Video: Cloud Security Tutorial | Cloud Security Fundamentals | AWS Training | Edureka (Listopad 2024)
Příští rok slibuje výrazný růst pro poskytovatele veřejných cloudových služeb a dodavatele řešení Software-as-a-Service (SaaS). Za prvé, nové technologie na úrovni nadace, jako je nasazení mikroprocesorů a blockchain, poskytují mimo jiné nevyužité cesty k inovacím. Ale možná ještě důležitější je, že se jeden z nejvíce často zmiňovaných blokátorů cloudových adopcí CIO (jmenovitě zabezpečení a bezpečnost dat) konečně přesouvá na pozadí, zejména pro podniky a středně velké podniky.
Zatímco analytici souhlasí s tím, že většina podniků dnes - včetně segmentů podnikových a středně velkých - má různá nasazení cloudu, také souhlasí s tím, že větší organizace byly pomalu přesunuty velké pracovní zátěže do cloudu, přičemž hlavním důvodem je zabezpečení a data v cloudu bezpečnost. To je pro tyto zákazníky důležité nejen kvůli obrovskému množství dat, které by tyto organizace migrovaly, ale také proto, že pro ně je kritické provádění přísných kontrol dodržování předpisů a předpisů, jako je zákon o přenositelnosti a odpovědnosti ve zdravotním pojištění (HIPAA) a ISO 27001, pro ně zásadní. Podnikat. Bezpečnost je pro tyto CIO nejvyšší prioritou a donedávna to prostě nebylo dost robustní na to, aby přijaly cloud ve velkém měřítku.
Ale podle předpovědí analytiků na rok 2017 se to všechno změní. Cloudová bezpečnost prošla v poslední polovině desetiletí velmi dlouhou cestou a zdá se, že mnoho IT odborníků a CIO souhlasí. To znamená, že analytici předpovídají, že v roce 2017 uvidíme mnohem větší využívání cloudové infrastruktury a služeb z podnikového sektoru.
Provedl jsem e-mailový rozhovor s Brianem Kellym, ředitelem bezpečnosti u známého spravovaného cloudového poskytovatele Rackspace, abych zjistil, co se v nadcházejícím roce mění o cloudové bezpečnosti - a zjistil, zda souhlasil s předpovědi těchto analytiků.
PCMag: Jak přesně si Rackspace prohlíží svou roli v porovnání s rolí IT zaměstnanců svých zákazníků, pokud jde o bezpečnost a zabezpečení dat?
Brian Kelly (BK): Vidíme přímý důkaz, že zákazníci přicházejí do cloudu kvůli bezpečnosti, spíše než utíkají před ním. S několika málo výjimkami společnosti jednoduše nemají zdroje a dovednosti, které by účinně bránily jejich organizace před sofistikovanějšími a přetrvávajícími hrozbami. Obdobně poskytovatelé cloudu uznávají, že budoucnost našich podniků závisí na dosažení důvěry a důvěry prostřednictvím účinných bezpečnostních postupů. Navzdory zvýšeným investicím poskytovatelů cloudových služeb do zabezpečení zůstává ochrana organizačních aktiv vždy sdílenou odpovědností. Zatímco poskytovatel cloudu je přímo odpovědný za ochranu zařízení, datových center, sítí a virtuální infrastruktury, spotřebitelé mají rovněž odpovědnost za ochranu operačních systémů, aplikací, dat, přístupu a pověření.
Forrester vytvořil termín „nerovnoměrné podání ruky“ v souvislosti s touto sdílenou odpovědností. V některých ohledech se spotřebitelé domnívají, že nesou břemeno pro bezpečnost svých údajů. Možná to byla pravda před několika lety; jsme však svědky vyvážení handshake. To znamená, že poskytovatelé cloudových služeb mohou a měli by udělat více pro to, aby spotřebitelé sdíleli odpovědnost za bezpečnost. To může mít podobu jednoduchého zajištění větší viditelnosti a transparentnosti hostovaných pracovních vytížení, poskytnutí přístupu k řídicím letadlům nebo nabídnutí spravovaných bezpečnostních služeb. Zatímco odpovědnost za bezpečnost zákazníka nikdy nezmizí, poskytovatelé cloudu budou i nadále přebírat větší odpovědnost a dodávat spravované bezpečnostní nabídky s přidanou hodnotou, aby si vybudovali důvěru nezbytnou pro obě strany, aby mohli bezpečně pracovat v cloudu.
