Video: A Cloud Security Architecture Workshop (Oktober 2024)
Det kommende året lover betydelig vekst for offentlige leverandører av skytjenester og leverandører av programvare-som-en-tjeneste (SaaS). For det første leverer nye teknologier på grunnleggende nivå som distribusjoner av mikroservice og blockchain, uutnyttede veier for innovasjon. Men kanskje enda viktigere, ser det ut til at en av de oftest CIO-siterte skyvedtaksblokkene (nemlig sikkerhet og datasikkerhet) endelig beveger seg til bakgrunnen, spesielt for bedrifter og mellomstore bedrifter.
Selv om analytikere er enige om at de fleste virksomheter i dag - inkludert virksomheten og mellomstore segmenter - har forskjellige skydistribusjoner i ulik grad, er de også enige om at større organisasjoner har hatt det tregt med å flytte store arbeidsmengder til skyen, med den primære grunnen til å være skysikkerhet og data sikkerhet. Det er viktig for disse kundene, ikke bare på grunn av de enorme datamengdene disse organisasjonene vil migrere, men også fordi det er viktig for dem å overholde strenge overholdelses- og myndighetskontroller, for eksempel Health Insurance Portability and Accountability Act (HIPAA) og ISO 27001. å gjøre forretninger. Sikkerhet er høyest mulig for disse CIO-ene, og inntil nylig var det rett og slett ikke robust nok til at de kunne adoptere skyen i stor skala.
Men ifølge analytikerspådommer for 2017, er det alt i ferd med å endre seg. Skysikkerhet har kommet veldig langt det siste halve tiåret, og det ser ut til at mange IT-fagfolk og CIO-er er enige. Dette betyr at analytikere spår at vi vil se mye større utnyttelse av skyinfrastruktur og tjenester fra bedriftssektoren i 2017.
Jeg gjennomførte et e-postintervju med Brian Kelly, Chief Security Officer hos den kjente administrerte skyleverandøren Rackspace, for å finne ut hva som endrer seg med skysikkerhet det kommende året - og for å se om han var enig i disse analytikernes spådommer.
PCMag: Nøyaktig hvordan ser Rackspace sin rolle i forhold til kundenes IT-ansatte når det gjelder datasikkerhet og sikkerhet?
Brian Kelly (BK): Vi ser direkte bevis på at kunder kommer til skyen på grunn av sikkerhet i stedet for å stikke av fra den. Med få unntak har selskaper rett og slett ikke ressurser og ferdigheter til effektivt å forsvare organisasjonene sine mot de mer sofistikerte og vedvarende truslene. Tilsvarende anerkjenner skyleverandører at fremtiden til våre virksomheter er avhengig av å levere tillit og tillit gjennom effektiv sikkerhetspraksis. Til tross for skyleverandørers økte investeringer i sikkerhet, vil det alltid være et delt ansvar å beskytte organisatoriske eiendeler. Mens nettskyleverandøren er direkte ansvarlig for beskyttelsen av fasiliteter, datasentre, nettverk og virtuell infrastruktur, har forbrukere også et ansvar for å beskytte operativsystemer, applikasjoner, data, tilgang og legitimasjon.
Forrester myntet begrepet "ujevn håndtrykk" med henvisning til dette delte ansvaret. I noen henseender mener forbrukere at de byrder byrden for sikkerheten til dataene sine. Dette kan ha vært sant for noen år siden; Vi er imidlertid vitne til en balansering av håndtrykkene. Det vil si, og skylverandørene kan og bør gjøre mer for at forbrukere kan dele ansvaret for sikkerhet. Dette kan ha form av ganske enkelt å gi større synlighet og gjennomsiktighet i vert arbeidsmengder, gi tilgang til kontrollfly eller tilby administrerte sikkerhetstjenester. Mens forbrukerens sikkerhetsansvar aldri vil forsvinne, vil nettskyleverandører fortsette å ta på seg mer ansvar og levere verdiøkende administrerte sikkerhetstilbud for å bygge den tilliten som er nødvendig for at begge sider skal kunne fungere trygt i skyen.
