Ateinantys metai žada pastebimą augimą viešųjų debesijos paslaugų teikėjams ir „Programinės įrangos kaip paslaugos“ („SaaS“) sprendimų tiekėjams. Viena vertus, naujos pamatų lygio technologijos, tokios kaip mikroservisų diegimas ir „blockchain“, be kita ko, suteikia dar neišnaudotų inovacijų galimybių. Bet, galbūt, dar svarbiau, atrodo, kad vienas iš dažniausiai CIO cituojamų debesų priėmimo blokatorių (būtent, saugumas ir duomenų saugumas) pereina į foną, ypač įmonėms ir vidutinio dydžio įmonėms.
Nors analitikai sutinka, kad daugumoje įmonių, įskaitant įmones ir vidutinio dydžio segmentus, tam tikru mastu diegiami debesys, jie taip pat sutinka, kad didesnės organizacijos lėtai perkelia didelius darbo krūvius į debesis, nes pagrindinė priežastis yra debesų saugumas ir duomenys. saugumas. Tai svarbu šiems klientams ne tik dėl didžiulės duomenų apimties, kurią šios organizacijos perkels, bet ir dėl to, kad jiems labai svarbu išlaikyti griežtus atitikties ir teisinius patikrinimus, tokius kaip Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas (HIPAA) ir ISO 27001. užsiimti verslu. Saugumas yra svarbiausias šių CIO protas ir dar visai neseniai jis nebuvo pakankamai tvirtas, kad galėtų pritaikyti debesis dideliu mastu.
Tačiau, pasak analitikų prognozių 2017 metams, viskas pasikeis. Debesų saugumas nuėjo labai ilgą kelią per pastarąjį pusšimtį metų ir panašu, kad daugelis IT specialistų ir CIO sutinka. Tai reiškia, kad analitikai prognozuoja, kad 2017 m. Debesų infrastruktūra ir paslaugos bus naudojamos labiau iš įmonių sektoriaus.
Aš atlikiau interviu el. Paštu su Brian Kelly, žinomo valdomo debesų tiekėjo „Rackspace“ vyriausiuoju saugumo pareigūnu, norėdamas sužinoti, kas keičiasi debesų saugumu ateinančiais metais, ir išsiaiškinti, ar jis sutinka su šių analitikų prognozėmis.
„PCMag“: Kaip tiksliai „Rackspace“ vertina savo, palyginti su klientų IT darbuotojų, vaidmenį, kai kalbama apie duomenų saugą?
Brianas Kelly (BK): Mes matome tiesioginius įrodymus, kad klientai ateina į debesis dėl saugumo, o ne bėga nuo jo. Išskyrus keletą išimčių, įmonės paprasčiausiai neturi išteklių ir įgūdžių efektyviai ginti savo organizacijas nuo sudėtingesnių ir nuolatinių grėsmių. Taip pat debesų paslaugų teikėjai pripažįsta, kad mūsų verslo ateitis priklauso nuo to, ar veiksminga saugumo praktika užtikrins pasitikėjimą. Nepaisant didesnių debesijos paslaugų teikėjų investicijų į saugumą, organizacinio turto apsauga visada išliks bendra atsakomybe. Nors debesų paslaugų teikėjas yra tiesiogiai atsakingas už įrenginių, duomenų centrų, tinklų ir virtualios infrastruktūros apsaugą, vartotojai taip pat yra atsakingi už operacinių sistemų, programų, duomenų, prieigos ir kredencialų apsaugą.