PCMag: Máte nějaké rady pro IT profesionály a firemní zákazníky o tom, co mohou dělat, kromě toho, co poskytovatel poskytuje, aby pomohl chránit svá cloudová data sama?
BK: Musí ve svých enklávách pokračovat v implementaci bezpečnostních postupů. Potřebují zodpovědně segmentovat pracovní zatížení v enklávě, aby omezili rozsah kompromisů, zajistili, aby byla pracovní prostředí (operační systémy, kontejnery, virtuální LAN) řádně zabezpečena a opravena, využívají technologie snímání a reakce na úrovni koncového bodu a sítě (IDS / IPS, detekce a omezování malwaru) a aktivně spravuje účty a přístupy. Zákazníci často mohou tyto služby a technologie zahrnout do svých smluv o využívání cloudu, ale pokud ne, musí spotřebitel zajistit, aby k tomu došlo na jejich straně.
PCMag: Jednou z klíčových otázek, které jsme viděli, se čtenáři ptají, je účinná ochrana proti masivním útokům typu DDoS (Internet of Things - IoT), které byly podobné incidentu z minulého října, kdy čínský prodejce IoT neúmyslně přispěl k útok. Fungují takové útoky s poskytovateli internetových služeb na začátku? A jak udržují útok na jednoho klienta před tím, než zlikvidují každého v zařízení?
BK: Hlavním cílem obrany DDoS je udržení dostupnosti při útoku. Schopnosti útoku DDoS IoT jsou dobře známy a lze je úspěšně zmírnit implementací osvědčených postupů zabezpečení a použitím inteligentních systémů snižování DDoS. Největší hrozbou není způsob útoků IoT, ale obrovské množství zranitelných zařízení podporujících internet. Sítě musí být uzamčeny, aby se omezilo vystavení hrozbám na internetu. Provozovatelé sítí musí být aktivní při odhalování všech možných hrozeb a znát nejúčinnější techniky k jejich zmírnění, přičemž si musí zachovat schopnost analyzovat a klasifikovat veškerý síťový provoz.
Silná strategie snižování DDoS vyžaduje zaujetí vrstveného obranného přístupu. Díky velkému počtu zařízení IoT je pro malé sítě obtížné zmírnit útoky IoT. Účinností útoku IoT je jeho flexibilita při generování různých útočných vektorů a produkci masivního, velkoobjemového DDoS provozu. Dokonce i ta nejtvrdší síť může být rychle ohromena obrovským objemem provozu, který může IoT generovat v rukou schopného útočníka. Upstream ISP jsou často lépe vybaveni a personálně vybaveni pro řešení těchto rozsáhlých útoků, které by rychle saturovaly malá síťová propojení. Kromě toho rozsah provozu sítě a nástroje potřebné ke zmírnění takových útoků způsobují, že většina organizací nedokáže účinně detekovat a reagovat. Lepším řešením je outsourcing takovýchto operací pro upstream ISP poskytovatelů cloudu, kteří již pracují s tímto rozsahem sítě.
Upstream ISP mají mnoho výhod díky robustní rozmanitosti přístupových bodů k internetu, přes které mohou přesunout provoz. Obecně mají také dostatečně velké datové kanály, aby zpočátku absorbovaly hodně provozu DDoS, zatímco se odvíjí aktivity odezvy přesměrování provozu. „Upstream“ je dobrý termín, protože je poněkud analogický sérii přehrad podél řeky. Během povodně můžete chránit domy po proudu tím, že pomocí každé přehrady zachytíte postupně více vody v každém jezeře vytvořeném přehradou a změříte průtok, abyste zabránili následnému zaplavení. Stejná odolnost poskytuje šířku pásma a rozmanitost přístupových bodů pro upstream ISP. Mají také sjednané protokoly napříč internetovou komunitou, aby přesměrovaly přenos DDoS blíže ke zdrojům, které mohou aktivovat.