PCMag: Har du noen råd til IT-fagfolk og bedriftskunder om hva de kan gjøre i tillegg til hva en leverandør leverer for å beskytte sine skybaserte data selv?
BK: De må fortsette å implementere sikkerhetspraksis innen enklene sine. De må segmentere arbeidsmengden i enklaven på en ansvarlig måte for å begrense omfanget av kompromisser, sikre at arbeidsmengdemiljøene (operativsystemer, containere, virtuelle LAN) er ordentlig sikret og lappet, utnytte endepunkt- og nettverksnivå sensing og respons teknologier (IDS / IPS, gjenkjenning og inneslutning av skadelig programvare), og administrer kontoer og tilganger aktivt. Ofte kan kunder inkludere disse tjenestene og teknologiene i skybruksavtalene, men hvis ikke, må forbrukeren sørge for at det skjer på deres side.
PCMag: Et sentralt spørsmål vi har sett leserne stille er om effektivt forsvar mot massive Internet of Things (IoT) -styrte distribuerte denial of service (DDoS) angrep, i likhet med hendelsen i oktober der en kinesisk IoT-leverandør utilsiktet bidro sterkt til angrepet. Fungerer slike angrep med oppstrøms Internett-leverandører? Og hvordan holder de et angrep på en klient fra å ta ned alle i et anlegg?
BK: Hovedmålet med DDoS-forsvaret er å opprettholde tilgjengeligheten når den er under angrep. DDoS-angrepsmulighetene til IoT er velkjente og kan vellykkes dempes ved å implementere beste praksis for sikkerhet og ved å bruke intelligente DDoS-avbøtningssystemer. Den største trusselen er ikke metoden for angrepene fra IoT, men det enorme antallet sårbare internettaktiverte enheter. Nettverk må være innelåst for å begrense eksponeringen for trusler på internett. Nettverksoperatører må være proaktive når det gjelder å oppdage alle mulige trusler og kjenne til de mest effektive teknikkene for å dempe dem, samtidig som de opprettholder evnen til å analysere og klassifisere all nettverkstrafikk.
En sterk DDoS-begrensningsstrategi krever å ta en lagdelt, defensiv tilnærming. Det store antallet IoT-enheter gjør dempende IoT-angrep vanskelig for småskala nettverk. Effektiviteten av et IoT-angrep er fleksibiliteten til å generere forskjellige angrepsvektorer og produsere massiv, stort volum DDoS-trafikk. Selv det mest herdede nettverket kan raskt bli overveldet av det enorme volumet av trafikk som IoT kan generere i hendene på en dyktig angriper. Oppstrøms internettleverandører er ofte bedre utstyrt og bemannet til å håndtere disse storskala angrepene som raskt vil mette små nettverksforbindelser. Videre setter omfanget av å betjene et nettverk og verktøyene som er nødvendige for å dempe slike angrep effektiv deteksjon og respons utenfor rekkevidde for de fleste organisasjoner. En bedre løsning er å outsourcere slike operasjoner til oppstrøms Internett-leverandører av nettskyleverandører som allerede jobber med denne nettverksskalaen.
Oppstrøms internettleverandører har mange fordeler gjennom et robust mangfold av internettilgangspunkt som de kan skifte trafikk over. De har også stort nok datarør til å absorbere mye DDoS-trafikk til å begynne med mens responsaktivitetene for å dirigere trafikk snurrer opp. "Oppstrøms" er et godt begrep fordi det er noe analogt med en serie med demninger langs en elv. Under en flom kan du beskytte husene nedstrøms ved å bruke hver demning for å fange gradvis mer vann i hver innsjø opprettet av demningen og måle strømmen for å forhindre flom nedstrøms. Båndbredde og tilgangspunktdiversitet for oppstrøms Internett-leverandører gir samme type spenst. De har også protokoller som er forhandlet over hele internettfellesskapet for å avvise DDoS-trafikk nærmere kildene de kan aktivere.
