Topp 3 multicloud sikkerhetsutfordringer og hvordan bygge en strategi

Ifølge sikkerhetseksperter har en rekke beste praksiser for sikkerhet dukket opp med fremveksten av multicloud- miljøer , og det er noen viktige skritt som alle organisasjoner bør ta når de utvikler sine strategier.

Et datainnbrudd eller inntrengervarsel vil føre til at sikkerhetsteam blir mer proaktive når det gjelder å begrense skaden og identifisere årsaken.

Den oppgaven er alltid utfordrende selv når en ekte IT-person driver all drift på sin egen infrastruktur. Denne oppgaven blir stadig mer kompleks ettersom organisasjoner har flyttet flere av arbeidsbelastningene sine til skyen og deretter til flere skyleverandører.

2018 Cloud Operations Report fra RightScale, en skytjenesteleverandør, fant at 77 % av teknologifagfolk (tilsvarer 997 respondenter) sa at skysikkerhet er en utfordring, og 29 % av disse sa at det var en veldig stor utfordring.

Sikkerhetseksperter sier at de ikke er overrasket, spesielt gitt at 81 % av respondentene til RightScales undersøkelse bruker en multicloud-strategi.

"Multicloud-miljøer vil gjøre måten du implementerer og administrerer sikkerhetskontroller mer kompleks på," sa Ron Lefferts, administrerende direktør og leder for teknologikonsulent hos ledelseskonsulentfirmaet. Protiviti-teori.

Han og andre sikkerhetsledere sier at organisasjoner er aggressive når det gjelder å opprettholde høy sikkerhet ettersom de flytter flere arbeidsbelastninger til skyen.

Topp multicloud sikkerhetsutfordringer

• Multicloud sikkerhetsutfordring
• Bygg en multisky-strategi
• Sett forventninger til leverandører
• Bruk gjeldende nye teknologier

Multicloud sikkerhetsutfordring

Men de bør også erkjenne at multicloud-miljøer har flere utfordringer som må løses. Dette er en del av en omfattende sikkerhetsstrategi.

"I denne multicloud-verdenen er koordinering en forutsetning," sier Christos K. Dimitriadis, direktør og tidligere styreleder i ISACA, en profesjonell forening som fokuserer på IT-styring, mellom teknologi og menneskelig intelligens. Hvis en hendelse inntreffer, må du sørge for at alle enheter er koordinert for å identifisere brudd, analysere dem og utvikle forbedringsplaner for mer effektiv kontroll."

Nedenfor er tre elementer som eksperter sier er komplekse sikkerhetsstrategier for multicloud-miljøer.

• Økende kompleksitet : Koordinering av sikkerhetspolicyer, prosesser og svar fra flere skyleverandører og et mye utvidet nettverk av tilkoblingspunkter øker kompleksiteten.

"Du har datasenterutvidelser mange steder rundt om i verden," sa Juan Perez-Etchegoyen, en forsker og medformann for ERP Security Working Group ved den ideelle bransjeorganisasjonen Cloud Security Alliance (CSA). Og så må du overholde reglene i alle landene eller regionene der du finner datasenteret. Antall forskrifter er stort og økende. Disse forskriftene fremmer kontrollene og mekanismene som selskaper må implementere. Alt dette tilfører kompleksitet til måten vi beskytter data på.»

• Mangel på synlighet : IT-organisasjoner kjenner ofte ikke til alle skytjenestene som brukes av ansatte, som lett kan ignorere forretnings-IT-strategier og kjøpe programvaretjenester under radaren, som en tjeneste eller andre skybaserte tjenester.

"Så vi prøver å beskytte dataene, tjenestene og selve virksomheten uten å måtte ha en klar forståelse av hvor dataene er," sa Mr. Dimitriadis.

• Nye trusler : Ifølge Jeff Spivey, grunnlegger og administrerende direktør for konsulentfirmaet Security Risk Management Inc, bør sikkerhetsledere i bedrifter også innse at det raskt utviklende miljøet multicloud kan gi opphav til nye trusler.

