

„Í þessum fjölskýjaheimi er samhæfing forsenda,“ segir Christos K. Dimitriadis, forstjóri og fyrrverandi stjórnarformaður ISACA, fagfélags sem einbeitir sér að stjórnun upplýsingatækni milli tækni og mannlegrar upplýsingaöflunar. Nú ef atvik á sér stað þarftu að tryggja að allar einingar séu samræmdar til að bera kennsl á brot, greina þau og þróa umbótaáætlanir fyrir skilvirkara eftirlit.“

Hér að neðan eru þrír þættir sem sérfræðingar segja að séu flóknar öryggisaðferðir fyrir fjölskýjaumhverfi.

• Vaxandi flókið : Samræming öryggisstefnu, ferla og viðbragða frá mörgum skýjaveitum og mikið stækkað net tengipunkta eykur flókið.

„Þú ert með viðbyggingar gagnavera á mörgum stöðum um allan heim,“ sagði Juan Perez-Etchegoyen, rannsakandi og meðformaður ERP Security Working Group hjá sjálfseignarstofnuninni Cloud Security Alliance (CSA). Og þá verður þú að fara að reglum allra landa eða svæða þar sem þú ert að staðsetja gagnaverið. Fjöldi reglugerða er mikill og fer vaxandi. Þessar reglugerðir eru að stuðla að eftirliti og aðferðum sem fyrirtæki þurfa að innleiða. Allt þetta eykur flókið hvernig við verndum gögn.“

• Skortur á sýnileika : Upplýsingatæknifyrirtæki þekkja oft ekki alla skýjaþjónustuna sem starfsmenn nota, sem geta auðveldlega hunsað upplýsingatæknistefnu fyrirtækisins og keypt hugbúnaðarþjónustu undir ratsjánni, sem þjónustu eða aðra skýjaþjónustu.

„Þannig að við erum að reyna að vernda gögnin, þjónustuna og fyrirtækið sjálft án þess að þurfa að hafa skýran skilning á því hvar gögnin eru,“ sagði herra Dimitriadis.

• Nýjar ógnir : Samkvæmt Jeff Spivey, stofnanda og forstjóra ráðgjafafyrirtækisins Security Risk Management Inc, ættu öryggisleiðtogar fyrirtækja einnig að gera sér grein fyrir því að umhverfið sem er í örri þróun, multicloud, getur valdið nýjum ógnum.

„Við erum að búa til eitthvað nýtt þar sem við vitum ekki um alla veikleikana ennþá. En við getum uppgötvað þá veikleika þegar við höldum áfram.“ sagði hann.

Búðu til multicloud stefnu

Samkvæmt öryggissérfræðingum hafa ýmsar bestu starfsvenjur í öryggi komið fram með uppgangi fjölskýjaumhverfis og það eru nokkur mikilvæg skref sem allar stofnanir ættu að taka þegar þær þróa aðferðir sínar.

Það fyrsta sem þarf að gera er að bera kennsl á öll skýin þar sem gögn „búa til“ og tryggja að stofnunin hafi öflugt gagnastjórnunarkerfi – „heildarmynd af gögnunum og þjónustu þeirra, svo og upplýsingatæknieignum sem tengjast alls kyns upplýsingum“ ( samkvæmt herra Dimitriadis).

Herra Dimitriadis er einnig yfirmaður upplýsingaöryggis, upplýsingafylgni og hugverkaverndar hjá INTRALOT Group, leikjafyrirtækinu og lausnafyrirtækinu, viðurkenndi að þessar öryggistillögur gerðu ekki aðeins ráð fyrir fjölskýjaumhverfi.

Hins vegar segir hann að það sé að verða mikilvægara en nokkru sinni fyrr að hafa þessar grunnráðstafanir til staðar þar sem gögn færast yfir í skýið og spanna marga skýjapalla.

Tölfræði sýnir hvers vegna það er svo mikilvægt að hafa sterkan öryggisgrundvöll. Skýrsla KPMG og Oracle 2018 Cloud Threats, sem kannaði 450 öryggis- og upplýsingatæknifræðinga, greindi frá því að 90% fyrirtækja flokka helming gagna sinna sem skýjabyggð. Þau eru viðkvæm.

Í skýrslunni kom einnig fram að 82% svarenda hafa áhyggjur af því að starfsmenn fylgi ekki öryggisreglum í skýi og 38% eiga í vandræðum með að greina og bregðast við öryggisatvikum í skýi.

Til að berjast gegn slíkum aðstæðum ættu fyrirtæki að flokka upplýsingar til að búa til mörg öryggislög, sagði Ramsés Gallego, leiðtogi hjá ISACA og boðberi á skrifstofu CTO hjá Symantec. Þetta segir okkur að ekki þurfa öll gögn sama trausts og staðfestingar til að fá aðgang eða læsa.

Öryggissérfræðingar ráðleggja fyrirtækjum einnig að innleiða aðrar skynsamlegar öryggisráðstafanir þvert á grunnlögin sem nauðsynleg eru til að vernda fjölskýjaumhverfi. Auk gagnaflokkunarstefnu mælir Gallego með því að nota dulkóðunar-, auðkennis- og aðgangsstjórnunarlausnir (IAM) eins og tveggja þátta auðkenningu .

Fyrirtæki þurfa að staðla stefnur og uppbyggingu til að tryggja samræmda beitingu og gera sjálfvirkan eins mikið og mögulegt er, til að hjálpa til við að takmarka frávik frá þessum öryggisstöðlum.

„Hvaða áreynsla fyrirtæki leggur á sig mun ráðast af áhættu og viðkvæmni gagnanna. Þannig að ef þú ert að nota skýið til að geyma eða vinna úr gögnum sem ekki eru trúnaðarmál, þá þarftu ekki sömu öryggisaðferð og fyrir ský sem geymir mikilvægar upplýsingar,“ sagði Gadia.

