3 populārākie multimākoņu drošības izaicinājumi un stratēģijas izveide

Pēc drošības ekspertu domām, līdz ar multimākoņu vides pieaugumu ir parādījušies vairāki drošības paraugprakses piemēri , un ir daži svarīgi soļi, kas būtu jāveic visām organizācijām, izstrādājot savas stratēģijas. pašu drošība.

Datu pārkāpuma vai brīdinājuma par ielaušanos gadījumā drošības komandas būs aktīvākas, lai ierobežotu bojājumus un noteiktu cēloni.

Šis uzdevums vienmēr ir sarežģīts pat tad, ja īsts IT cilvēks veic visas darbības savā infrastruktūrā. Šis uzdevums kļūst arvien sarežģītāks, jo organizācijas ir pārcēlušas vairāk darba slodzes uz mākoni un pēc tam uz vairākiem mākoņa pakalpojumu sniedzējiem.

Mākoņpakalpojumu sniedzēja RightScale 2018. gada mākoņa operāciju ziņojumā tika atklāts, ka 77% tehnoloģiju profesionāļu (atbilst 997 respondentiem) teica, ka mākoņa drošība ir izaicinājums, un 29% no viņiem teica, ka tas ir ļoti liels izaicinājums.

Drošības eksperti saka, ka viņi nav pārsteigti, jo īpaši ņemot vērā to, ka 81% respondentu RightScale aptaujā izmanto vairāku mākoņu stratēģiju.

"Multicloud vide padarīs drošības kontroles ieviešanu un pārvaldību sarežģītāku," sacīja Rons Leferts, vadības konsultāciju uzņēmuma rīkotājdirektors un tehnoloģiju konsultāciju vadītājs. Protiviti teorija.

Viņš un citi drošības vadītāji saka, ka organizācijas ir agresīvas attiecībā uz augstas drošības uzturēšanu, jo vairāk darba slodzes tiek pārvietotas uz mākoni.

Galvenās multimākoņu drošības problēmas

• Multicloud drošības izaicinājums
• Izveidojiet vairāku mākoņu stratēģiju
• Uzstādiet cerības piegādātājiem
• Izmantojiet pašreizējās jaunās tehnoloģijas

Multicloud drošības izaicinājums

Taču viņiem arī jāatzīst, ka daudzmākoņu vidēm ir papildu problēmas, kas jārisina. Tā ir daļa no visaptverošas drošības stratēģijas.

"Šajā daudzmākoņu pasaulē koordinācija ir priekšnoteikums," saka Christos K. Dimitriadis, ISACA direktors un bijušais valdes priekšsēdētājs. Profesionālā asociācija, kas koncentrējas uz IT pārvaldību starp tehnoloģiju un cilvēka inteliģenci. Tagad, ja notiek incidents, jums ir jānodrošina, lai visas vienības tiktu saskaņotas, lai identificētu pārkāpumus, analizētu tos un izstrādātu uzlabošanas plānus efektīvākai kontrolei.

Tālāk ir norādīti trīs elementi, kas, pēc ekspertu domām, ir sarežģītas drošības stratēģijas daudzmākoņu vidēm.

• Sarežģītības palielināšana : vairāku mākoņpakalpojumu sniedzēju drošības politiku, procesu un atbilžu koordinēšana un daudz paplašinātais savienojuma punktu tīkls padara sarežģītību.

“Jums ir datu centru paplašinājumi daudzās vietās visā pasaulē,” sacīja Huans Peress-Ečegojens, pētnieks un bezpeļņas tirdzniecības organizācijas Cloud Security Alliance (CSA) ERP drošības darba grupas līdzpriekšsēdētājs. dzimums. Un tad jums ir jāievēro visu to valstu vai reģionu noteikumi, kuros atrodat datu centru. Noteikumu skaits ir liels un pieaug. Šie noteikumi veicina kontroles un mehānismus, kas uzņēmumiem ir jāievieš. Tas viss padara datu aizsardzības veidu sarežģītāku.

• Redzamības trūkums : IT organizācijas bieži nezina visus mākoņpakalpojumus, ko izmanto darbinieki, kuri var viegli ignorēt biznesa IT stratēģijas un iegādāties programmatūras pakalpojumus zem radara kā pakalpojumu vai citus mākoņpakalpojumus.

"Tāpēc mēs cenšamies aizsargāt datus, pakalpojumus un pašu uzņēmumu bez skaidras izpratnes par datu atrašanās vietu," sacīja Dimitriadis kungs.

• Jauni draudi : pēc konsultāciju firmas Security Risk Management Inc dibinātāja un izpilddirektora Džefa Spivija teiktā, arī korporatīvās drošības vadītājiem būtu jāsaprot, ka strauji mainīgā vide multicloud var radīt jaunus draudus.