Som med andre hendelsesresponsaktiviteter, er planlegging, forberedelse og praksis avgjørende. Ingen to angrep er nøyaktig de samme, og det er derfor avgjørende å forutse alternativer og omstendigheter og planlegge og øve for dem. For IoT-angrepsscenarier, som inkluderer skanning av nettverket etter sårbare enheter og utbedring. Du bør også sørge for å hemme skanning utenfor nettverket etter sårbare IoT-enheter. For å hjelpe, implementere streng tilgangskontroll og herding av operativsystemet, og utvikle prosedyrer for å lappe forskjellige kodeversjoner, nettverksenheter og applikasjoner.
Klikk på bildet for å få full infographic. Bildekreditt : Twistlock
PCMag: Et annet spørsmål leserne stiller oss handler om containersikkerhet. Bekymrer du deg om våpnede containere som kan inneholde komplekse angrepssystemer, eller tror du at arkitekturen beskytter mot utnyttelse som det?
BK: Sikkerhet med nylig vektlagt teknologi er alltid en økt bekymring - containere er ikke unike i dette aspektet. Men som med mange sikkerhetsutfordringer, er det avveininger. Selv om det kan være økt risiko, tror vi også det er effektive avbøtningsstrategier for risikoen vi kan kontrollere.
En beholder er egentlig et veldig forbigående og lett, virtualisert operativsystemmiljø. Er virtuelle maskiner mindre sikre enn separate fysiske servere? De er det i de fleste tilfeller. Imidlertid ser mange virksomheter kostnadsfordelene ved virtualisering (mindre forbruk, enklere å administrere, kan omformere maskiner enkelt), og de velger å utnytte dem mens de reduserer så mange risikoer som de kan. Intel skjønte til og med at de kunne bidra til å dempe noen av risikoene selv, og det var der Intel VT kom fra.
Beholdere tar de første kostnadsbesparelsene og fleksibiliteten ved virtualisering videre. de er også mer risikofylte siden det er en veldig tynn vegg mellom hver container og operativsystemet for verten. Jeg kjenner ikke til maskinvarestøtte for isolering, så det er opp til kjernen å holde alle på linje. Bedrifter må veie kostnadene og fleksibiliteten fordelene med denne nye teknologien sammen med denne risikoen.
Linux-eksperter er bekymret fordi hver container deler vertenens kjerne, noe som gjør overflaten til utnyttelse mye større enn tradisjonelle virtualiseringsteknologier, som KVM og Xen. Så det er potensiale for et nytt angrep der en angriper hacker privilegier i en container for å få tilgang til - eller påvirke forholdene i - en annen container.
Vi har foreløpig ikke mye i veien for intracontainerspesifikke sikkerhetssensorer. Det området av markedet må modnes, etter min mening. I tillegg kan ikke containere bruke sikkerhetsfunksjonene som er innebygd i CPUer (som Intel VT) som gjør at kode kan kjøres i forskjellige ringer, avhengig av privilegienivået.
Til slutt er det mange utnyttelser for fysiske servere, virtuelle maskiner og containere. Nye dukker opp hele tiden. Selv luftgapede maskiner blir utnyttet. IT-fagfolk bør være bekymret for sikkerhetskompromisser på alle disse nivåene. Mye av forsvaret er de samme for alle disse distribusjonstypene, men hver og en har sine egne ekstra sikkerhetsforsvar som må brukes.
Vertsleverandøren må bruke Linux-sikkerhetsmoduler (for eksempel SELinux eller AppArmor) for å isolere containere, og dette systemet må overvåkes nøye. Det er også viktig å holde vertskjernen oppdatert for å unngå utnyttelse av lokale privilegier. Unik ID-isolasjon (UID) hjelper også siden det forhindrer at en rotbruker i beholderen faktisk blir rot på verten.