Hann benti einnig á að stöðlun og sjálfvirkni væri mjög áhrifarík. Þessar ráðstafanir draga ekki aðeins úr heildarkostnaði heldur gera öryggisleiðtogum einnig kleift að beina meira fjármagni í verðmætari verkefni.

Samkvæmt sérfræðingum ættu slíkir grunnþættir að vera hluti af stærri og heildstæðari stefnu. Athugaðu að fyrirtæki munu standa sig vel þegar þau taka upp ramma til að stjórna öryggistengdum verkefnum. Algengar rammar eru NIST National Institute of Standards and Technology; ISACA eftirlitsmarkmið fyrir upplýsingatækni (COBIT); ISO 27000 röð; og Cloud Security Alliance Cloud Control Matrix (CCM).

Settu væntingar til birgja

Að sögn herra Dimitriadis leiðbeinir valinn rammi ekki aðeins fyrirtæki heldur einnig birgja.

„Það sem við þurfum að gera er að sameina þessa ramma með skýjaþjónustuveitendum. Þú munt þá geta byggt upp stýringar í kringum gögnin og þjónustuna sem þú ert að reyna að vernda,“ sagði hann nánar.

Öryggissérfræðingar segja að samningaviðræður við skýjaveitur og síðari þjónustusamningar muni fjalla um einangrun gagna og hvernig þau eru geymd. Þeir munu vinna og samræma með öðrum skýjafyrirtækjum og veita síðan fyrirtækjum þjónustu.

Það er mikilvægt að hafa skýran skilning á því hvaða þjónustu þú færð frá hverjum veitanda og hvort þeir hafi getu til að stjórna og reka þá þjónustu.

„Vertu nákvæmur um hvað þú býst við og hvernig á að komast þangað,“ bætir Spivey við. "Það verður að vera skýr skilningur á því hvaða þjónustu þú færð frá hverjum veitanda og hvort þeir hafi getu til að stjórna og reka hana."

En samkvæmt herra Gallego, ekki láta skýjatölvuþjónustuveitendur öryggisvandamál eftir .

Skýjaþjónustuveitendur selja oft þjónustu sína með því að leggja áherslu á það sem þeir geta gert fyrir hönd fyrirtækja viðskiptavina og fela oft í sér öryggisþjónustu. En það er ekki nóg. Mundu að þessi fyrirtæki eru í skýjatölvuþjónustu, ekki sérhæfa sig á öryggissviðinu.

Þess vegna heldur hann því fram að öryggisleiðtogar fyrirtækja verði að byggja upp öryggisáætlanir sínar á nákvæmu stigi, svo sem hver hefur aðgang að hverju, hvenær og hvernig. Gefðu það síðan hverjum skýjaveitanda til að hjálpa til við að framkvæma þessar áætlanir.

Hann bætti einnig við: „Þjónustuveitendur skýja þurfa að vinna traust viðskiptavina.

Notaðu núverandi nýja tækni

Stefna, stjórnarhættir og jafnvel skynsamlegar öryggisráðstafanir eins og tvíþætt auðkenning eru nauðsynleg, en ekki nóg til að takast á við flókið sem kemur upp þegar vinnuálagi er dreift á mörg ský.

Fyrirtæki verða að taka upp nýja tækni sem er hönnuð til að gera öryggisteymum fyrirtækja kleift að stjórna og framkvæma fjölskýjaöryggisstefnu sína betur.

Gallego og aðrir vísindamenn benda á lausnir eins og Cloud Access Security Brokers (CASB), hugbúnaðarverkfæri eða þjónustu sem situr á milli innviða fyrirtækisins á staðnum og innviða skýjaveitunnar. ský til að treysta og framfylgja öryggisráðstöfunum eins og auðkenningu, kortlagning á skilríkjum, varðveislu upplýsinga um tæki, dulkóðun og uppgötvun spilliforrita .

Tólið skráir einnig gervigreindartækni og greinir síðan netumferð til að greina nákvæmlega afbrigðileg fyrirbæri sem krefjast mannlegrar athygli og takmarkar þannig fjölda atvika sem þarf að sannreyna eða skipta út. og beina síðan þeim úrræðum í atvik sem geta haft alvarlegar afleiðingar .

Og sérfræðingar nefna áframhaldandi notkun sjálfvirkni sem lykiltækni til að hámarka öryggi í fjölskýja umhverfi. Eins og herra Spivey sagði einnig: "Farsæl stofnanir eru þær sem gera marga hluta sjálfvirka og einbeita sér að stjórnun og stjórnun."

Að auki segja Spivey og aðrir vísindamenn að þó að nákvæm tækni sem notuð er til að tryggja gögn í gegnum margar skýjaþjónustur, eins og CASB, gæti verið einstök fyrir umhverfið, þá er multicloud. Sérfræðingar leggja áherslu á að heildaröryggisreglan fylgi markmiðinu um langtíma nálgun bæði fólks og tækni til að byggja upp bestu stefnuna.

„Við erum að tala um mismunandi tækni og aðstæður, með meiri áherslu á gögn, en það eru sömu hugtökin sem þú þarft að innleiða,“ sagði Perez-Etchegoyen, einnig tæknistjóri Onapsis. "Tæknileg nálgun verður mismunandi fyrir hvert fjölskýjaumhverfi, en heildarstefnan verður sú sama."

Sjá meira:

• Tölvuský og 10 algengar öryggisspurningar
• Hvernig á að samþætta skýgeymslu við vinnu
• Áskoranir tölvuskýja