15.12.2020.

Izgradnja jače sigurnosti multiclouda: Ako je složenost neprijatelj sigurnosti, multicloud predstavlja strašnog neprijatelja

Ako je složenost neprijatelj sigurnosti, multicloud predstavlja strašnog neprijatelja. Mary K. Pratt, CSO, pitala je nekoliko stručnjaka za savjete o suočavanju s izazovima osiguranja multiclouda.

IT sektor je prihvatio je multicloud model, a istraživanja pokazuju da gotovo sve organizacije sada koriste više pružatelja usluga u oblaku, kao i brojna rješenja temeljena na oblaku. Zapravo, analitička tvrtka IDC očekuje da će više od 90 posto poduzeća širom svijeta imati više javnih oblaka do 2022. godine. Izvješće o stanju u oblaku za 2020. od Flexere, dobavljača rješenja za upravljanje IT-om, otkrilo je da 93 posto poduzeća ima strategiju multiclouda – što je porast od 81 posto prije dvije godine - s tim da ispitanici sada koriste prosječno 2,2 javna i 2,2 privatna oblaka. Ali širenje kombinacije javnih i privatnih oblaka, kao i aplikacija te softvera kao usluge u tipičnom poduzeću, također je iznjedrilo sve veće sigurnosne probleme. Otprilike 83 posto poduzeća koja su sudjelovala u anketi Flexera navelo je sigurnost kao izazov - ispred briga oko upravljanja potrošnjom u oblaku (na popisu 82 posto) i upravljanja (citiranog 79 posto).

Izazov raste

„Izazov koji multicloud predstavlja sigurnosnim timovima i dalje raste. Broj usluga na raspolaganju, novi načini interakcije, međusobno povezivanje usluga i sustava, sve to nastavlja napredovati i sve to dodaje nove složenosti u sigurnosni model poduzeća “, kaže Randy Armknecht, generalni direktor u konzultantskoj tvrtki Protiviti.

Visoka razina zabrinutosti zbog osiguranja okruženja multiclouda nije iznenađujuća, jer su CISO vidjeli kako se opseg onoga što moraju zaštititi premješta s infrastrukture poduzeća na mrežu računalnih resursa raširenih među različitim dobavljačima koji nude različite razine usluga. Ovo ogromno i bezgranično okruženje stvara veću metu za napade zlonamjernog softvera, kršenja podataka, kršenje propisa i probleme vezane uz otpornost. Zbog ove dodatne složenosti multicloud postaje vektor napada, kaže Sai Gadia, partner u KPMG-u.  "A ako postoji bilo kakva rupa u vašim klasičnim procesima, tehnologiji ili među ljudskim kadrom, onda loši akteri na sceni to žele iskoristiti."

Tipična korporativna IT infrastruktura i rješenja danas uključuju ne samo javnu i privatnu implementaciju oblaka, već i prosječno 288 različitih SaaS ponuda, prema izvještaju SaaS Trends za 2020. od tehnološkog dobavljača Blissfully. Ti različiti elementi imaju različite sigurnosne zahtjeve, kao i različite razine i vrste ugrađenih sigurnosnih mogućnosti. Različiti davatelji usluga u oblaku imaju različite alate, često koriste različite izraze za istu klasu alata i imaju različite pozicije u pogledu svojih sigurnosnih odgovornosti. Sve ovo nameće da CISO-i moraju povezati kohezivnu cjelinu koja dokumentira jesu li sigurnosne značajke koje pruža oblak odgovarajuće, je li potrebna veća sigurnost i gdje su i koje dodatne sigurnosne mjere zajamčene.

„Oblak je trebao učiniti naš život jednostavnijim i to na mnogo načina; pruža puno prednosti. Ali iz sigurnosne perspektive dodaje puno složenosti jer toliko toga treba učiniti ", kaže Garrett Bekker, viši analitičar za informacijsku sigurnost u 451 Research, dijelu S&P Global Market Intelligence. Ispitanici u istraživanju prijetnji u oblaku za 2020. iz Oraclea i KPMG-a naveli su složenost kao značajan izazov, pri čemu je 70 posto ispitanika reklo da je potrebno previše specijaliziranih alata za osiguranje njihovih javnih otisaka u oblaku, a 78 posto istaknulo je potrebu za različitim sigurnosnim politikama i postupcima između njihove rezidencijalne i lokalne aplikacije u oblaku. To je dovelo do uspona još jednog poznatog neprijatelja sigurnosti: nedostatka vidljivosti. "Kako uzimati sve različite informacije koje dobivate od različitih pružatelja i oblikovati jedinstvenu perspektivu upravljanja?" pita se Ed Moyle,  vodeći programer Upravljanja sigurnosnim utjecajima ISACA.