Remdamasis šia bendra atsakomybe, Forresteris sukūrė terminą „netolygus rankos paspaudimas“. Kai kuriais atvejais vartotojai mano, kad užkrauna naštą savo duomenų saugumui. Tai galėjo būti tiesa prieš keletą metų; tačiau mes matome, kaip pusiausvyra keičiasi paspaudus ranką. T. y., Debesų paslaugų teikėjai gali ir turėtų padaryti daugiau, kad vartotojai pasidalintų atsakomybe už saugumą. Tai gali pasireikšti paprasčiau suteikiant didesnį matomumą ir skaidrumą priimamų darbų krūviams, suteikiant prieigą prie valdymo plokštumų ar siūlant valdomas saugos paslaugas. Nors vartotojų atsakomybė už saugumą niekada neišnyks, debesų paslaugų teikėjai ir toliau prisiims daugiau atsakomybės ir teiks pridėtinės vertės valdomų saugumo pasiūlymų, kad padidintų pasitikėjimą, būtiną abiem pusėms saugiai dirbant debesyje.
„PCMag“: ar turite patarimų IT specialistams ir verslo klientams, ką jie gali padaryti, be to, ką teikia tiekėjas, kad padėtų patiems apsaugoti savo debesų duomenis?
BK: Jie privalo ir toliau įgyvendinti geriausią saugumo patirtį savo anklavuose. Jie turi atsakingai segmentuoti darbo krūvius anklave, kad būtų apribotos kompromisų apimtys, užtikrinta, kad darbo krūvio aplinka (operacinės sistemos, konteineriai, virtualūs LAN) būtų tinkamai apsaugota ir pataisyta, panaudotos galinio taško ir tinklo lygio nustatymo ir reagavimo technologijos (IDS / IPS, kenkėjiškų programų aptikimas ir sulaikymas) ir aktyviai valdo paskyras bei prieigas. Dažnai klientai gali įtraukti šias paslaugas ir technologijas į savo debesies naudojimo sutartis, tačiau jei ne, vartotojas turi užtikrinti, kad tai atsitiks jų pusėje.
PCMag: Vienas svarbiausių klausimų, kuriuos mes matėme skaitytojų, yra apie efektyvią gynybą nuo masinių daiktų interneto (IoT) valdomų išplatintų paslaugų atsisakymo (DDoS) atakų, panašų į praėjusių metų spalio įvykį, kai Kinijos interneto tiekėjas netyčia smarkiai prisidėjo prie ataka. Ar tokie išpuoliai veikia su aukštesnio lygio interneto paslaugų teikėjais (IPT)? Ir kaip jie išlaiko vieno kliento ataką, kad pašalintų visus objektus?
BK: Pagrindinis „DDoS“ gynybos tikslas yra išlaikyti prieinamumą atakos metu. IoT DDoS atakos galimybės yra gerai žinomos ir jas galima sėkmingai sušvelninti įgyvendinant geriausią saugumo praktiką ir naudojant intelektualias DDoS švelninimo sistemas. Didžiausia grėsmė yra ne internetinių išpuolių metodas, o nepaprastai didelis skaičius pažeidžiamų interneto prieigų. Tinklai turi būti užrakinti, kad būtų apribotos grėsmės internete. Tinklo operatoriai turi būti aktyvūs nustatant visas įmanomas grėsmes ir žinant efektyviausius jų mažinimo būdus, išlaikant galimybę analizuoti ir klasifikuoti visą tinklo srautą.
Tvirtai DDoS švelninimo strategijai reikalingas sluoksniuotas, gynybinis požiūris. Didelis internetinių prietaisų skaičius apsunkina internetinių išpuolių sušvelninimą nedidelio masto tinkluose. Internetinės atakos veiksmingumas yra jos lankstumas generuojant įvairius atakos vektorius ir sukuriant didžiulį, didelio tūrio DDoS srautą. Net labiausiai užkietėjęs tinklas gali greitai būti priblokštas dėl milžiniško srauto, kurį IoT gali generuoti pajėgių užpuolikų rankose. Aukštesnių IPT dažnai yra geriau pasirengę ir turi personalą, kad galėtų kovoti su šiomis didelio masto atakomis, kurios greitai prisotintų mažus tinklo ryšius. Be to, tinklo eksploatavimo mastas ir priemonės, reikalingos tokiems išpuoliams sušvelninti, daugeliui organizacijų suteikia galimybę veiksmingai aptikti ir reaguoti. Geresnis sprendimas yra perduoti tokias operacijas debesų tiekėjų, kurie jau dirba su tokiu tinklo mastu, aukščiausiojo lygio IPT.
