У дома Бизнес Поглед върху индустрията: как ще се развие облачната сигурност през 2017 г.?

Поглед върху индустрията: как ще се развие облачната сигурност през 2017 г.?

Видео: Время и Стекло Так выпала Карта HD VKlipe Net (Ноември 2024)

Видео: Время и Стекло Так выпала Карта HD VKlipe Net (Ноември 2024)
Anonim

Идващата година обещава значителен растеж за доставчиците на обществени облачни услуги и доставчиците на софтуерни услуги като SaaS. От една страна, новите технологии на основно ниво като внедряване на микросервизи и блокчейн, наред с други, предлагат неизползвани пътища за иновации. Но може би дори по-важното е, че един от най-често цитираните CIO блокери за приемане на облаци (а именно сигурността и безопасността на данните) най-накрая се придвижва на заден план, особено за предприятия и средни предприятия.

Докато анализаторите са съгласни, че повечето фирми днес - включително предприятията и средните сегменти - имат някои облачни разгръщания в различна степен, те също са съгласни, че по-големите организации са бавни за преместване на големи натоварвания в облака, като основната причина е дадена облачна сигурност и данни безопасност. Това е важно за тези клиенти не само поради огромния обем от данни, които тези организации биха мигрирали, но и защото преминаването към строги проверки за съответствие и регулаторни норми, като Закона за преносимостта и отчетността на здравното осигуряване (HIPAA) и ISO 27001, е изключително важно за тях да правим бизнес. Сигурността е на първо място за тези CIO и доскоро просто не беше достатъчно здрава, за да приемат облака по мащабен начин.

Но според прогнозите на анализаторите за 2017 г., всичко това ще се промени. Сигурността в облака достигна много дълъг път през последното половин десетилетие и изглежда много ИТ специалисти и CIO са съгласни. Това означава, че анализаторите прогнозират, че ще видим много по-голямо усвояване на облачната инфраструктура и услуги от сектора на предприятията през 2017 г.

Проведох интервю по имейл с Брайън Кели, главен служител по сигурността на добре известния управляван облачен доставчик Rackspace, за да разбера какво се променя в облачната сигурност през следващата година - и да видя дали той е съгласен с прогнозите на тези анализатори.

PCMag: Как точно вижда Rackspace своята роля спрямо тази на ИТ персонала на своите клиенти, що се отнася до безопасността и сигурността на данните?

Брайън Кели (BK): Виждаме директни доказателства, че клиентите идват в облака заради сигурността, а не бягат от него. С малки изключения, компаниите просто нямат ресурси и умения да защитават ефективно своите организации от по-сложните и постоянни заплахи. По подобен начин доставчиците на облаци признават, че бъдещето на нашия бизнес зависи от предоставянето на доверие и доверие чрез ефективни практики за сигурност. Въпреки увеличените инвестиции на облачни доставчици в сигурността, защитата на организационните активи винаги ще бъде споделена отговорност. Докато доставчикът на облак е пряко отговорен за защитата на съоръжения, центрове за данни, мрежи и виртуална инфраструктура, потребителите също така носят отговорност за защитата на операционни системи, приложения, данни, достъп и идентификационни данни.

Форестър измисли термина „неравномерно ръкостискане“ във връзка с тази споделена отговорност. В някои отношения потребителите смятат, че поемат тежестта за сигурността на своите данни. Това може да е вярно преди няколко години; обаче сме свидетели на балансиране на ръкостискането. Тоест доставчиците на облаци могат и трябва да направят повече за потребителите да споделят отговорността за сигурността. Това може да бъде под формата на просто осигуряване на по-голяма видимост и прозрачност на хостваните работни натоварвания, осигуряване на достъп до контролни самолети или предлагане на управлявани услуги за сигурност. Въпреки че отговорностите за защита на потребителите никога няма да изчезнат, облачните доставчици ще продължат да поемат по-голяма отговорност и ще предоставят предложения за сигурност, управлявани с добавена стойност, за да изградят доверието, необходимо за двете страни да работят безопасно в облака.

PCMag: Имате ли съвет за ИТ специалисти и бизнес клиенти за това, което могат да направят в допълнение към това, което доставчикът предоставя, за да помогнат сами да защитят своите базирани на облак данни?

BK: Те трябва да продължат да прилагат най-добрите практики за сигурност в своите анклави. Те трябва отговорно да сегментират работните натоварвания в анклава, за да ограничат обхвата на компромиси, да гарантират, че средите на работното натоварване (операционни системи, контейнери, виртуални локални мрежи) са правилно защитени и кръпка, да се използват технологиите за определяне и реагиране на ниво на крайна точка и мрежа (IDS / IPS, откриване и ограничаване на злонамерен софтуер) и активно управление на акаунти и достъп. Често клиентите могат да включват тези услуги и технологии в своите договори за използване в облак, но ако не, потребителят трябва да гарантира, че това се случва от тяхна страна.

