IaaS- ja Cloud Native -rikkomukset: Miksi yritykset ovat vaarassa

Lopeta hybridipilvoturvariskien huomioiminen Karen Roby keskustelee tietoturva-asiantuntijan kanssa yrityksen suojelemisesta hybridi-IT-maailmassa.

Pakko lukea pilvi

  • Pilvilaskenta vuonna 2020: Ennusteet turvallisuudesta, AI, Kubernetes ja muut
  • Vuosikymmenen tärkeimmät pilven edistykset
  • Paras työpöytä palveluna (DaaS) tarjoajina: Amazon, Citrix, Microsoft, VMware ja muut
  • Cloud computing -käytäntö (TechRepublic Premium)

Infrastruktuuri palveluna (IaaS) on suuri riski pilvi-alkuperäisrikkomuksille, sillä 99 prosenttia väärän kokoonpanon tapahtumista julkisessa pilviympäristössä jää huomaamatta, sanotaan tänään julkistetussa McAfee-raportissa.

IaaS on pilven nopeimmin kasvava alue uutena oletus-IT-ympäristönä sisäisissä ja ulkoisissa sovelluksissa. Mutta kiireessä ottaa käyttöön IaaS, monet yritykset ovat jättäneet huomiotta tietoturvan tarpeen, olettaen, että pilvipalveluntarjoaja käsittelee sitä.

Seurauksena on ollut lukuisia pilvi-alkuperäisrikkomuksia (CNB), jotka ovat opportunistisia hyökkäyksiä tietoihin, jotka on jätetty avoimeksi pilviympäristön määritysvirheiden tai väärien määritysten vuoksi.

Suosituimmat IaaS-palveluntarjoajat ovat suuryrityksiä, kuten Amazon, Microsoft, Alibaba, Google ja IBM. Sen sijaan kiire ottaa käyttöön tämä kasvava tekniikka jättää turvallisuuden jälkikäteen. 99% pilvien vääristä kokoonpanoista jää yritysten huomaamatta.

Pilvipalvelujen tarjoajat 2019: Ostajan opas (ilmainen PDF) (TechRepublic)

IaaS on pilvipalvelumalli, jota yritykset voivat vuokrata tallennuksen, verkottumisen ja fyysisten tai virtuaalisten palvelimien muodossa, kuten ZDNet-julkaisussa Mikä on pilvilaskenta? Kaikki mitä sinun tarvitsee tietää pilvestä, selitettiin. Nämä järjestelmät ovat arvokkaita yrityksille, jotka haluavat kehittää sovelluksia itse ja hallita kaikkia tietojaan.

Tiistaina julkaistussa raportissa tutkittiin 1 000 yritysjärjestöä ympäri maailmaa selvittämään suurimpia IaaS-tietoturvaongelmia. Pilvikonfiguraatiot hallitsivat uhkamaisemaa, jättäen miljoonat kuluttajarekisterit ja immateriaalioikeudet alttiiksi varkaudelle.

"Pilvien väärät määritykset ovat yksi ennaltaehkäisevistä, mutta silti yleisimmistä turvallisuuskysymyksistä, joita pilviasiakkaat kohtaavat", sanoi McKafeen pilviturvallisuuden suunnittelupäällikkö Sekhar Sarukkai. "Pilvimääritykset viittaavat virheeseen pilvipalvelun konfiguroinnissa, joka tuo riskin organisaatioon ja niiden tietoihin. Pilvipalveluinfrastruktuuri, tai IaaS, on konfiguroitavin, mikä tuo suuremman väärän konfiguroinnin riskin kuin SaaS."

Vain 1% IaaS: n vääristä kokoonpanoista tunnetaan, raportti löytyi. Vaikka yritykset luulevat keskimäärin 37 väärien määritysten tekevän kuukaudessa, he kokevat todella 3 500. Jopa kysymysten julkistamisen jälkeen noin 27% on edelleen ratkaisematta, ja neljäsosa vastaajista ilmoitti, että kysymysten korjaaminen vie enemmän kuin yhden päivän.

Pilvimaiset rikkomukset eivät ole pinta-alaisia ​​kuin normaali haittaohjelmapohjainen hyökkäys, Sarukkai sanoi. Pikemminkin raportissa yksilöitiin pilviperäinen rikkomus "kilpailevan toimijan toimintasarjaksi, jossa he" laskeutuvat "hyökkäykseen hyödyntämällä pilvien käyttöönoton virheitä tai haavoittuvuuksia käyttämättä haittaohjelmia." Laajenna "pääsyään heikosti määritettyjen tai suojatut rajapinnat arvokkaan tiedon löytämiseksi ja 'suodata' kyseiset tiedot omaan tallennuspaikkaansa. "

Kuva: McAfee

Miksi yritykset eivät käsittele näitä rikkomuksia?

Raportti totesi, että yrityksessä on suuri viestintäaukko, joka johtaa näihin toistuviin rikkomuksiin. Vaikka 90% yrityksistä ilmoitti kokeneensa joitain tietoturvaongelmia IaaS: n kanssa, noin 12% IT-päätöksentekijöistä - IaaS-ympäristölle lähimmistä - uskoivat, että he eivät olisi koskaan kokeneet ongelmaa, ja 6% CXO: sta väitti, ettei heillä ole mitään ongelmaa. .