Aukštojo interneto paslaugų teikėjai turi daug pranašumų dėl didelės interneto prieigos taškų, per kuriuos jie gali perkelti srautą, įvairovės. Jie taip pat paprastai turi pakankamai didelius duomenų vamzdelius, kad iš pradžių galėtų absorbuoti daug DDoS srauto, o reagavimo srauto maršruto keitimo veikla didėja. „Aukštupys“ yra geras terminas, nes jis yra šiek tiek analogiškas užtvankų, esančių palei upę, serijai. Potvynio metu namus galite apsaugoti pasroviui naudodami kiekvieną užtvanką, kad kiekviename užtvankos sukurtame ežere būtų sugaunama vis daugiau vandens ir išmatuotumėte tėkmę, kad išvengtumėte potvynio. Praeities IPT pralaidumas ir prieigos taškų įvairovė suteikia tą patį atsparumą. Jie taip pat turi protokolus, dėl kurių visoje interneto bendruomenėje buvo susitarta siekiant nukreipti DDoS srautą arčiau šaltinių, kuriuos jie gali suaktyvinti.
Kaip ir kitose reagavimo į įvykius veikloje, būtinas planavimas, pasiruošimas ir praktika. Nei vienas išpuolių nėra visiškai tas pats, todėl labai svarbu numatyti galimybes ir aplinkybes, tada planuoti ir praktikuoti. IoT išpuolių scenarijaus atveju tai apima tinklo pažeidžiamų įrenginių skenavimą ir taisomųjų veiksmų atlikimą. Taip pat turėtumėte įsitikinti, kad neleidžiate nuskaityti pažeidžiamų daiktų interneto prietaisų iš savo tinklo. Norėdami padėti įgyvendinti griežtą prieigos kontrolės ir operacinės sistemos grūdinimą ir sukurti procedūras, skirtas skirtingų kodų versijų, tinkle esančių įrenginių ir programų pataisymui.
Spustelėkite vaizdą, norėdami pamatyti visą infografiką. Vaizdo kreditas: „ Twistlock“
PCMag: Kitas skaitytojų klausimas mums yra apie konteinerių apsaugą. Ar nerimaujate dėl ginkluotų konteinerių, kuriuose gali būti sudėtingų atakų sistemų, ar manote, kad architektūra apsaugo nuo tokio išnaudojimo?
BK: Saugumas naudojant bet kurią naujai pabrėžiamą technologiją visada kelia didelį susirūpinimą - konteineriai šiuo aspektu nėra unikalūs. Tačiau, kaip ir daugelis saugumo iššūkių, yra ir kompromisų. Nors rizika gali padidėti, mes taip pat tikime, kad yra veiksmingų rizikos mažinimo strategijų, kurias galime kontroliuoti.
Konteineris iš esmės yra labai trumpalaikė ir lengva virtualizuota operacinės sistemos aplinka. Ar virtualios mašinos yra mažiau saugios nei atskiri fiziniai serveriai? Daugeliu atvejų jie yra. Tačiau daugelis verslo įmonių mato virtualizacijos sąnaudų naudą (mažiau išleidžia, jas lengviau valdyti, gali lengvai pritaikyti mašinas kitiems tikslams) ir nusprendžia pasinaudoti svertu, kartu sušvelnindamos kuo daugiau rizikų. „Intel“ net suprato, kad jie gali padėti patiems sušvelninti tam tikrą riziką, ir būtent iš to atsirado „Intel VT“.