PCMag: En grunn til at PCMag.com ikke har kjørt en storstilt sammenligning av Managed Security Service Providers (MSSPs) er fordi det er forvirring i bransjen om nøyaktig hva det uttrykket betyr og hva den leverandørklassen kan og bør levere. Kan du bryte ned Rackspaces administrerte sikkerhetstjeneste? Hva det gjør, hvordan det skiller seg fra andre leverandører, og hvor du ser det gå slik at leserne kan få et godt inntrykk av hva de melder seg på når de bruker en slik tjeneste?
BK: MSSPs må akseptere at sikkerheten ikke har fungert og justere strategien og operasjonene deres for å være mer effektive i dagens trussellandskap - som inneholder mer sofistikerte og vedvarende motstandere. Hos Rackspace erkjente vi denne trusselendringen og utviklet nye evner som var nødvendige for å dempe dem. Rackspace Managed Security er en 24/7/365 avansert gjenkjennings- og responderoperasjon. Det er designet ikke bare for å beskytte selskaper mot angrep, men for å minimere virkningen av virksomheten når angrep skjer, selv etter at et miljø er hacket.
For å oppnå dette justerte vi strategien på tre måter:
Vi fokuserer på dataene, ikke på omkretsen. For å effektivt svare på angrep, må målet være å minimere virkningen av virksomheten. Dette krever en omfattende forståelse av selskapets virksomhet og konteksten til dataene og systemene vi beskytter. Først da kan vi forstå hvordan det normale ser ut, forstå et angrep og svare på en måte som minimerer innvirkningen på virksomheten.
Vi antar at angripere har fått tilgang til nettverket og bruker dyktige analytikere for å jakte på dem. Når de er på nettverket, er det vanskelig å angripe verktøy for å identifisere fordi avanserte angripere for sikkerhetsverktøy ser ut som administratorer som utfører normale forretningsfunksjoner. Våre analytikere søker aktivt etter aktivitetsmønstre som verktøy ikke kan varsle om - disse mønstrene er fotavtrykkene som fører oss til angriperen.
Å vite at du er under angrep er ikke nok. Det er viktig å svare på angrep når de oppstår. Vårt kundesikkerhetsoperasjonssenter bruker en portefølje av "forhåndsgodkjente handlinger" for å svare på angrep så snart de ser dem. Dette er egentlig kjørte bøker vi har prøvd og testet for å lykkes med å håndtere angrep når de skjer. Kundene våre ser disse kjørebøkene og godkjenner analytikerne våre for å henføre dem under ombordstigning. Som et resultat er analytikere ikke lenger passive observatører - de kan aktivt slå av en angriper så snart de blir oppdaget, og ofte før utholdenhet oppnås og før virksomheten påvirkes. Denne muligheten til å svare på angrep er unik for Rackspace fordi vi også administrerer infrastrukturen som vi beskytter for våre kunder.
I tillegg finner vi at etterlevelse er et biprodukt av sikkerhet gjort godt. Vi har et team som utnytter strengheten og beste praksis vi implementerer som en del av sikkerhetsoperasjonen, ved å bevise og rapportere om samsvarskravene vi hjelper våre kunder å oppfylle.
PCMag: Rackspace er en stor talsmann, faktisk en kreditert grunnlegger, av OpenStack. Noen av våre IT-lesere har spurt om sikkerhetsutvikling for en så åpen plattform faktisk er tregere og mindre effektiv enn for et lukket system som Amazon Web Services (AWS) eller Microsoft Azure på grunn av det opplevde "for mange kokker" -dilemmaet som plager mange store open source-prosjekter. Hvordan svarer du på det?