Stejně jako u ostatních činností v oblasti reakce na incidenty je plánování, příprava a praxe nezbytné. Žádné dva útoky nejsou úplně stejné, proto je předvídání možností a okolností, které jsou pro ně plánování a praktikování, zásadní. V případě scénářů útoku IoT to zahrnuje skenování zranitelných zařízení v síti a provedení nápravných opatření. Také byste měli mít jistotu, že zabráníte skenování zranitelných zařízení internetu věcí z vaší sítě. Chcete-li pomoci, implementovat přísné řízení přístupu a zpevnění operačního systému a vyvinout postupy pro oprava různých verzí kódu, síťových zařízení a aplikací.
Klikněte na obrázek pro plný infographic. Obrazový kredit: Twistlock
PCMag: Další otázky, které čtenáři kladou, jsou zabezpečení kontejnerů. Bojíte se o ozbrojené kontejnery, které by mohly obsahovat složité útočné systémy, nebo si myslíte, že architektura chrání před takovými exploitacemi?
BK: Bezpečnost s každou nově zdůrazněnou technologií je vždy zvýšeným problémem - kontejnery nejsou v tomto ohledu jedinečné. Stejně jako u mnoha bezpečnostních výzev však existují kompromisy. I když může existovat zvýšené riziko, věříme také, že existují účinná strategie zmírňování rizik, která můžeme kontrolovat.
Kontejner je v podstatě vysoce přechodné a lehké virtualizované prostředí operačního systému. Jsou virtuální počítače méně bezpečné než samostatné fyzické servery? Ve většině případů jsou. Mnoho podniků však vidí výhody plynoucí z virtualizace (nižší výdaje, snadnější správa, snadné přeřazení strojů) a rozhodly se tyto páky využít a zmírnit co nejvíce rizik. Intel si dokonce uvědomil, že by mohl pomoci zmírnit některá rizika sama o sobě a odtud pochází Intel VT.
Kontejnery dále zvyšují počáteční úspory nákladů a flexibilitu virtualizace. jsou také riskantnější, protože mezi každým kontejnerem a hostitelským operačním systémem je velmi tenká zeď. Nevím o žádné hardwarové podpoře izolace, takže je na jádru, aby byli všichni ve frontě. Společnosti musí s těmito riziky zvážit výhody nákladů a flexibility této nové technologie.
Linuxoví odborníci se obávají, protože každý kontejner sdílí jádro hostitele, díky čemuž je plocha pro využití mnohem větší než u tradičních virtualizačních technologií, jako jsou KVM a Xen. Existuje tedy možnost nového útoku, kdy útočník hackne oprávnění v jednom kontejneru pro přístup - nebo ovlivňuje podmínky uvnitř - jiného kontejneru.
Zatím nemáme mnoho v cestě bezpečnostním senzorům specifickým pro kontejner. Tato oblast trhu musí podle mého názoru dozrát. Kontejnery navíc nemohou používat funkce zabezpečení zabudované do procesorů (jako je Intel VT), které umožňují provádění kódu v různých zvoněních v závislosti na jeho úrovni oprávnění.
Nakonec existuje spousta exploitů pro fyzické servery, virtuální stroje a kontejnery. Stále nové se objevují. Jsou využívány i stroje se vzduchovou mezerou. Odborníci v oblasti IT by se měli obávat kompromisů v oblasti zabezpečení na všech těchto úrovních. Většina obran je stejná pro všechny tyto typy rozmístění, ale každý z nich má své vlastní zvláštní bezpečnostní ochrany, které musí být použity.
Poskytovatel hostingu musí používat izolační kontejnery systému Linux (jako je SELinux nebo AppArmor) a tento systém musí být pečlivě sledován. Je také důležité udržovat aktualizované jádro hostitele, aby nedošlo k zneužití explozí místních oprávnění. Izolace jedinečného ID (UID) také pomáhá, protože zabraňuje tomu, aby uživatel root v kontejneru byl root na hostiteli.
