IaaS และการละเมิดพื้นเมืองของ Cloud: ทำไม บริษัท จึงตกอยู่ในความเสี่ยง

หยุดเพิกเฉยต่อความเสี่ยงด้านความปลอดภัยคลาวด์แบบผสม Karen Roby พูดคุยกับผู้เชี่ยวชาญด้านความปลอดภัยเกี่ยวกับการปกป้ององค์กรในโลกไอทีแบบไฮบริด

ต้องอ่าน Cloud

  • Cloud computing ในปี 2020: การคาดการณ์เกี่ยวกับความปลอดภัย, AI, Kubernetes และอื่น ๆ
  • ความก้าวหน้าของระบบคลาวด์ที่สำคัญที่สุดแห่งทศวรรษ
  • เดสก์ท็อปชั้นนำในฐานะผู้ให้บริการ (DaaS): Amazon, Citrix, Microsoft, VMware และอีกมากมาย
  • นโยบายการประมวลผลบนคลาวด์ (TechRepublic Premium)

โครงสร้างพื้นฐาน -as-a-Service (IaaS) มีความเสี่ยงสูงต่อการละเมิดคลาวด์ด้วย 99% ของเหตุการณ์การกำหนดค่าผิดพลาดในสภาพแวดล้อมคลาวด์สาธารณะที่ไม่ถูกตรวจพบตามรายงานของ McAfee ที่เผยแพร่ในวันนี้

IaaS เป็นพื้นที่ที่เติบโตเร็วที่สุดของคลาวด์ในฐานะที่เป็นสภาพแวดล้อมด้านไอทีเริ่มต้นใหม่สำหรับแอพพลิเคชั่นภายในและภายนอก แต่ด้วยความเร่งรีบในการนำ IaaS มาใช้ บริษัท หลายแห่งมองข้ามความต้องการด้านความปลอดภัยโดยสมมติว่าผู้ให้บริการคลาวด์กำลังจัดการกับมัน

เป็นผลให้มีการฝ่าฝืน Cloud-Native จำนวนมาก (CNB) ซึ่งเป็นการโจมตีแบบฉวยโอกาสในข้อมูลที่เปิดทิ้งไว้โดยมีข้อผิดพลาดในวิธีการกำหนดค่าสภาพแวดล้อมคลาวด์หรือการกำหนดค่าผิดพลาด

ผู้ให้บริการ IaaS ที่ได้รับความนิยมมากที่สุดคือ บริษัท ขนาดใหญ่เช่น Amazon, Microsoft, Alibaba, Google และ IBM อย่างไรก็ตามความรวดเร็วในการใช้เทคโนโลยีที่เพิ่มขึ้นนี้ทำให้ความปลอดภัยกลายเป็นสิ่งที่ตามมาภายหลังโดย 99% ของการกำหนดค่าระบบคลาวด์ที่ไม่ถูกตรวจพบโดย บริษัท Cloud Native ของ McAfee: การยอมรับโครงสร้างพื้นฐานและบริการแบบ IaaS

ผู้ให้บริการคลาวด์ 2019: คู่มือผู้ซื้อ (PDF ฟรี) (TechRepublic)

IaaS เป็นรูปแบบการประมวลผลแบบคลาวด์ที่ บริษัท สามารถให้เช่าในรูปแบบของการจัดเก็บข้อมูลเครือข่ายและเซิร์ฟเวอร์ทางกายภาพหรือเสมือนตามที่รายงานใน ZDNet's คลาวด์คอมพิวติ้งคืออะไร? ทุกสิ่งที่คุณต้องรู้เกี่ยวกับคลาวด์อธิบาย ระบบเหล่านี้มีค่าสำหรับ บริษัท ที่ต้องการพัฒนาแอปพลิเคชันด้วยตนเองและควบคุมข้อมูลทุกด้าน

รายงานซึ่งเผยแพร่เมื่อวันอังคารสำรวจองค์กรธุรกิจ 1, 000 แห่งทั่วโลกเพื่อพิจารณาปัญหาด้านความปลอดภัยที่ใหญ่ที่สุดของ IaaS ความไม่ถูกต้องของคลาวด์ครอบงำภูมิทัศน์การคุกคามทำให้ผู้บริโภคหลายล้านคนมีทรัพย์สินทางปัญญาเสี่ยงต่อการถูกขโมย

Sekhar Sarukkai รองประธานฝ่ายวิศวกรรมเพื่อความปลอดภัยของคลาวด์ที่ McAfee กล่าวว่า "การกำหนดค่าความผิดพลาดของระบบคลาวด์เป็นหนึ่งในปัญหาด้านความปลอดภัยที่สามารถป้องกันได้ แต่พบได้บ่อยที่สุด" "การกำหนดค่าผิดพลาดของระบบคลาวด์หมายถึงข้อผิดพลาดในการกำหนดค่าบริการคลาวด์ซึ่งแนะนำความเสี่ยงต่อองค์กรและข้อมูลของพวกเขาโครงสร้างพื้นฐานของคลาวด์หรือ IaaS เป็นรูปแบบที่กำหนดได้มากที่สุด