Izazov vidljivosti

Izazov vidljivosti je višeslojan, kaže Kathy Wang, CISO u tvrtki Very Good Security. Na primjer, neki timovi za sigurnost poduzeća nemaju uvid u sve implementacije u oblaku u organizaciji (posebno kada se uzimaju u obzir SaaS ponude koje su izravno kupile poslovne jedinice). Čak i kad se to dogodi, mnogi se bore s nadgledanjem svih različitih implementacija oblaka kako bi otkrili probleme. A drugi se bore sa sastavljanjem i razumijevanjem svih podataka iz alata za upravljanje incidentima. Osmišljavanje sigurnosne strategije za multicloud započinje identificiranjem svih oblaka koje poduzeće koristi, osiguravajući da poduzeće ima robustan program upravljanja podacima za usmjeravanje sigurnosnih odluka povezanih s oblakom i primjenom pravih alata na pravim mjestima za uspostavljanje odgovarajuće razine kontrole. "Poduzeće mora uskladiti svoje alate, procese, mogućnosti praćenja, operativni način razmišljanja i brojne druge elemente svog sigurnosnog plana kako bi uzelo u obzir da je više dobavljača u igri", kaže ISACA u svom članku „Upravljanje sigurnosnim učincima u multicloud okruženju“. Sai Gadia, KPMG kaže da se CISO-i kreću u tom smjeru, napominjući da istraživanje Oracle-KPMG pokazuje da organizacije imaju više sigurnosnih stručnjaka u oblaku nego običnih sigurnosnih stručnjaka. Ipak, Gadia kaže da mnogi sigurnosni timovi moraju nastaviti dodavati osoblje koje ima sve vještine potrebne za stvaranje sigurne arhitekture u oblaku.

Tri ključna koraka za jaču sigurnost multiclouda:
 

1. Pazite na svoje aplikacije i podatke. Važnost sigurnosti aplikacije u multicloud okruženju ne može se podcijeniti. "Sada je, više nego ikad, robustan i čvrst pristup osiguranju aplikacija ključan", kaže Ramsés Gallego, međunarodni direktor za sigurnost, rizike i upravljanje u Micro Focusu.  
Gallego dodaje da su „upravljanje podacima, minimiziranje podataka i, što je najvažnije, anonimizacija i šifriranje podataka temeljni stupovi „katedrale“ koju tvrtke žele graditi. Kao i u građevinarstvu, pronađeni podaci moraju biti čvrsti i kao što neki propisi ukazuju, nužno je odabrati odgovarajuću strategiju za maskiranje i skrivanje podataka (tokenizacija, šifriranje, itd.)."


2. Upotrijebite prave alate. Sastavljanje odgovarajuće kombinacije alata i tehnologija za jedinstvenu kombinaciju rješenja u oblaku svake organizacije zahtijeva posao, kaže Wang, s obzirom na varijacije sigurnosnih značajki ugrađenih u različite ponude u oblaku. Stoga su CISO-i prisiljeni detaljno odrediti koja rješenja gdje rade i odabrati rješenja koja se mogu proširiti kroz njihovo oblačno okruženje kako bi stvorili jedno staklo na sigurnosnoj sceni. Kao takvi, stručnjaci navode potrebu za tehnologijama kao što su posrednici za sigurnost u oblaku (CASB), softver koji poduzeće postavlja između sebe i pružatelja usluga u oblaku radi konsolidacije i provođenja sigurnosnih mjera kao što su provjera autentičnosti, mapiranje vjerodajnica, profiliranje uređaja, šifriranje i otkrivanje zlonamjernog softvera.

Stručnjaci također preporučuju upravljanje sigurnosnim položajem u oblaku (CSPM), noviju tehnologiju koja procjenjuje poslovno okruženje u oblaku prema sigurnosnim zahtjevima kako bi se postigla kontinuirana usklađenost konfiguracija oblaka. "CASB-ovi su i dalje relevantni, ali su usredotočeni na SaaS, dok je CSPM šire usmjeren na sve modele usluga u oblaku (IaaS, PaaS, SaaS)", kaže Juan Perez-Etchegoyen, istraživač i supredsjedatelj ERP-ove radne skupine za sigurnost u neprofitnoj trgovinskoj organizaciji Cloud Security Alliance (CSA).

3. Sigurnosni čelnici također savjetuju CISO-ima da krenu prema primjeni tehnologija koje podržavaju model nultog povjerenja - model koji pretpostavlja da veze nisu pouzdane, osim ako i dok se ne dokažu povjerljivima.  Ovaj način razmišljanja shvaća sve kao nepouzdano kako bi se pomoglo sigurnosnim timovima da zaštite tvrtku, između ostaloga, i od pružatelja usluga u oblaku čija ugrađena sigurnost nije toliko robusna koliko organizacija zahtijeva. To zahtijeva suradnju između svih dionika u poduzeću kako bi se uravnotežile poslovne potrebe, sigurnosni ciljevi i obveze usklađenosti. "Potrebno je voditi strateški razgovor na višoj razini o tome kako upravljamo rizikom za oblak i kako priroda razvoja oblaka u našoj organizaciji utječe na to kako donosimo odluke o riziku s tehnologijom", kaže Fernando Montenegro, glavni analitičar istraživanja za informacijsku sigurnost u 451 Research. (N.G.K.)