"Mēs radām kaut ko jaunu, kur mēs vēl nezinām par visām ievainojamībām. Taču mēs varam atklāt šīs ievainojamības, ejot uz priekšu." Viņš teica.

Izveidojiet vairāku mākoņu stratēģiju

Pēc drošības ekspertu domām, līdz ar multimākoņu vides pieaugumu ir radušās vairākas drošības labākās prakses, un ir daži svarīgi soļi, kas būtu jāveic visām organizācijām, izstrādājot savas stratēģijas. pašu drošība.

Pirmā lieta, kas jādara, ir identificēt visus mākoņus, kuros “atrodas” dati, un nodrošināt, lai organizācijai būtu spēcīga datu pārvaldības programma – “pilnīgs priekšstats par datiem un to pakalpojumiem, kā arī ar visa veida informāciju saistītiem IT līdzekļiem” ( saskaņā ar Dimitriadis kungu).

Dimitriadis kungs ir arī spēļu operatora un risinājumu nodrošinātāja INTRALOT Group informācijas drošības, informācijas atbilstības un intelektuālā īpašuma aizsardzības vadītājs, atzina, ka šie drošības priekšlikumi paredz ne tikai multimākoņu vidi.

Tomēr viņš saka, ka šo pamatpasākumu ieviešana kļūst svarīgāka nekā jebkad agrāk, jo dati tiek pārvietoti uz mākoni un aptver vairākas mākoņu platformas.

Statistika parāda, kāpēc spēcīga drošības bāze ir tik svarīga. KPMG un Oracle 2018. gada mākoņu draudu pārskatā, kurā aptaujāti 450 drošības un IT profesionāļi, tika ziņots, ka 90% uzņēmumu pusi no saviem datiem klasificē kā mākoņdatošanu. Tie ir sensitīvi.

Ziņojumā arī konstatēts, ka 82% respondentu ir nobažījušies par to, ka darbinieki neievēro mākoņa drošības politiku, un 38% ir problēmas atklāt mākoņa drošības incidentus un reaģēt uz tiem.

Lai cīnītos pret šādām situācijām, uzņēmumiem ir jāklasificē informācija, lai izveidotu vairākus drošības līmeņus, sacīja Ramsés Gallego, ISACA vadītājs un evaņģēlists Symantec CTO birojā. Tas norāda, ka ne visiem datiem ir nepieciešams vienāds uzticamības un verifikācijas līmenis, lai piekļūtu tiem vai tos bloķētu.

Drošības eksperti arī iesaka uzņēmumiem īstenot citus veselā saprāta drošības pasākumus visos pamatslāņos, kas nepieciešami, lai aizsargātu daudzmākoņu vidi. Papildus datu klasifikācijas politikām Gallego iesaka izmantot šifrēšanas, identitātes un piekļuves pārvaldības (IAM) risinājumus, piemēram, divu faktoru autentifikāciju .

Uzņēmumiem ir jāstandartizē politikas un struktūras, lai nodrošinātu konsekventu piemērošanu un pēc iespējas automatizētu, lai palīdzētu ierobežot novirzes no šiem drošības standartiem.

“Uzņēmuma piepūles līmenis būs atkarīgs no datu riska un jutīguma. Tātad, ja izmantojat mākoni, lai uzglabātu vai apstrādātu nekonfidenciālus datus, jums nav nepieciešama tāda pati drošības pieeja kā mākonī, kurā tiek glabāta svarīga informācija,” sacīja Gadia kungs.

Viņš arī atzīmēja, ka standartizācija un automatizācija ir ļoti efektīvas. Šie pasākumi ne tikai samazina kopējās izmaksas, bet arī ļauj drošības vadītājiem novirzīt vairāk resursu augstākas vērtības uzdevumiem.

Pēc ekspertu domām, šādiem pamatelementiem vajadzētu būt daļai no lielākas, saliedētākas stratēģijas. Ņemiet vērā, ka uzņēmumiem veiksies labi, pieņemot sistēmu, lai pārvaldītu ar drošību saistītus uzdevumus. Kopējās sistēmas ietver Nacionālā standartu un tehnoloģiju institūta NIST; ISACA kontroles mērķi informācijas tehnoloģijām (COBIT); ISO 27000 sērija; un Cloud Security Alliance Cloud Control Matrix (CCM).

Uzstādiet cerības piegādātājiem

Pēc Dimitriadis kunga teiktā, izvēlētais ietvars vada ne tikai uzņēmumus, bet arī piegādātājus.

“Mums ir jāapvieno šīs sistēmas ar mākoņpakalpojumu sniedzējiem. Pēc tam jūs varēsit izveidot kontroli ap datiem un pakalpojumiem, kurus mēģināt aizsargāt, ”viņš paskaidroja.