BK: Med open source-programvare blir "bugs" funnet i det åpne samfunnet og fikset i det åpne samfunnet. Det er ingen måte å skjule omfanget eller virkningen av sikkerhetsspørsmålet. Med egen programvare er du prisgitt av programvareleverandøren for å fikse sårbarheter. Hva om de ikke gjør noe med en sårbarhet i seks måneder? Hva om de savner en rapport fra en forsker? Vi ser på alle de "for mange kokkene" du omtaler som en enorm programvaresikkerhetsaktivering. Hundrevis av smarte ingeniører ser ofte på hver del av en stor open source-pakke som OpenStack, noe som gjør det virkelig vanskelig for feil å skli gjennom sprekkene. Diskusjonen om feilen og evalueringen av alternativer for å reparere den skjer i det fri. Private programvarepakker kan aldri motta denne typen analyse per kodelinjenivå, og fikseringen vil aldri få så åpen vetting.
Programvare med åpen kildekode tillater også avbøtninger utenfor programvarestabelen. Hvis det for eksempel vises et OpenStack-sikkerhetsproblem, men en skyleverandør ikke kan oppgradere eller opprette sikkerhetsproblemet umiddelbart, kan andre endringer gjøres. Funksjonen kan være midlertidig deaktivert, eller brukerne kan forhindres i å bruke den via policy-filer. Angrepet kan bli effektivt dempet inntil en langvarig løsning blir brukt. Programvare med lukket kilde tillater det ofte ikke siden det er vanskelig å se hva som må dempes.
Dessuten sprer open source samfunn raskt kunnskap om disse sikkerhetsproblemene. Spørsmålet om "Hvordan forhindrer vi at dette skjer senere?" blir spurt raskt, og overleggelse foregår i samarbeid og i det fri.
PCMag: La oss slutte med det opprinnelige spørsmålet for dette intervjuet: Er du enig med analytikere i at 2017 vil være et "breakout" år når det gjelder enterprise cloud-adopsjon, hovedsakelig eller i det minste delvis på grunn av bedriftens aksept av sky leverandørens sikkerhet?
BK: La oss gå et øyeblikk tilbake for å diskutere de forskjellige skymiljøene. Det meste av spørsmålet ditt peker mot det offentlige skymarkedet. Som jeg nevnte ovenfor, har Forrester-forskere bemerket den "ujevn håndtrykk" mellom nettskydeleverandører og forbrukere ved at skyleverandørene tilbyr et sett med tjenester, men skyforbrukere antar ofte at de får mye mer når det gjelder sikkerhet, sikkerhetskopiering, elastisitet, osv. Jeg har tatt til orde siden jeg begynte i Rackspace for at nettskyleverandører må utjevne det håndtrykkene ved å være mer gjennomsiktige med våre forbrukere. Ingen steder er håndtrykkene jevnere, fremdeles i dag, enn i offentlige skymiljøer.
Private skymiljøer, og spesielt de som implementeres i forbrukerens egne, lider ikke like mye av slike illusjoner. Forbrukerne er mye tydeligere om hva de kjøper og hva leverandørene gir dem. Likevel, ettersom forbrukere har hevet forventningene i kjøpsprosessen og skyleverandører har trappet opp spillene våre for å levere mer komplette tjenester og åpenhet, faller de emosjonelle og risikorelaterte hindringene for å flytte arbeidsmengder fra et tradisjonelt datasenter til et offentlig skymiljø raskt.
Men jeg tror ikke dette vil skape et stempel mot skyen i 2017. Å flytte arbeidsmengder og hele datasentre innebærer betydelig planlegging og organisasjonsendring. Det er langt forskjellig fra å oppgradere maskinvaren i et datasenter. Jeg oppfordrer leserne dine til å studere Netflix-overgangen; de forvandlet virksomheten ved å flytte til skyen, men det tok dem syv år med hardt arbeid. For det første fabrikkarbeidet de og skrev de fleste appene sine på nytt for å gjøre dem mer effektive og bedre tilpasset skyen.
Vi ser også at mange forbrukere tar i bruk private skyer i deres datasentre ved bruk av en hybrid skyarkitektur som utgangspunkt. Disse ser ut til å være akselererende. Jeg tror adopsjonskurven kunne se en albue opp i 2017, men det vil ta noen år før svellen virkelig bygger seg.