PCMag: Един ключов въпрос, който видяхме, че читателите задават, е за ефективната защита срещу масирани атаки на Internet of Things (IoT), разпределени с отказ от услуга (DDoS), подобно на инцидента през миналия октомври, където китайски доставчик на IoT по невнимание допринесе много за атаката. Работят ли такива атаки с доставчици на интернет услуги (ups stream)? И как те пазят атака срещу един клиент от сваляне на всички в съоръжение?

BK: Основната цел на DDoS отбраната е запазването на достъпността при атака. Възможностите за DDoS атака на IoT са добре известни и могат успешно да бъдат смекчени чрез прилагане на най-добрите практики за сигурност и чрез използване на интелигентни системи за смекчаване на DDoS. Най-голямата заплаха не е методът за атаките от IoT, а огромният брой уязвими устройства с интернет. Мрежите трябва да бъдат заключени, за да ограничат излагането на заплахи в интернет. Мрежовите оператори трябва да бъдат активни в откриването на всички възможни заплахи и да знаят най-ефективните техники за тяхното смекчаване, като същевременно поддържат способността да анализират и класифицират целия мрежов трафик.

Силната стратегия за смекчаване на DDoS изисква използването на многослоен, защитен подход. Големият брой IoT устройства прави смекчаващите IoT атаки трудни за малките мрежи. Ефективността на IoT атаката е нейната гъвкавост да генерира различни атаки вектори и да произвежда масивен, голям обем DDoS трафик. Дори и най-закалената мрежа може бързо да бъде затрупана от огромния обем трафик, който IoT може да генерира в ръцете на способен нападател. ISP доставчиците често са по-добре оборудвани и разполагат с персонал за справяне с тези мащабни атаки, които бързо биха заситили малките мрежови връзки. Освен това мащабът на работа в мрежа и инструментите, необходими за смекчаване на подобни атаки, поставят ефективното откриване и реагиране извън обсега на повечето организации. По-добро решение е възлагането на такива операции на доставчиците на облачни доставчици, които вече работят с този мащаб на мрежата.

Допълнителните интернет доставчици имат много предимства чрез силно разнообразие от точки за достъп до интернет, през които могат да пренасочват трафика. Освен това те обикновено имат достатъчно големи тръби за данни, за да поемат много DDoS трафик първоначално, докато дейностите за реагиране на пренасочване на трафика се въртят. "Нагоре" е добър термин, тъй като е донякъде аналогичен на поредица от язовири по река. По време на наводнение можете да защитите къщите надолу по течението, като използвате всеки язовир, за да улавяте прогресивно повече вода във всяко езеро, създадено от язовира, и да измервате потока, за да предотвратите наводняването надолу по течението. Разнообразието на честотната лента и точката за достъп за ISP доставчиците нагоре предлагат същия вид устойчивост. Те също имат протоколи, договорени в интернет общността, за да избягват DDoS трафика по-близо до източниците, които могат да активират.

Както и при други дейности за реагиране на инциденти, планирането, подготовката и практиката са от съществено значение. Няма две атаки, които са абсолютно еднакви, следователно е важно да се предвидят варианти и обстоятелства, след което да се планира и практикува за тях. За сценарии на атака на IoT, която включва сканиране на вашата мрежа за уязвими устройства и предприемане на коригиращи действия. Трябва също така да бъдете сигурни, че предотвратявате сканирането извън мрежата за уязвими IoT устройства. За да помогнете, внедрете строг контрол на достъпа и закаляване на операционната система и разработете процедури за кръпка на различни версии на кодове, мрежови устройства и приложения.

Кликнете върху изображението за пълна инфография. Кредит за изображение: Twistlock

PCMag: Друг въпрос, който ни задават читателите, е относно сигурността на контейнерите. Притеснявате ли се за оръжейни контейнери, които могат да съдържат сложни атакуващи системи или смятате, че архитектурата защитава от подобни експлоатации?

BK: Сигурността с всяка ново подчертана технология винаги е засилена грижа - контейнерите не са уникални в този аспект. Но както и при много предизвикателства пред сигурността, има и компромиси. Въпреки че може да има повишен риск, ние също вярваме, че има ефективни стратегии за смекчаване на рисковете, които можем да контролираме.

Контейнерът по същество е силно преходна и лека, виртуализирана среда на операционна система. Виртуалните машини са по-малко защитени от отделните физически сървъри? Те са в повечето случаи. Въпреки това, много предприятия виждат ползите от разходите от виртуализацията (по-малко харчат, по-лесно се управлява, могат лесно да пренасочат машините) и решават да ги използват, като намаляват възможно най-много рискове. Intel дори осъзнаха, че могат да помогнат за смекчаването на някои от рисковете сами и оттам идва Intel VT.

