Хмарна безпека – це визначальна проблема для організацій скрізь. Більше не просто технічна справа, це стало проблемою зал засідань, що впливає на виживання, стійкість та зростання.
У цьому відредагованому запитуванні та відповіді даних NTT Патрік ШраутСтарший віце -президент, кібербезпека та Ренджіт ФіліпGlobal Cloud Security, діліться своїм досвідом з перших рук з клієнтами в галузях. Вони обговорюють, чому неправильні конфігурації та прогалини видимості настільки небезпечні, що насправді означає нульовий довіра в гібридних умовах, як підготуватися до геополітичного ризику та чому хмарна безпека – це стільки ж сприяти інноваціям, скільки стосується захисту організації.
Що робить хмарну безпеку такою гарячою темою зараз?
Кожна організація зараз використовує хмару якимось чином, незалежно від того, чи усвідомлюють вони чи ні. Деякі повністю сприйняли загальнодоступні хмарні платформи, а інші споживають хмарні послуги опосередковано за допомогою сторонніх програм та пропозицій програмного забезпечення як послуги. Ця повсюдність робить хмару основною ціллю для зловмисників, які вважають її найбагатшою концентрацією даних та послуг.
Завдання полягає в тому, що, хоча методи нападу розвивалися, багато організацій все ще покладаються на традиційні, локальні процеси безпеки та технології. Це створює невідповідність між тим, як розгортаються послуги, і тим, як їх захищають. Результатом є середовище, яке є критично важливим для бізнесу, і сильно оголеним. Ось чому хмарна безпека піднялася на вершину порядку денного кожного CISO, де вона залишиться в осяжному майбутньому.
У моделі спільної відповідальності, хто в кінцевому рахунку володіє хмарною безпекою?
Іноді існує помилкове уявлення про те, що перехід до хмари означає, що постачальник приймає всі аспекти безпеки. Насправді модель ділиться. Хмарні постачальники забезпечують інфраструктуру – центри обробки даних, апаратне забезпечення та базова платформа – але організації залишаються відповідальними за те, як вони налаштовують та користуються послугами.
Ця відповідальність охоплює програми, особистість користувачів, дозволи на доступ та, що найголовніше, дані. Постачальник захищає основу, але замовник захищає те, як вони будують на ньому. Розуміння цього поділу відповідальності є основним. Організації, які нехтують своєю стороною цієї моделі, ризикують залишати критичні навантаження незахищеними, часто, не усвідомлюючи цього, поки не пізно.
Які найбільші больові моменти, з якими стикаються організації в хмарній безпеці?
Два виклики, які виникають найчастіше неправильні конфігурації і прогалини видимості.
Хмара робить його надзвичайно легко обернути нові ресурси (іноді за лічені секунди), обходячи повільні структуровані процеси, які були поширеними в традиційних ІТ. Ця швидкість дозволяє інновація, але також створює сліпі місця для команд безпеки. Якщо послуга створюється без знань групи безпеки, її не можна контролювати, загартовувати або виправити. Зловмисники агресивно експлуатують ці приховані послуги.
Паралельно неправильні конфігурації є єдиною найпоширенішою причиною порушень у хмарі. Щось таке просте, як залишити відро для зберігання публічного або неправильне налаштування списку контролю доступу, може призвести до масового впливу даних.
Що викликає хмарні помилки на практиці?
Простота використання – це як найбільша перевага хмари, так і її найбільшу слабкість. Розробник або інженер може забезпечити новий сервер або базу даних лише кількома кліками. Але якщо вони не навчаються безпеці, вони можуть ненавмисно створити ризиковані налаштування. Наприклад, вони можуть підключити як внутрішні, так і зовнішні інтерфейси на сервері, створюючи випадковий міст у чутливі системи.
У минулому розгортання послуги вимагало декількох команд – закупівель, системних адміністраторів та безпеки – для підписання на кожному етапі. Це забезпечило природні огородження. Сьогодні ці кроки можуть бути обхідними повністю, саме тому організації так часто бачать неправильні конфігурації. Рішення полягає в поєднанні тренувань, чіткій політиці та, перш за все, автоматизованими чеками, які ловлять помилки, перш ніж вони йдуть наживо.
Як команди можуть швидко відновити видимість у облікових записах та послугах?