PCMag: Jedním z důvodů, proč společnost PCMag.com neprováděla rozsáhlé srovnání poskytovatelů spravovaných bezpečnostních služeb (MSSP), je to, že v tomto odvětví existuje zmatek ohledně toho, co přesně tento výraz znamená a co tato třída poskytovatelů může a měla přinést. Můžete rozebrat spravovanou bezpečnostní službu Rackspace? Co to dělá, jak se to liší od ostatních poskytovatelů a kde to vidíte, takže čtenáři mohou získat dobrou představu o tom, k čemu se přihlásí, když zaměstnávají takovou službu?
BK: MSSP musí akceptovat, že zabezpečení nefungovalo a přizpůsobit svou strategii a operace tak, aby byly efektivnější v dnešním prostředí hrozeb - které obsahuje sofistikovanější a přetrvávající protivníky. Ve společnosti Rackspace jsme potvrdili tuto změnu hrozby a vyvinuli nové schopnosti potřebné k jejich zmírnění. Zabezpečení Rackspace Managed Security je pokročilá operace detekce a reakce 24/7/365. Byl navržen nejen k ochraně společností před útoky, ale také k minimalizaci dopadu na podnikání v případě útoků, a to i poté, co bylo prostředí úspěšně hacknuto.
Abychom toho dosáhli, upravili jsme naši strategii třemi způsoby:
Zaměřujeme se na data, nikoli na obvod. Aby bylo možné účinně reagovat na útoky, musí být cílem minimalizovat dopad na podnikání. To vyžaduje komplexní porozumění podnikání společnosti a kontextu dat a systémů, které chráníme. Teprve potom můžeme pochopit, jak vypadá normální, porozumět útoku a reagovat způsobem, který minimalizuje dopad na podnikání.
Předpokládáme, že útočníci získali přístup do sítě a pomocí vysoce kvalifikovaných analytiků je lovili. Jakmile jsou síťové útoky, je těžké identifikovat nástroje, protože pokročilé útočníky vypadají jako bezpečnostní nástroje jako administrátoři provádějící běžné obchodní funkce. Naši analytici aktivně vyhledávají vzorce činnosti, na které nástroje nemohou upozornit - tyto vzory jsou stopy, které nás vedou k útočníkovi.
Vědět, že jste pod útokem, nestačí. Je důležité reagovat na útoky, když k nim dojde. Naše Centrum zabezpečení zákazníků používá portfolio „předem schválených akcí“ k reakci na útoky, jakmile je uvidí. Toto jsou v podstatě knihy, které jsme vyzkoušeli a testovali, abychom úspěšně zvládli útoky, když k nim dojde. Naši zákazníci vidí tyto provozní knihy a schvalují naše analytiky k jejich provádění během procesu na palubě. Výsledkem je, že analytici již nejsou pasivními pozorovateli - mohou aktivně vypnout útočníka, jakmile jsou odhaleni, a často před dosažením vytrvalosti a před dopadem na podnikání. Tato schopnost reagovat na útoky je pro Rackspace jedinečná, protože také spravujeme infrastrukturu, kterou chráníme pro naše zákazníky.
Kromě toho zjišťujeme, že dodržování předpisů je vedlejším produktem bezpečnosti, který byl proveden dobře. Máme tým, který vydělává na přísnosti a osvědčených postupech, které implementujeme v rámci bezpečnostní operace, a to dokazováním a podáváním zpráv o požadavcích na dodržování předpisů, které pomáháme našim zákazníkům splnit.
PCMag: Rackspace je velkým zastáncem OpenStack, opravdu uznávaným zakladatelem. Někteří z našich čtenářů IT se zeptali, zda je vývoj zabezpečení pro takovou otevřenou platformu ve skutečnosti pomalejší a méně efektivní než vývoj uzavřeného systému, jako je Amazon Web Services (AWS) nebo Microsoft Azure, kvůli vnímanému dilematu „příliš mnoho kuchařů“, který trápí mnoho velkých open-source projektů. Jak na to reagujete?