"Vi skaper noe nytt der vi ikke vet om alle sårbarhetene ennå. Men vi kan oppdage disse sårbarhetene etter hvert som vi går fremover." , sa han.

Bygg en multisky-strategi

Ifølge sikkerhetseksperter har en rekke beste praksiser for sikkerhet dukket opp med fremveksten av multicloud-miljøer, og det er noen viktige skritt som alle organisasjoner bør ta når de utvikler sine strategier.

Den første tingen å gjøre er å identifisere alle skyene der data "ligger" og sikre at organisasjonen har et sterkt datastyringsprogram – "et fullstendig bilde av dataene og tjenestene deres, samt IT-ressurser knyttet til alle typer informasjon" ( ifølge Mr. Dimitriadis).

Mr. Dimitriadis er også leder for informasjonssikkerhet, informasjonsoverholdelse og beskyttelse av immaterielle rettigheter hos INTRALOT Group, spilloperatøren og løsningsleverandøren, erkjente at disse sikkerhetsforslagene ikke bare gjaldt multicloud-miljøer.

Han sier imidlertid at det å ha disse grunnleggende tiltakene på plass blir viktigere enn noen gang, ettersom data flyttes til skyen og spenner over flere skyplattformer.

Statistikk viser hvorfor det er så viktig å ha en sterk sikkerhetsbase. KPMG og Oracles 2018 Cloud Threats Report, som undersøkte 450 sikkerhets- og IT-fagfolk, rapporterte at 90 % av virksomhetene klassifiserer halvparten av dataene sine som skybaserte. De er sensitive.

Rapporten fant også at 82 % av respondentene er bekymret for at ansatte ikke følger retningslinjer for skysikkerhet, og 38 % har problemer med å oppdage og reagere på skysikkerhetshendelser.

For å bekjempe slike situasjoner bør bedrifter klassifisere informasjon for å skape flere lag med sikkerhet, sa Ramsés Gallego, en leder ved ISACA og evangelist ved CTO-kontoret hos Symantec. Dette forteller oss at ikke alle data krever samme grad av tillit og verifisering for å få tilgang til eller låse.

Sikkerhetseksperter råder også bedrifter til å implementere andre sunne sikkerhetstiltak på tvers av de grunnleggende lagene som er nødvendige for å beskytte multicloud-miljøer. I tillegg til retningslinjer for dataklassifisering, anbefaler Gallego å bruke løsninger for kryptering, identitet og tilgangsadministrasjon (IAM) som tofaktorautentisering .

Bedrifter må standardisere retningslinjer og strukturer for å sikre konsistent applikasjon og automatisere så mye som mulig, for å begrense avvik fra disse sikkerhetsstandardene.

"Hvad innsats et selskap legger ned vil avhenge av risikoen og sensitiviteten til dataene. Så hvis du bruker skyen til å lagre eller behandle ikke-konfidensielle data, trenger du ikke den samme sikkerhetstilnærmingen som for en sky som inneholder viktig informasjon, sa Gadia.

Han bemerket også at standardisering og automatisering er svært effektive. Disse tiltakene reduserer ikke bare de totale kostnadene, men gjør det også mulig for sikkerhetsledere å styre flere ressurser til oppgaver med høyere verdi.

Ifølge eksperter bør slike grunnleggende elementer være en del av en større, mer helhetlig strategi. Merk at bedrifter vil gjøre det bra når de tar i bruk et rammeverk for å administrere sikkerhetsrelaterte oppgaver. Felles rammeverk inkluderer National Institute of Standards and Technologys NIST; ISACAs kontrollmål for informasjonsteknologi (COBIT); ISO 27000-serien; og Cloud Security Alliance Cloud Control Matrix (CCM).

Sett forventninger til leverandører

Ifølge Mr. Dimitriadis veileder det valgte rammeverket ikke bare bedrifter, men også leverandører.