"Harjoittajien ja johtajien irtaantuminen johtaa harjoittajien väärään turvatunteeseen", Sarukkai sanoi. "Tämä katkaisu johtaa siihen, että ylimmästä johdosta tulee itsetyytyväisiä ja tehdään optimaalinen priorisointipäätös. Tämä tyytyväisyys heijastuu havaintoomme, jonka mukaan vain 26% yrityksistä voi tällä hetkellä tarkastaa IaaS: n väärien kokoonpanojen olemassa olevilla tietoturvatyökaluilla."

IaaS-hyväksynnän nopeus on pääsyy ammatinharjoittajien pysymiseen, raportti totesi. Infrastruktuurit muuttuvat nopeasti pilvessä, mikä luo tilaa enemmän virheitä, kun koodi julkaistaan ​​jatkuvassa integroinnissa ja jatkuvissa toimituskäytännöissä (CI / CD).

"Lisäksi useimmat organisaatiot ovat monisilmäisiä, mikä tarkoittaa, että ne käyttävät useita pilvipalvelujen tarjoajia infrastruktuuriin, mikä lisää kokoonpanojen tarkistamisen vaikeuksia useilla alustoilla", Sarukkai kertoi.

IaaS: Uusi varjo IT

IT-ryhmät eivät pysty turvaamaan asioita, joista he eivät tiedä. Pilvien käyttöönoton alkaminen alkoi työntekijöiden hankkimilla yhteistyön ja tiedostojen jakamisen sovelluksilla, joista IT ei koskaan ollut tietoinen, ja ne muodostivat termin Varjo-IT, löytyi raportti.

Ohjelmisto-palveluna -palvelun (SaaS) noustessa IT-ryhmät pystyivät kiinni ja suosittelemaan liiketoiminnan hyödyllisimpiä sovelluksia. Samanlainen suuntaus ilmeni infrastruktuuripinnoilla, etenkin suurten tarjoajien, kuten Amazon Web Services ja Microsoft Azure, kanssa. Jokaisella palveluntarjoajalla on erityisiä palveluita, jotka tukevat liiketoimintatapoja moniäänisen ympäristön kehittämiseksi, jossa käytetään useita IaaS-palveluntarjoajia. Tällä hetkellä pilveen rakennetaan monia sovelluksia, jotka menevät pilveen, mutta multicloud vaikeuttaa yritysten hallintaa ja näkyvyyttä kaikille IaaS-arkkitehtuureilleen.

Turvallisuustoimenpiteet, jotka yritysten olisi toteutettava

Auttaakseen yrityksiä paremmin suojaamaan IaaS-rakenteita, Sarukkai yksilöi seuraavat kolme tietoturvastrategiaa:

1. Luo IaaS-määritystarkastus CI / CD-prosessiisi

Yritysten on suoritettava tämä vaihe aikaisin, kenties koodin kirjautumisen yhteydessä, jotta toteutettavien väärien kokoonpanojen määrä vähenee. IT-johtajien tulisi etsiä suojaustyökaluja, jotka toimivat helposti Jenkinsin, Kubernetesin ja muiden kanssa, jotta tarkastus- ja korjausprosessi voidaan automatisoida tehokkaasti.

2. Arvioi IaaS-tietoturvakäytäntösi käyttämällä puitteita, kuten Land-Expand-Exfiltrate

Tarkastelemalla käytäntöjäsi koko hyökkäysketjun suhteen, yrityksillä on paremmat mahdollisuudet lopettaa rikkomus ennen kuin se tulee käsistä.

3. Sijoittakaa pilvipohjaisiin tietoturvatyökaluihin ja turvallisuusjoukkojen koulutukseen

Joitakin hyödyllisiä tietoturvatyökaluja ovat Cloud Access Security Brokers (CASB), Cloud Security Posture Management (CSPM) ja Cloud Workload Protection Platforms (CWPP). Kaikkien kolmen on tarkoitus toimia DevOps- ja CI / CD-prosessien sisällä, ilman että ne ovat hiilkopio paikallisten datakeskusten tietoturvasta.

Gartnerin markkinaosuusanalyysin mukaan Infrastruktuuri palveluna -palvelun (IaaS) julkiset pilvimarkkinat kasvoivat 31, 3% vuonna 2018, ja siitä tuli IT-ympäristö, joka hoitaa organisaation sisäisiä ja asiakaslähtöisiä sovelluksia. IaaS ja IUS, Worldwide, 2018 -raportti.

Katso lisää Cloud-tietoturva on liian tärkeää jättää pilvipalveluntarjoajille sisar-sivustollemme ZDNet.

Pilvi ja kaikki palveluna -uutiskirje

Tämä on menolähde, josta saat uusimmat tiedot AWS: stä, Microsoft Azuresta, Google Cloud Platformista, XaaS: stä, pilviturvallisuudesta ja muusta. Toimitettu maanantaisin

Rekisteröidy tänään

Katso myös

  • Multicloud: Huijarilehti (TechRepublic)
  • Hybridi pilvi: Opas IT-ammattilaisille (TechRepublic lataa)
  • Serverless computing: Opas IT-johtajille (TechRepublic Premium)
  • Suosituimmat pilvipalvelujen tarjoajat 2019: AWS, Microsoft, Azure, Google Cloud; IBM saa hybridi liikkua; Myyntivoima hallitsee SaaS: ta (ZDNet)
  • Parhaat pilvipalvelut pienyrityksille (CNET)
  • Microsoft Office vs. Google Docs Suite vs. LibreOffice (Download.com)
  • Cloud computing: Lisää must-read-kattavuutta (TechRepublic on Flipboard)
Kuva: artisteer, Getty Images / iStockphoto

© Copyright 2020 | mobilegn.com