Це де Управління позиціями безпеки (CSPM) Інструменти неоціненні. Замість того, щоб покладатися на ручні запаси активів, CSPM підключається безпосередньо до ваших хмарних облікових записів у таких постачальниках, як Amazon Web Services, Microsoft Azure та Google Cloud. Протягом декількох годин ви можете отримати повний, агентний огляд свого маєтку.
Цей огляд включає типи служб, що працюють, як вони спілкуються, які порти відкриті та там, де існують відомі вразливості. Деякі платформи CSPM також інтегрують настанови або автоматизацію з реконструкції, що допомагає вам швидше закрити прогалини. Для будь -якої команди безпеки, яка бореться з “Shadow It” у хмарі, CSPM забезпечує основу для видимості, яка їм потрібна.
Як виглядає нульова довіра безпеки в гібридній хмарній моделі?
Безпека нульової довіри стала однією з найбільш розмовних моделей безпеки, але це часто неправильно зрозуміло. Важливо, що це не товар, який ви можете придбати. Це рамка та філософія.
Традиційна безпека периметра була схожа на склепіння банку: як тільки ви потрапили всередину, ви часто мали безкоштовний доступ до всього. Нуль довіра перевертає це припущення. Замість того, щоб довіряти будь -кому всередині периметра, він вимагає постійної перевірки на кожному етапі – будь то запит користувача, пристрою, навантаження чи програми. У гібридних середовищах, що охоплюють локальні центри обробки даних та кілька публічних хмар, нульовий довіра забезпечує послідовний, керований принципом підхід, який потребує організації.
Чи можете ви дати просте пояснення нульової довіри?
По суті, нульова довіра може бути підсумована однією фразою: нічого не довіряйте і нікому, і все перевірити. Кожен користувач повинен бути аутентифікованим, і кожен пристрій повинен бути перевірити, кожне перевіряється з'єднання та кожен запит на доступ, затверджений за принципом найменшої привілеї.
Модель визнає, що порушення неминучі. Важливо те, що коли зловмисник закріплюється, вони не можуть вільно рухатися або посилити доступ. Zero Trust робить бічний рух набагато важче, обмежуючи загрози та захищаючи конфіденційні дані, навіть якщо один шар порушується.
Де організації повинні почати швидко зменшувати хмарний ризик?
Найшвидша перемога – це видимість. Ви не можете захистити те, що не можете бачити. Картографування всіх активів та послуг у вашому середовищі – це перший крок. Після того, як у вас це, наступним пріоритетом є автоматизація. Ручні перевірки та відповіді занадто повільні для швидкості хмари.
Автоматизоване застосування політики та відновлення скорочують час між виявленням проблеми та виправленням її. Наприклад, автоматизоване правило може закрити громадський порт або карантин неправильно налаштований ресурс, не чекаючи втручання людини. Ця комбінація – видимість плюс автоматизація – забезпечує негайне зниження ризику та більшу стійкість.
Який найкращий спосіб підійти до автоматизації та безпечної хмарної пози?
Організації часто мігрують до хмари лише один раз, а потім живуть з цим дизайном роками. Їх початковий вибір встановлює тон для довгострокової безпеки. Спроба побудувати все внутрішнє може бути ризикованим, якщо команді не вистачає досвіду.
Кращим підходом є поєднання внутрішньої експертизи із зовнішніми фахівцями, які робили це багато разів раніше. Наприклад, керовані постачальники послуг безпеки можуть допомогти налаштувати огородження, застосовувати найкращі практики та постійно контролювати. Метою повинно бути скорочення середнього часу для виявлення загроз та середнього часу для відновлення послуг після інциденту. Автоматизація прискорює обидва, так що безпека йшло в ногу у вашому бізнесі.
Як організації можуть підготуватися до перебоїв у хмарі, спричинених геополітичними подіями?
Це одне з найскладніших питань, які сьогодні ставлять наші клієнти. Якщо стурбованість була несправністю апаратного або програмного забезпечення, відповідь була б простою: використовуйте декілька хмарних постачальників. Але геополітичний ризик часто впливає на всі основні гіперсальці в регіоні, що робить постачальників перемикання менш ефективними.
Прагматична реакція полягає у тракті геополітики як до ризику управління. Це означає підтримувати плани на випадок надзвичайних ситуацій, уважно контролювати геополітичні розробки та розглядати, чи слід критичне навантаження на місцях або відображати до менших місцевих постачальників-навіть якщо ці провайдери не можуть відповідати функціональності гіперкалерів. Йдеться про стійкість та толерантність до ризику, а не про ідеальні рішення.