พบรายงานการกำหนดค่าผิดพลาดเพียง 1% จาก IaaS ในขณะที่ บริษัท คิดว่าพวกเขาเฉลี่ย 37 misconfigurations ต่อเดือนพวกเขาพบ 3, 500 จริง ๆ แม้จะรู้ปัญหาแล้ว 27% ก็ยังไม่ได้รับการแก้ไขและหนึ่งในสี่ของผู้ตอบแบบสอบถามกล่าวว่าต้องใช้เวลามากกว่าหนึ่งวันในการแก้ไขปัญหา

Sarukkai กล่าวว่าการรั่วไหลของเมฆบนระบบคลาวด์นั้นไม่เหมือนกับการโจมตีจากมัลแวร์ทั่วไป ค่อนข้างรายงานระบุว่าการละเมิดคลาวด์เป็น "ชุดของการกระทำโดยนักแสดงฝ่ายตรงข้ามที่พวกเขา 'ที่ดิน' การโจมตีของพวกเขาโดยการใช้ประโยชน์จากข้อผิดพลาดหรือช่องโหว่ในการปรับใช้ระบบคลาวด์โดยไม่ต้องใช้มัลแวร์ อินเทอร์เฟซที่ได้รับการป้องกันเพื่อค้นหาข้อมูลที่มีค่าและ 'Exfiltrate' ข้อมูลนั้นไปยังที่เก็บข้อมูลของตนเอง

รูปภาพ: McAfee

เหตุใดธุรกิจจึงไม่จัดการการละเมิดเหล่านี้

พบช่องว่างการสื่อสารที่สำคัญในองค์กรนำไปสู่การละเมิดซ้ำ ๆ เหล่านี้รายงานพบ ในขณะที่ 90% ของ บริษัท กล่าวว่าพวกเขาประสบปัญหาด้านความปลอดภัยกับ IaaS ผู้มีส่วนร่วมในการตัดสินใจด้านไอที 12% ซึ่งเป็นผู้ที่ใกล้เคียงกับสภาพแวดล้อมของ IaaS มากที่สุดคิดว่าพวกเขาไม่เคยประสบปัญหาและ 6% ของ CXO อ้างว่าไม่มีปัญหา .

“ การปลดการเป็นผู้นำผู้ประกอบการนำไปสู่การรักษาความปลอดภัยที่ผิดพลาดของผู้ปฏิบัติงาน” ศรัคไกกล่าว "การปลดการเชื่อมต่อนี้นำไปสู่การเป็นผู้นำระดับสูงที่น่าพึงพอใจและตัดสินใจจัดลำดับความสำคัญแบบไม่ดีความพึงพอใจนี้สะท้อนจากการค้นพบของเราว่ามี บริษัท เพียง 26% เท่านั้นที่สามารถตรวจสอบความผิดพลาดของ IaaS

ความเร็วของการยอมรับ IaaS เป็นสาเหตุหลักสำหรับผู้ปฏิบัติงานที่ล้มเหลวในการติดตามรายงานพบ โครงสร้างพื้นฐานมีการเปลี่ยนแปลงอย่างรวดเร็วในระบบคลาวด์สร้างห้องสำหรับข้อผิดพลาดเพิ่มเติมเนื่องจากมีการวางจำหน่ายรหัสในการบูรณาการอย่างต่อเนื่องและการจัดส่งอย่างต่อเนื่อง (CI / CD)

“ นอกจากนี้องค์กรส่วนใหญ่เป็น multicloud ซึ่งหมายความว่าพวกเขาใช้ผู้ให้บริการคลาวด์หลายตัวสำหรับโครงสร้างพื้นฐานซึ่งเพิ่มความยากในการตรวจสอบการกำหนดค่าข้ามแพลตฟอร์มหลายแพลตฟอร์ม” Sarukkai กล่าว

IaaS: เงาใหม่

ทีมไอทีไม่สามารถรักษาความปลอดภัยสิ่งที่พวกเขาไม่รู้ จุดเริ่มต้นของการปรับใช้คลาวด์เริ่มต้นด้วยแอพที่พนักงานซื้อมาเพื่อการทำงานร่วมกันและการแบ่งปันไฟล์ซึ่งไอทีไม่เคยรู้มาก่อน

ด้วยการเพิ่มขึ้นของซอฟต์แวร์เป็นบริการ (SaaS) ทีมไอทีสามารถติดตามและแนะนำแอปพลิเคชันที่มีประโยชน์ที่สุดสำหรับธุรกิจ แนวโน้มที่คล้ายกันเกิดขึ้นกับพื้นผิวโครงสร้างพื้นฐานโดยเฉพาะกับผู้ให้บริการรายใหญ่เช่น Amazon Web Services และ Microsoft Azure ผู้ให้บริการแต่ละรายมีบริการพิเศษที่สนับสนุนกรณีศึกษาทางธุรกิจสำหรับการพัฒนาสภาพแวดล้อม multicloud โดยที่ผู้ให้บริการ IaaS หลายรายจะถูกใช้ ปัจจุบันแอปพลิเคชั่นจำนวนมากถูกสร้างขึ้นบนคลาวด์ไปที่คลาวด์ แต่ multicloud ทำให้มันยากสำหรับ บริษัท ในการรักษาการควบคุมและการมองเห็นสถาปัตยกรรม IaaS ทั้งหมดของพวกเขา