Konteineriai toliau taupo pradines išlaidas ir virtualizacijos lankstumą. jie taip pat rizikingesni, nes tarp kiekvieno konteinerio ir pagrindinės operacinės sistemos yra labai plona siena. Aš nežinau apie jokią aparatinės įrangos izoliacijos palaikymą, todėl branduolys turi išlaikyti visus tinkle. Bendrovės turi įvertinti šios naujos technologijos sąnaudas ir lankstumą kartu su šia rizika.
„Linux“ ekspertai yra susirūpinę, nes kiekvienas konteineris dalijasi pagrindinio kompiuterio branduoliu, todėl eksploatavimo plotas yra daug didesnis nei tradicinių virtualizacijos technologijų, tokių kaip KVM ir „Xen“. Taigi yra naujos atakos galimybė, kai užpuolikas nulaužia privilegijas viename konteineryje, kad galėtų pasiekti kitą konteinerį arba paveikti jo sąlygas.
Konteineriams skirtų saugumo jutiklių dar nėra daug. Mano manymu, ši rinkos sritis turi subręsti. Be to, konteineriai negali naudoti saugos elementų, įmontuotų procesoriuose (pvz., „Intel VT“), leidžiančiuose vykdyti kodą skirtingais žiedais, atsižvelgiant į jo privilegijų lygį.
Galų gale yra daugybė išnaudojimų fiziniams serveriams, virtualioms mašinoms ir konteineriams. Visą laiką atsiranda naujų. Išnaudojamos net orą praleidžiančios mašinos. IT specialistams turėtų nerimauti dėl saugumo kompromisų visais šiais lygmenimis. Didžioji dalis visų šių dislokavimo tipų apsaugos priemonių yra vienodos, tačiau kiekviena turi savo papildomą apsaugą, kuri turi būti taikoma.
Prieglobos teikėjas privalo naudoti „Linux Security Modules“ (pvz., SELinux ar AppArmor), kad atskirtų konteinerius, ir ta sistema turi būti atidžiai stebima. Taip pat svarbu nuolat atnaujinti pagrindinio kompiuterio branduolį, kad būtų išvengta vietinių privilegijų išplėtimo. Unikalus ID (UID) izoliacija taip pat padeda, nes ji neleidžia pagrindiniame konteinerio vartotojui iš tikrųjų būti pagrindinio kompiuterio šaknimi.
PCMag: Viena iš priežasčių, dėl kurių PCMag.com neatliko didelio masto valdomų saugos paslaugų teikėjų (MSSP) palyginimo, yra ta, kad pramonėje yra painiavos, ką tiksliai reiškia šis terminas ir ką tas paslaugų teikėjų klasė gali ir turėtų pateikti. Ar galite sugadinti „Rackspace“ valdomą saugos tarnybą? Ką tai daro, kuo skiriasi nuo kitų teikėjų ir kur matote, kad skaitytojai gali gerai suprasti, ką jie pasirašo, kai naudojasi tokia paslauga?
BK: MSSP turi sutikti, kad saugumas neveikė, ir pakoreguoti savo strategiją ir operacijas, kad jos būtų veiksmingesnės šiandienos grėsmių aplinkoje, kurioje yra sudėtingesnių ir atkaklesnių priešininkų. „Rackspace“ kompanijoje mes pripažino šį grėsmės pokytį ir sukūrėme naujus pajėgumus, reikalingus jiems sušvelninti. „Rackspace“ valdoma sauga yra 24/7/365 patobulinta aptikimo ir reagavimo operacija. Jis buvo sukurtas ne tik siekiant apsaugoti įmones nuo atakų, bet ir sumažinti poveikį verslui, kai išpuoliai įvyksta, net ir sėkmingai įsilaužus į aplinką.
Norėdami tai pasiekti, pakoregavome savo strategiją trimis būdais:
Mes orientuojamės į duomenis, o ne į perimetrą. Norint veiksmingai reaguoti į išpuolius, turi būti siekiama kuo labiau sumažinti verslą. Tam reikalingas išsamus įmonės verslo supratimas ir duomenų bei sistemų, kurias saugome, kontekstas. Tik tada mes galime suprasti, kaip atrodo normalu, suprasti išpuolį ir reaguoti taip, kad poveikis verslui būtų kuo mažesnis.