Контейнерите допълнително увеличават първоначалните разходи и гъвкавостта на виртуализацията. те също са по-рискови, тъй като между всеки контейнер и хост операционната система има много тънка стена. Не знам каквато и да е хардуерна поддръжка за изолация, така че ядрото трябва да поддържа всички в ред. Компаниите трябва да претеглят ползите от цената и гъвкавостта на тази нова технология, заедно с тези рискове.

Експертите на Linux са загрижени, защото всеки контейнер споделя ядрото на хоста, което прави повърхността за експлоатации много по-голяма от традиционните технологии за виртуализация, като KVM и Xen. Така че, има потенциал за нова атака, при която нападател хаква привилегии в един контейнер, за да получи достъп или да повлияе на условията в друг контейнер.

Все още не сме много за пътя на вътрешно-контейнерните сензори за сигурност. Според мен тази област на пазара трябва да узрява. Освен това контейнерите не могат да използват функциите за защита, вградени в процесори (като Intel VT), които позволяват да се изпълнява код в различни пръстени в зависимост от нивото му на привилегия.

В крайна сметка има тонове експлоатации за физически сървъри, виртуални машини и контейнери. Новите се изрязват през цялото време. Експлоатират се дори машини с въздух. ИТ специалистите трябва да се притесняват от компромиси със сигурността на всички тези нива. Голяма част от защитите са еднакви за всички тези типове разгръщане, но всяка от тях има свои допълнителни защитни защити, които трябва да бъдат приложени.

Доставчикът на хостинг услуги трябва да използва модули за защита на Linux (като SELinux или AppArmor), за да изолира контейнери и тази система трябва да се следи отблизо. Важно е също така да поддържате актуализирано ядрото на хоста, за да избегнете локални привилегии за ескалация на привилегии. Изолирането на уникален идентификатор (UID) също помага, тъй като не позволява на root потребител в контейнера всъщност да бъде root на хоста.

PCMag: Една от причините PCMag.com да не проведе мащабно сравнение на управляваните доставчици на услуги за сигурност (MSSPs) е, че в бранша има объркване какво точно означава този термин и какво може и трябва да предостави този клас доставчик. Можете ли да разбиете управляваната служба за сигурност на Rackspace? Какво се прави, как това се различава от другите доставчици и къде виждате, че това върви, така че читателите да получат добра представа за това, за което се регистрират, когато използват такава услуга?

BK: MSSP трябва да приемат, че сигурността не работи и адаптират стратегията и операциите си, за да бъдат по-ефективни в днешния пейзаж на заплахите - който съдържа по-сложни и упорити противници. В Rackspace признахме тази промяна в заплахата и разработихме нови възможности, необходими за тяхното намаляване. Rackspace Managed Security е 24/7/365 усъвършенствана операция за откриване и отговор. Той е създаден не само за защита на компаниите от атаки, но и за свеждане до минимум на въздействието върху бизнеса, когато атаките се случват, дори и след успешна хакерска среда.

За да постигнем това, коригирахме стратегията си по три начина:

    Ние се фокусираме върху данните, а не върху периметъра. За да се отговори ефективно на атаките, целта трябва да бъде да се сведе до минимум въздействието върху бизнеса. Това изисква цялостно разбиране на бизнеса на компанията и контекста на данните и системите, които защитаваме. Само тогава можем да разберем как изглежда нормалното, да разберем атака и да реагираме по начин, който свежда до минимум въздействието върху бизнеса.

    Предполагаме, че нападателите са навлезли в мрежата и използват висококвалифицирани анализатори, за да ги преследват. Веднъж попаднали в мрежата, атаките са трудни за идентифициране на инструменти, тъй като към инструментите за сигурност напредналите нападатели изглеждат като администратори, които извършват нормални бизнес функции. Нашите анализатори активно търсят модели на дейност, за които инструментите не могат да сигнализират - тези модели са отпечатъците, които ни водят към нападателя.

    Да знаеш, че си под атака, не е достатъчно. От решаващо значение е да се реагира на атаки, когато се появят. Нашият Оперативен център за сигурност на клиентите използва портфолио от „предварително одобрени действия“, за да отговори на атаките веднага щом ги видят. Това са по същество управлявани книги, които сме опитали и тествали, за да се справим успешно с атаките, когато се случат. Нашите клиенти виждат тези тиражи и одобряват нашите анализатори да ги изпълняват по време на процеса на борда. В резултат на това анализаторите вече не са пасивни наблюдатели - те могат активно да изключат нападателя веднага щом бъдат засечени, и често преди да се постигне постоянство и преди да бъде засегнат бизнесът. Тази способност да реагира на атаки е уникална за Rackspace, защото ние също управляваме инфраструктурата, която защитаваме за нашите клиенти.