Drošības eksperti saka, ka sarunās ar mākoņpakalpojumu sniedzējiem un turpmākajiem pakalpojumu līgumiem tiks risināta datu izolācija un to glabāšana. Viņi sadarbosies un sadarbosies ar citiem mākoņpakalpojumu sniedzējiem, pēc tam sniegs pakalpojumus uzņēmumiem.

Ir svarīgi skaidri saprast, kādus pakalpojumus saņemat no katra pakalpojumu sniedzēja un vai tas spēj pārvaldīt un darbināt šo pakalpojumu.

"Esiet precīzs par to, ko jūs sagaidāt un kā tur nokļūt," piebilst Spivija kungs. "Ir jābūt skaidrai izpratnei par to, kādus pakalpojumus saņemat no katra pakalpojumu sniedzēja un vai viņi spēj tos pārvaldīt un vadīt."

Bet saskaņā ar Gallego kungu, neatstājiet drošības jautājumus mākoņdatošanas pakalpojumu sniedzēju ziņā .

Mākoņpakalpojumu sniedzēji bieži pārdod savus pakalpojumus, uzsverot, ko viņi var darīt uzņēmuma klientu labā, un bieži vien ietver drošības pakalpojumus. Taču ar to nepietiek. Atcerieties, ka šie uzņēmumi nodarbojas ar mākoņdatošanas pakalpojumu biznesu, nevis specializējas drošības jomā.

Tāpēc viņš apgalvo, ka uzņēmuma drošības vadītājiem ir jāizstrādā savi drošības plāni detalizētā līmenī, piemēram, kam, kad un kā ir piekļuve. Pēc tam nododiet to katram mākoņa pakalpojumu sniedzējam, lai tas palīdzētu izpildīt šos plānus.

Viņš arī piebilda: "Mākoņpakalpojumu sniedzējiem ir jāiegūst klientu uzticība."

Izmantojiet pašreizējās jaunās tehnoloģijas

Politikas, pārvaldība un pat veselā saprāta drošības pasākumi, piemēram, divu faktoru autentifikācija, ir nepieciešami, taču ar to nepietiek, lai risinātu sarežģījumus, kas rodas, sadalot darba slodzi vairākos mākoņos.

Uzņēmumiem ir jāpieņem jaunās tehnoloģijas, kas izstrādātas, lai uzņēmumu drošības komandas varētu labāk pārvaldīt un izpildīt savas vairāku mākoņu drošības stratēģijas.

Gallego kungs un citi pētnieki norāda uz tādiem risinājumiem kā Cloud Access Security Brokers (CASB), programmatūras rīks vai pakalpojums, kas atrodas starp organizācijas lokālo infrastruktūru un mākoņa pakalpojumu sniedzēja infrastruktūru. mākonis, lai konsolidētu un ieviestu drošības pasākumus, piemēram, autentifikāciju, akreditācijas datu kartēšana, ierīces informācijas saglabāšana, šifrēšana un ļaunprātīgas programmatūras noteikšana .

Rīks arī uzskaita mākslīgā intelekta tehnoloģijas un pēc tam analizē tīkla trafiku, lai precīzi noteiktu anomālas parādības, kurām nepieciešama cilvēka uzmanība, tādējādi ierobežojot to incidentu skaitu, kas ir jāpārbauda vai jāaizstāj. Pēc tam novirza šos resursus uz incidentiem, kuriem var būt nopietnas sekas. .

Un eksperti min nepārtrauktu automatizācijas izmantošanu kā galveno tehnoloģiju drošības optimizēšanai vairāku mākoņu vidē. Kā atzīmēja arī Spivey kungs: "Veiksmīgas organizācijas ir tās, kas automatizē daudzas daļas un koncentrējas uz pārvaldību un pārvaldību."

Turklāt Spivey un citi pētnieki apgalvo, ka, lai gan precīzās tehnoloģijas, kas tiek izmantotas datu aizsardzībai, izmantojot daudzus mākoņpakalpojumus, piemēram, CASB, var būt unikālas videi, multicloud. Speciālisti uzsver, ka kopējais drošības princips atbilst mērķim – gan cilvēku, gan tehnoloģiju ilgtermiņa pieeja, lai izveidotu labāko stratēģiju.

"Mēs runājam par dažādām tehnoloģijām un scenārijiem, vairāk koncentrējoties uz datiem, taču tie ir tie paši jēdzieni, kas jums ir jāievieš," sacīja Peress-Etčegojens, arī Onapsis. know CTO. "Tehniskā pieeja katrai multimākoņu videi būs atšķirīga, taču kopējā stratēģija būs vienāda."

Redzēt vairāk:

• Mākoņdatošana un 10 bieži uzdotie drošības jautājumi
• Kā integrēt mākoņkrātuvi ar darbu
• Mākoņdatošanas izaicinājumi