Manome, kad užpuolikai įsidarbino tinkle ir medžioti pas juos naudoja aukštos kvalifikacijos analitikus. Patekę į tinklą, išpuolius sunku nustatyti įrankiams, nes saugumo įrankiams pažengę užpuolikai atrodo kaip administratoriai, atliekantys įprastas verslo funkcijas. Mūsų analitikai aktyviai ieško veiklos modelių, apie kuriuos įrankiai negali įspėti - šie modeliai yra pėdsakai, vedantys į užpuoliką.
Nepakanka žinoti, kad esate užpultas. Kritiškai svarbu reaguoti į išpuolius, kai jie įvyksta. Mūsų klientų saugumo operacijų centras naudoja „iš anksto patvirtintų veiksmų“ paketą, kad reaguotų į išpuolius, kai tik juos pamatys. Iš esmės tai yra išbandytos knygos, kurias mes išbandėme ir išbandėme, kad sėkmingai įveiktume išpuolius, kai jie įvyksta. Mūsų klientai mato šias paleidžiamas knygas ir patvirtina mūsų analitikus, kad jie jas vykdytų įlipimo proceso metu. Todėl analitikai nebėra pasyvūs stebėtojai - jie gali aktyviai uždaryti užpuoliką iškart, kai tik jie bus aptikti, ir dažnai prieš pasiekiant atkaklumą ir prieš paveikiant verslą. Šis gebėjimas reaguoti į išpuolius yra išskirtinis „Rackspace“, nes mes taip pat tvarkome infrastruktūrą, kurią saugome savo klientams.
Be to, mes manome, kad atitikimas yra gerai padarytas saugumo šalutinis produktas. Turime komandą, kuri pasinaudoja griežtumu ir geriausia praktika, kurią įgyvendiname vykdydami saugumo operaciją, įrodydami ir pranešdami apie atitikties reikalavimus, kuriuos padedame patenkinti mūsų klientams.
PCMag: „ Rackspace“ yra didelis „OpenStack“ šalininkas, iš tikrųjų pripažintas įkūrėju. Kai kurie mūsų IT skaitytojai paklausė, ar tokios atviros platformos saugumo plėtra yra lėtesnė ir ne tokia efektyvi kaip uždarų sistemų, tokių kaip „Amazon Web Services“ (AWS) ar „Microsoft Azure“, plėtra dėl suvokiamos „per daug virėjų“ dilemos, kuri vargina. daug didelių atvirojo kodo projektų. Kaip tu reaguoji į tai?
BK: Naudojant atvirojo kodo programinę įrangą, „klaidos“ randamos atviroje bendruomenėje ir ištaisomos atviroje bendruomenėje. Neįmanoma slėpti saugumo problemos masto ar poveikio. Naudodami patentuotą programinę įrangą, esate programinės įrangos tiekėjo malonumas, kad pašalintumėte pažeidžiamumus. O kas, jei jie šešis mėnesius nieko nedaro dėl pažeidžiamumo? O kas, jei jie praleis tyrėjo pranešimą? Mes žiūrime į visus tuos „per daug virėjų“, kuriuos jūs vadinate didžiuliu programinės įrangos saugos įgalintuvu. Šimtai išmaniųjų inžinierių dažnai peržiūri kiekvieną pagrindinio atvirojo kodo paketo, pavyzdžiui, „OpenStack“, dalį, dėl kurios trūkumams išties sunku praslysti pro plyšius. Trūkumo aptarimas ir jo pašalinimo galimybių vertinimas vyksta atvirai. Privatūs programinės įrangos paketai niekada negali gauti tokio tipo kodo lygio analizės, o pataisymai niekada nebus tokie atviri.
