Чітка стратегія, глибоке розуміння спільних обов'язків та контрактних гарантій є ключовими, оскільки організації здійснюють або розширюють свої хмарні подорожі, лідери кібербезпеки консультували на конференції Atxenterprise в Сінгапурі цього тижня.
Під час дискусії на панелі, модованому Анілом Кумар Аппайанном, головним директором з питань інформаційної безпеки міжнародного страхування Індії, експерти з Huawei та Агентство кібербезпеки Сінгапуру (CSA) заглибилися в стратегічні та технічні перешкоди переїзду та роботи в хмарних середовищах.
Appayanna поставила підґрунтя, зазначивши, що “всі або перемістилися, або перебувають у процесі переїзду, до хмарності”, додавши, що організації тепер повинні зосередитись на цьому безпечним.
На початку, підприємствам потрібно буде визначити свої цілі, за словами Денніса Чана, головного директора з безпеки Huawei International. “Я завжди прошу наших кінцевих споживачів уточнити свої ключові цілі для переведення своїх бізнес-процесів у хмару”,-сказав він, зазначивши, що власники бізнесу часто не мають чіткого бачення і можуть бути переповнені маркетингом від постачальників хмар.
Чан також наголосив на важливості класифікації даних для визначення відповідної хмарної моделі для прийняття. “Які дані беруть участь? Нам потрібна належна класифікація даних, щоб ми могли порекомендувати, якщо вони повинні залишатися в локальній службі, використовувати приватну хмару або мати гнучкість використовувати будь-якого з публічних хмарних постачальників”.
Дональд Онг, старший помічник директора в офісі програми Cloud Cyber Security в CSA, запропонував національну перспективу. “Наш ключовий мандат полягає в тому, щоб забезпечити, щоб усі цифрові послуги в Сінгапурі, якщо вони переїхали до хмари, могли залишатися стійкими”, – сказав він.
ONG також відзначив ризик концентрації, пов’язаний з загальнодоступним хмарним ринком, де переважають основні постачальники. “Що робити, якщо послуги знизяться? Скільки цього вплине на Сінгапур? Це завжди хвилювалося”.
Обговорюючи технічні виклики, Чан підняв проблему тіні, де використання несанкціонованого програмного забезпечення та віртуальних машин може призвести до порушення даних. Він також підкреслив важливість договірних угод, щоб організації могли співпрацювати з постачальниками за умовами своїх договорів щодо розслідування порушень даних.
ONG також детально розповідав про загальні підводні камені з міграції хмар, особливо з міграцією підйому та зміни, де розробники можуть попросити привілеї адміністратора для полегшення цього кроку, обхід ідентичності та управління доступом. Якщо такі домовленості з часом стануть постійними, то організації можуть піддатися ризикам безпеки, сказав він.
Він також попередив про небезпеку ключів доступу, коли привілеї адміністратора ненавмисно викривають розробники на Github після розгортання хмарних додатків. Якщо ці ключі знаходяться у відкритому сховищі, суб'єкти загрози можуть використовувати їх для компромісів організації, сказав Онг. “Вам навіть не потрібно отримати доступ до демілітаризованої зони або знаходити певну вразливість, щоб зламати її”.
Що стосується управління даними в багатопалудному середовищі, Чан закликав організації зрозуміти, як їх дані протікають у різних юрисдикціях. Він також вказав на договірні пункти, такі як ті, на які посилаються на транскордонні правила конфіденційного управління конфіденційності Медіа, як інструменти для захисту даних.
ONG підкреслив важливість розуміння моделі спільної відповідальності, зазначивши, що шифрування та захист даних є відповідальністю як кінцевих користувачів, так і постачальників хмарних послуг. Він додав, що CSA розробляє набір компетенцій хмарної безпеки для операторів критичної інфраструктури, яка буде випущена пізніше цього року.
Звертаючись до питання про те, чи повинні організації повернутися на локальні платформи, Чан визнав, що деякі організації почали це робити з витрат та проблем безпеки. Але незалежно від того, де проживають робочі навантаження, організаціям все одно знадобиться ігрова книга безпеки, в якій детально описують процеси реагування на інциденти для пом'якшення впливу порушень безпеки, додав він.
Крім того, організаціям знадобиться надійні стратегії резервного копіювання. “Вам все одно знадобиться резервні копії, щоб захистити свої коштовні коштовності”, – сказав Чан. “Також переконайтеся, що ваші резервні копії є чистими, і якщо ви потрапите на викуп, скануйте резервні копії, щоб переконатися, що зловмисного програмного забезпечення немає”.
Закінчуючи дискусію, Appayanna уподібнив пункти про вихід у договори хмарних послуг до попередньої угоди, аналогію, що підтримується: “Майте хороші пункти про вихід у контрактах з вашими постачальниками хмарних послуг, інакше вам буде важко переїхати”.