BK: U softwaru s otevřeným zdrojovým kódem jsou „chyby“ nalezeny v otevřené komunitě a opraveny v otevřené komunitě. Neexistuje způsob, jak skrýt rozsah nebo dopad problému se zabezpečením. S proprietárním softwarem jste na milosti poskytovatele softwaru, abyste opravili zranitelnosti. Co když nedělají nic ohledně zranitelnosti po dobu šesti měsíců? Co když jim chybí zpráva od výzkumníka? Vidíme všechny ty „příliš mnoho kuchařů“, které označujete jako obrovský aktivátor softwarového zabezpečení. Stovky inteligentních inženýrů se často dívají na každou část velkého open-source balíčku, jako je OpenStack, což znesnadňuje prokluzy vad. Diskuse o vadě a vyhodnocení možností, jak ji opravit, se děje otevřeně. Soukromé softwarové balíčky nikdy nemohou získat takový druh analýzy na úrovni řádku a opravy nikdy takové otevřené prověrky nedostanou.
Software s otevřeným zdrojovým kódem také umožňuje mitigace mimo softwarový zásobník. Pokud se například objeví problém se zabezpečením OpenStack, ale poskytovatel cloudu nemůže tuto chybu zabezpečení upgradovat nebo opravit okamžitě, je možné provést další změny. Tato funkce by mohla být dočasně deaktivována nebo by bylo možné uživatelům zabránit v používání pomocí souborů zásad. Útok by mohl být účinně zmírněn, dokud nebude použita dlouhodobá oprava. Software s uzavřeným zdrojem to často neumožňuje, protože je obtížné zjistit, co je třeba zmírnit.
Také komunity s otevřeným zdrojovým kódem rychle šíří znalosti těchto bezpečnostních chyb. Otázka „Jak tomu můžeme zabránit později?“ dostane dotaz rychle, a jednání je vedeno ve spolupráci a otevřeně.
PCMag: Pojďme na původní otázku pro tento rozhovor: Souhlasíte s analytiky, že rok 2017 bude „průlomovým“ rokem, pokud jde o přijetí podnikového cloudu, hlavně nebo alespoň částečně kvůli podnikovému přijetí zabezpečení poskytovatele cloudu?
BK: Vraťme se na chvilku zpět a probereme různá cloudová prostředí. Většina vašich otázek odkazuje na veřejný cloudový trh. Jak jsem již zmínil výše, vědci z Forresteru zaznamenali „nerovnoměrné podání“ mezi poskytovateli cloudu a spotřebiteli v tom, že poskytovatelé cloudu poskytují řadu služeb, ale zákazníci cloudu často předpokládají, že dostávají mnohem více, pokud jde o zabezpečení, zálohování, odolnost, atd. Od chvíle, kdy jsem se připojil k Rackspace, jsem zastával názor, že poskytovatelé cloudu musí tento handshake vyrovnat tím, že budou vůči našim zákazníkům transparentnější. Nikde není handshake méně rovnoměrný, ještě dnes, než ve veřejných cloudových prostředích.
Soukromá cloudová prostředí, a zejména pak ta, která jsou implementována ve vlastním spotřebiteli, však nese tolik takových iluzí. Spotřebitelé jsou mnohem jasnější v tom, co kupují a co jim poskytovatelé dávají. Přestože spotřebitelé zvýšili očekávání v procesu nákupu a poskytovatelé cloudových služeb zintenzivnili naše hry, aby poskytovali úplnější služby a transparentnost, emoční a rizikové překážky v přesunu pracovní zátěže z tradičního datového centra do veřejného cloudového prostředí rychle klesají.
Ale nemyslím si, že by to v roce 2017 vytvořilo úpadek směrem k cloudu. Pohybující se pracovní zatížení a celá datová centra znamenají významné plánování a organizační změny. Je to velmi odlišné od upgradování hardwaru v datovém centru. Doporučuji vašim čtenářům, aby studovali přechod Netflix; transformovali své podnikání přesunem do cloudu, ale trvalo jim sedm let tvrdé práce. Jednak re-factored a re-psal většinu z jejich aplikací, aby byly efektivnější a lépe přizpůsobené cloudu.
Vidíme také mnoho zákazníků, kteří ve svých datových centrech využívají privátní cloud a používají jako výchozí bod hybridní cloudovou architekturu. Zdá se, že se zrychlují. Věřím, že křivka adopce mohla v roce 2017 spatřit loket, ale opravdu to bude trvat několik let, než se zvětší.