มาตรการความปลอดภัยของธุรกิจที่ควรทำ

เพื่อช่วยให้ธุรกิจปกป้องโครงสร้าง IaaS ได้ดียิ่งขึ้น Sarukkai ระบุกลยุทธ์ความปลอดภัยสามประการต่อไปนี้:

1. สร้างการตรวจสอบการกำหนดค่า IaaS ในกระบวนการ CI / CD ของคุณ

บริษัท ต่างๆจะต้องดำเนินการตามขั้นตอนนี้ แต่เนิ่นๆซึ่งอาจเป็นการเช็คอินรหัสเพื่อลดจำนวนการกำหนดค่าผิดพลาดที่เกิดขึ้น ผู้จัดการฝ่ายไอทีควรมองหาเครื่องมือรักษาความปลอดภัยที่สามารถทำงานร่วมกับเจนกินส์, Kubernetes และอื่น ๆ เพื่อให้กระบวนการตรวจสอบและแก้ไขอัตโนมัติเป็นไปอย่างมีประสิทธิภาพ

2. ประเมินแนวทางปฏิบัติด้านความปลอดภัย IaaS ของคุณโดยใช้เฟรมเวิร์กเช่น Land-Expand-Exfiltrate

ด้วยการตรวจสอบการปฏิบัติของคุณกับการโจมตีทั้งหมด บริษัท มีโอกาสที่ดีกว่าในการหยุดการละเมิดก่อนที่จะพ้นมือ

3. ลงทุนในเครื่องมือรักษาความปลอดภัยบนคลาวด์และการฝึกอบรมสำหรับทีมรักษาความปลอดภัย

เครื่องมือความปลอดภัยที่คุ้มค่าบางอย่าง ได้แก่ Cloud Access Security Brokers (CASBs), Cloud Security Posture Management (CSPM) และ Cloud Workload Protection Platform (CWPP) ทั้งสามถูกสร้างขึ้นเพื่อทำงานภายในกระบวนการ DevOps และ CI / CD โดยไม่ต้องคัดลอกคาร์บอนของการรักษาความปลอดภัยศูนย์ข้อมูลในสถานที่

ตลาดคลาวด์สาธารณะ Infrastructure-as-a-Service (IaaS) ขยายตัว 31.3% ในปี 2561 กลายเป็นสภาพแวดล้อมไอทีแบบ go-to IT สำหรับการโฮสต์แอพพลิเคชั่นภายในและที่ลูกค้าหันมาใช้ในองค์กรตามการวิเคราะห์ส่วนแบ่งตลาดของ Gartner: IaaS และ IUS ทั่วโลกรายงานปี 2018

หากต้องการข้อมูลเพิ่มเติมให้ตรวจสอบความปลอดภัยบนคลาวด์นั้นสำคัญเกินกว่าที่จะปล่อยให้ผู้ให้บริการคลาวด์บนเว็บไซต์ ZDNet ของเรา

บริการจดหมายข่าวคลาวด์และทุกอย่าง

นี่คือทรัพยากรไปสู่ล่าสุดของ AWS, Microsoft Azure, แพลตฟอร์ม Google Cloud, XaaS, ความปลอดภัยบนคลาวด์และอีกมากมาย จัดส่งวันจันทร์

สมัครวันนี้

ยังดู

  • Multicloud: แผ่นโกง (TechRepublic)
  • ไฮบริดคลาวด์: คำแนะนำสำหรับผู้เชี่ยวชาญด้าน IT (ดาวน์โหลด TechRepublic)
  • การคำนวณแบบไม่มีเซิร์ฟเวอร์: คู่มือสำหรับผู้นำด้านไอที (TechRepublic Premium)
  • ผู้ให้บริการคลาวด์ชั้นนำ 2019: AWS, Microsoft, Azure, Google Cloud; IBM ทำการย้ายแบบไฮบริด Salesforce ครอง SaaS (ZDNet)
  • สุดยอดบริการคลาวด์สำหรับธุรกิจขนาดเล็ก (CNET)
  • Microsoft Office เทียบกับ Google Docs Suite เทียบกับ LibreOffice (Download.com)
  • การประมวลผลแบบคลาวด์: พื้นที่ที่ต้องอ่านเพิ่มเติม (TechRepublic บน Flipboard)
ภาพ: ศิลปิน, เก็ตตี้อิมเมจ / iStockphoto

© Copyright 2020 | mobilegn.com