    Освен това установяваме, че спазването е страничен продукт на сигурността, извършен добре. Имаме екип, който се възползва от строгостта и най-добрите практики, които прилагаме като част от операцията по сигурността, като доказва и докладва за изискванията за съответствие, които помагаме на нашите клиенти да изпълнят.

PCMag: Rackspace е голям привърженик, наистина кредитиран основател на OpenStack. Някои от нашите ИТ читатели попитаха дали разработката на сигурност за такава отворена платформа всъщност е по-бавна и не толкова ефективна от тази на затворена система като Amazon Web Services (AWS) или Microsoft Azure поради възприетата дилема „твърде много готвачи“, която порази много големи проекти с отворен код. Как отговаряте на това?

BK: Със софтуер с отворен код „грешки“ се откриват в отворената общност и се фиксират в отворената общност. Няма начин да се скрие степента или въздействието на проблема със сигурността. С патентования софтуер вие сте на милостта на доставчика на софтуер за отстраняване на уязвимости. Ами ако не предприемат нищо за уязвимост в продължение на шест месеца? Ами ако пропуснат доклад от изследовател? Ние виждаме всички онези „прекалено много готвачи“, които наричате огромен софтуер за осигуряване на сигурност. Стотици интелигентни инженери често разглеждат всяка част от голям пакет с отворен код като OpenStack, което прави наистина трудно да се промъкнат през пукнатините. Обсъждането на недостатъка и оценката на вариантите за отстраняването му се случват на открито. Частните софтуерни пакети никога не могат да получават този вид анализ на ниво код на ниво код и поправките никога няма да получат такава открита проверка.

Софтуерът с отворен код също позволява смекчаване извън софтуера. Например, ако се появи проблем със сигурността на OpenStack, но доставчикът на облак не може да надстрои или закърпи уязвимостта веднага, могат да бъдат направени други промени. Функцията може да бъде временно деактивирана или потребителите да бъдат възпрепятствани да я използват чрез файлове с политики. Атаката може да бъде ефективно смекчена, докато не се приложи дългосрочна корекция. Софтуерът със затворен код често не позволява това, тъй като е трудно да се разбере какво трябва да се смекчи.

Също така общностите с отворен код бързо разпространяват знанията за тези уязвими места. Въпросът "Как да предотвратим това да се случи по-късно?" се пита бързо и обсъждането се провежда съвместно и на открито.

PCMag: Нека приключим с първоначалния въпрос за това интервю: Съгласни ли сте с анализаторите, че 2017 г. ще бъде „пробивна“ година по отношение на приемането на облак в предприятието, главно или поне частично поради приемането от предприятието на сигурността на облачния доставчик?

BK: Нека се отдръпнем за момент, за да обсъдим различните облачни среди. Повечето от въпросите ви сочат към публичния пазар на облаци. Както споменах по-горе, изследователите на Forrester отбелязаха „неравномерното ръкостискане“ между облачните доставчици и потребителите, тъй като облачните доставчици предоставят набор от услуги, но потребителите в облака често приемат, че получават много повече по отношение на сигурност, архивиране, устойчивост и др. и т. н. Застъпвам се от присъединяването си към Rackspace, че облачните доставчици трябва дори да го ръкостискат, като са по-прозрачни с нашите потребители. Никъде ръкостискането не е по-равномерно, все още днес, отколкото в обществени облачни среди.

Частните облачни среди обаче, и особено тези, реализирани в собствения потребител, не страдат толкова много от подобни илюзии. Потребителите са много по-ясни какво купуват и какво им предоставят доставчиците. И все пак, тъй като потребителите повишиха очакванията в процеса на закупуване и доставчиците на облаци засилиха нашите игри за предоставяне на по-пълни услуги и прозрачност, емоционалните и рисковете, свързани с рисковете за преместване на натоварването от традиционен център за данни в публична облачна среда, бързо падат, Но не мисля, че това ще създаде печат към облака през 2017 г. Преместването на работните натоварвания и цели центрове за данни води до значителни промени в планирането и организацията. Той е много по-различен от обновяването на хардуера в център за данни. Насърчавам вашите читатели да изучават прехода на Netflix; те преобразиха бизнеса си, като се преместиха в облака, но им отне седем години упорит труд. От една страна, те ре-факторират и пренаписват повечето от приложенията си, за да станат по-ефективни и по-добре адаптирани към облака.

Също така виждаме много потребители да приемат частни облаци в своите центрове за данни, използвайки хибридна облачна архитектура като своя отправна точка. Изглежда, те се ускоряват. Вярвам, че кривата на осиновяване може да види лакът нагоре през 2017 г., но ще отнеме няколко години, докато набъбът наистина се натрупа.

Поглед върху индустрията: как ще се развие облачната сигурност през 2017 г.?