Atvirojo kodo programinė įranga taip pat leidžia sumažinti programinės įrangos kamino ribas. Pvz., Jei iškyla „OpenStack“ saugos problema, bet debesies paslaugų teikėjas negali nedelsdamas atnaujinti ar pataisyti pažeidžiamumo, gali būti atlikti kiti pakeitimai. Funkcija gali būti laikinai išjungta arba vartotojams gali būti užkirstas kelias naudotis ja naudojantis politikos failais. Ataka galėtų būti veiksmingai sušvelninta, kol nebus pritaikytas ilgalaikis sprendimas. Uždarojo kodo programinė įranga dažnai to neleidžia, nes sunku suprasti, ką reikia sušvelninti.
Be to, atvirojo kodo bendruomenės greitai skleidžia žinias apie šias saugumo spragas. Klausimas „Kaip užkirsti kelią tam, kad tai įvyktų vėliau?“ greitai paklausiama, o svarstymai vyksta bendradarbiaujant ir atvirai.
PCMag: Pabaigsime pradinį šio interviu klausimą: Ar sutinkate su analitikais, kad 2017 m. Bus „proveržis“, kalbant apie įmonių debesų priėmimą, daugiausia ar bent iš dalies dėl to, kad įmonės priėmė debesų paslaugų teikėjo saugumą?
BK: Trumpam atsitraukime ir aptarkime skirtingas debesų aplinkas. Daugelis jūsų klausimų nurodo viešąją debesų rinką. Kaip minėjau aukščiau, „Forrester“ tyrėjai atkreipė dėmesį į „netolygų rankos paspaudimą“ tarp debesų paslaugų teikėjų ir vartotojų, nes debesų paslaugų teikėjai teikia paslaugų rinkinį, tačiau debesų vartotojai dažnai mano, kad jie gauna daug daugiau saugumo, atsarginės kopijos, atsparumo, ir tt Aš, po įstojimo į „Rackspace“, pasisakiau už tai, kad debesų paslaugų teikėjai, naudodamiesi skaidresniais vartotojais, turėtų išlyginti tą rankos paspaudimą. Dar niekur rankos paspaudimas nėra toks tolygus kaip viešoje debesų aplinkoje.
Tačiau privačios debesų aplinkos, ypač pačios vartotojui pritaikytos, tokios iliuzijos nepatiria tiek. Vartotojai daug aiškiau supranta, ką perka ir ką jiems teikia paslaugų teikėjai. Vis dėlto, kai vartotojai kėlė pirkimų proceso lūkesčius, o debesų paslaugų teikėjai paspartino mūsų žaidimus, kad teiktų išsamesnes paslaugas ir skaidrumą, emocinės ir su rizika susijusios kliūtys, keliančios darbo krūvį perkelti iš tradicinio duomenų centro į viešą debesies aplinką, sparčiai mažėja..
Bet nemanau, kad tai 2017 m. Paskatins debesį. Jei darbo krūviai ir visi duomenų centrai keičiasi, reikia didelių planavimo ir organizacinių pokyčių. Tai labai skiriasi nuo aparatūros atnaujinimo duomenų centre. Aš raginu jūsų skaitytojus studijuoti „Netflix“ perėjimą; jie pertvarkė savo verslą persikėlę į debesis, tačiau jiems prireikė septynerių metų sunkaus darbo. Pirma, jie pakeitė ir perrašė didžiąją dalį savo programų, kad būtų veiksmingesni ir geriau pritaikomi debesyje.
Taip pat matome, kad daugelis vartotojų priima privačius debesis savo duomenų centruose, naudodami hibridinę debesų architektūrą. Panašu, kad jie įsibėgėja. Manau, kad įvaikinimo kreivė gali būti alkūnė pakelta 2017 m., Tačiau prireiks keleto metų, kad išsipūtimas iš tikrųjų susiformuotų.