Що означає цифровий суверенітет на практиці?
Багато організацій припускають, що як тільки дані в хмарі, вони автоматично захищені та резервні копії. Однак більшість служб не включають резервні копії за замовчуванням. Забезпечення наявності даних залишається відповідальністю клієнта.
Цифровий суверенітет Також передбачає юридичні та регуляторні міркування. Дані можуть зберігатися за межами вашої юрисдикції, викликаючи зобов’язання щодо дотримання. Щоб вирішити це, організації повинні шифрувати конфіденційні дані та використовувати Принесіть власний ключ (BYOK) Моделі, тому вони – не хмарний постачальник – контрольний доступ. У сукупності резервне копіювання та шифрування BYOK гарантують, що ви залишаєтесь справжнім власником своїх даних.
Як команди повинні розробити портативність та гнучкість?
Однією з найбільших переваг хмари є його гнучкість, але це правда, лише якщо ви розробляєте портативність. Якщо навантаження створені для роботи лише на послугах одного постачальника, ви втрачаєте можливість адаптуватися.
Дизайнерські програми, щоб їх можна було перерозподілити в інших місцях-будь то до іншого хмарного постачальника чи повернення в локалах-без оптової реінжинірингу. Відкриті стандарти, контейнерність та модульні архітектури підтримують цю мету. Порветність зберігає ваші варіанти відкритими в умовах змінних витрат, ризиків або вимог щодо дотримання.
Як ми можемо спростити та консолідувати хмарний стек безпеки?
Хмарний інструмент безпеки розповсюдився. Зараз багато організацій працюють з декількома платформами, що перекриваються: CSPM для видимості, Платформи захисту від хмарних програм (CNAPP) для інтегрованої оборони та Управління хмарною інфраструктурою (CIEM) для ідентичності та найменшого привілею. Розповсюдження інструментів створює складність та прогалини.
Деякі постачальники пропонують інтегровані апартаменти, а інші-найкращі в одній області. Найкраща стратегія – консолідація, де це можливо, вирівнюйте інструменти з фактичними ризиками та використання керованих партнерів для висвітлення прогалин. Спрощення зменшує як вартість, так і оперативне тертя, що полегшує діяльності команд безпеки.
Які найбільші міфи чи помилки, які ви бачите в хмарній безпеці?
Два міфи виділяються знову і знову: по-перше, що хмара захищена за замовчуванням, а по-друге, що локальні середовища по суті є більш безпечними. Обидва вводять в оману. Безпека не є властивістю місця розташування – це залежить від того, як налаштовані та експлуатуються системи.
Неправильні конфігурації залишаються єдиною найпоширенішою помилкою. Вони також найпростіші, щоб точно не помітити, саме тому, що вони є простими людськими помилками. Але їх вплив може бути катастрофічним, викривши конфіденційні дані або відкрити двері зловмисникам. Виправлення цього міфу – одне з найважливіших завдань поінформованості для лідерів безпеки.
Чому хмарна безпека має значення для бізнесу – і для інновацій?
Хмарна безпека – це вже не лише позначення коробки відповідності. Сьогодні все працює в хмарі: системи, дані, навіть навантаження AI. Основне порушення може прийняти бізнес в режимі офлайн або зірвати довіру клієнтів поза ремонтом. У цьому сенсі безпека – це виживання.
Але безпека – це також сприяння. Сильний контроль дозволяє організаціям швидше випускати нові програми, надійно приймати нові технології та надійно виходити на ринки. Захист безпеки доходів та репутації, розблокуючи спритність, яку хмара призначена для доставки. Це не гальмо на прогрес; Швидше, саме ремінь безпеки робить прогрес у безпеці.
Увімкніть свій бізнес із безпечним фундаментом
Хмарна безпека не є необов’язковою – вона закладає основу для стійкості та зростання. Вам потрібна видимість, автоматизація та нульовий розум довіри, щоб випереджати зловмисників, готуючись до ризиків, що варіюються від неправильних конфігурацій до геополітики та прийняття цифрового суверенітету, щоб зберегти контроль над своїми даними.
Найголовніше, що ви повинні визнати безпеку як імперативу виживання, так і сприяючи бізнесу. Це те, що на практиці означає безпечне забезпечення бізнесу: захист вашого підприємства, одночасно надаючи йому можливості його інновацій.