"Det vi trenger å gjøre er å kombinere disse rammene med leverandører av skytjenester. Du vil da kunne bygge kontroller rundt dataene og tjenestene du prøver å beskytte,” utdypet han.

Sikkerhetseksperter sier at forhandlinger med skyleverandører og påfølgende tjenesteavtaler vil ta for seg dataisolering og hvordan den lagres. De vil samarbeide og koordinere med andre skyleverandører, for deretter å levere tjenester til bedrifter.

Det er viktig å ha en klar forståelse av hvilke tjenester du får fra hver leverandør og om de har kapasitet til å administrere og drifte den tjenesten.

"Vær spesifikk om hva du forventer og hvordan du kommer dit," legger Mr. Spivey til. "Det må være en klar forståelse av hvilke tjenester du får fra hver leverandør og om de har kapasitet til å administrere og drifte den."

Men ifølge Mr. Gallego, ikke overlat sikkerhetsproblemer til leverandører av nettskydatatjenester .

Skytjenesteleverandører selger ofte tjenestene sine ved å legge vekt på hva de kan gjøre på vegne av bedriftskunder, og inkluderer ofte sikkerhetstjenester. Men det er ikke nok. Husk at disse selskapene driver med skytjenester, og ikke spesialiserer seg på sikkerhetsfeltet.

Derfor argumenterer han for at bedriftssikkerhetsledere må bygge sine sikkerhetsplaner på et granulert nivå, for eksempel hvem som har tilgang til hva, når og hvordan. Gi den deretter til hver skyleverandør for å hjelpe til med å utføre disse planene.

Han la også til: "Skytjenesteleverandører må vinne kundenes tillit."

Bruk gjeldende nye teknologier

Retningslinjer, styring og til og med sunne sikkerhetstiltak som tofaktorautentisering er nødvendige, men ikke nok til å håndtere kompleksiteten som oppstår når arbeidsbelastninger distribueres på flere skyer.

Bedrifter må ta i bruk nye teknologier designet for å gjøre det mulig for bedriftssikkerhetsteam å bedre administrere og utføre sine multicloud-sikkerhetsstrategier.

Mr. Gallego og andre forskere peker på løsninger som Cloud Access Security Brokers (CASB), et programvareverktøy eller en tjeneste som sitter mellom en organisasjons lokale infrastruktur og skyleverandørens infrastruktur. sky for å konsolidere og håndheve sikkerhetstiltak som autentisering, påloggingskartlegging, oppbevaring av enhetsinformasjon, kryptering og oppdagelse av skadelig programvare .

Verktøyet lister også kunstig intelligens-teknologier og analyserer deretter nettverkstrafikk for nøyaktig å oppdage unormale fenomener som krever menneskelig oppmerksomhet, og dermed begrense antallet hendelser som må verifiseres eller erstattes. og deretter omdirigere disse ressursene til hendelser som har potensial til å få alvorlige konsekvenser. .

Og eksperter nevner fortsatt bruk av automatisering som en nøkkelteknologi for å optimalisere sikkerheten i et multiskymiljø. Som Mr. Spivey også bemerket: "Vellykkede organisasjoner er de som automatiserer mange deler og fokuserer på styring og ledelse."

I tillegg sier Spivey og andre forskere at selv om de nøyaktige teknologiene som brukes til å sikre data gjennom mange skytjenester, for eksempel CASB, kan være unike for miljøet, multicloud. Eksperter understreker at det overordnede sikkerhetsprinsippet følger målet om en langsiktig tilnærming av både mennesker og teknologi for å bygge den beste strategien.

"Vi snakker om forskjellige teknologier og scenarier, mer fokusert på data, men det er de samme konseptene du må implementere," sa Perez-Etchegoyen, også CTO i Onapsis. "Den tekniske tilnærmingen vil være forskjellig for hvert multicloud-miljø, men den overordnede strategien vil være den samme."

Se mer:

• Cloud computing og 10 ofte stilte sikkerhetsspørsmål
• Hvordan integrere skylagring med jobb
• Utfordringer med cloud computing