Video: Ako sa starať o Vášho introverta (Septembra 2024)
Budúci rok sľubuje výrazný rast poskytovateľom verejných cloudových služieb a dodávateľom riešení Software-as-a-Service (SaaS). V prvom rade nové technológie na úrovni nadácie, ako sú nasadenie mikroprocesov a blockchain, poskytujú okrem iného nevyužité možnosti inovácií. Ale čo je ešte dôležitejšie, zdá sa, že jeden z najčastejšie spomínaných CIO blokátorov prijatia cloudu (konkrétne bezpečnosť a bezpečnosť údajov) sa konečne dostáva do pozadia, najmä pre podniky a stredne veľké podniky.
Zatiaľ čo analytici súhlasia s tým, že väčšina firiem v súčasnosti - vrátane podnikových a stredne veľkých segmentov - má nasadenie v cloude v rôznej miere, zároveň sa tiež zhodujú v tom, že väčšie organizácie pomaly prenášajú veľké pracovné zaťaženie do cloudu, pričom hlavným dôvodom je bezpečnosť a údaje v cloude bezpečnosť. Je to dôležité pre týchto zákazníkov nielen z dôvodu veľkého množstva údajov, ktoré by tieto organizácie migrovali, ale aj z toho dôvodu, že pre nich je veľmi dôležité absolvovať prísne kontroly dodržiavania predpisov a regulačné kontroly, ako napríklad Zákon o prenosnosti a zodpovednosti v zdravotnom poistení (HIPAA) a ISO 27001. podnikať. Bezpečnosť je pre týchto CIO najvyššou prioritou a donedávna to jednoducho nebolo dosť robustné na to, aby prijali cloud vo veľkom rozsahu.
Podľa predpovedí analytikov na rok 2017 sa však všetko zmení. Cloudová bezpečnosť prešla v poslednom polroku veľmi dlhú cestu a zdá sa, že mnohí odborníci v oblasti IT a CIO súhlasia. To znamená, že analytici predpovedajú, že v roku 2017 uvidíme oveľa väčšie využívanie cloudovej infraštruktúry a služieb z podnikového sektora.
Uskutočnil som e-mailový rozhovor s Brianom Kellym, hlavným bezpečnostným riaditeľom u známeho poskytovateľa cloudových služieb Rackspace, aby som zistil, čo sa v nadchádzajúcom roku mení o cloudovej bezpečnosti - a aby som zistil, či súhlasil s predpoveďami týchto analytikov.
PCMag: Ako presne vníma Rackspace svoju úlohu v porovnaní s úlohou IT zákazníkov svojich zákazníkov, pokiaľ ide o bezpečnosť a zabezpečenie údajov?
Brian Kelly (BK): Vidíme priame dôkazy o tom, že zákazníci prichádzajú do cloudu skôr z dôvodu bezpečnosti ako z utekania. S niekoľkými výnimkami spoločnosti jednoducho nemajú zdroje a zručnosti, aby účinne bránili svoje organizácie pred sofistikovanejšími a pretrvávajúcimi hrozbami. Podobne poskytovatelia cloudu uznávajú, že budúcnosť našich podnikov závisí od dosiahnutia dôvery prostredníctvom účinných bezpečnostných postupov. Napriek zvýšeným investíciám poskytovateľov cloudových služieb do bezpečnosti zostáva ochrana organizačných aktív vždy spoločnou zodpovednosťou. Zatiaľ čo poskytovateľ cloudu je priamo zodpovedný za ochranu zariadení, dátových centier, sietí a virtuálnej infraštruktúry, spotrebitelia sú zodpovední aj za ochranu operačných systémov, aplikácií, údajov, prístupu a poverení.
Forrester razil termín „nerovnomerné podanie ruky“ v súvislosti s touto spoločnou zodpovednosťou. Spotrebitelia sa v niektorých ohľadoch domnievajú, že nesú zodpovednosť za bezpečnosť svojich údajov. Možno to tak bolo pred niekoľkými rokmi; sme však svedkami vyváženia handshake. To znamená, že poskytovatelia cloudových služieb môžu a mali by urobiť viac pre spotrebiteľov, aby sa delili o zodpovednosť za bezpečnosť. Môže to mať podobu jednoduchého zabezpečenia väčšej viditeľnosti a transparentnosti hostiteľských pracovných za ažení, prístupu k riadiacim lietadlám alebo ponúkania riadených bezpečnostných služieb. Aj keď zodpovednosť za bezpečnosť spotrebiteľa nikdy nezmizne, poskytovatelia cloudu budú naďalej prevziať väčšiu zodpovednosť a budú ponúkať spravované bezpečnostné ponuky s pridanou hodnotou, aby si vybudovali dôveru potrebnú pre obe strany, aby mohli bezpečne pracovať v cloude.
PCMag: Máte nejaké rady pre odborníkov v oblasti IT a podniky o tom, čo môžu robiť, okrem toho, čo poskytovateľ dodáva na ochranu svojich cloudových údajov sám?
BK: Musia naďalej implementovať najlepšie bezpečnostné postupy v rámci svojich enkláv. Potrebujú zodpovedne rozdeliť pracovné zaťaženie v enkláve, aby obmedzili rozsah kompromisov, zabezpečili, aby pracovné prostredia (operačné systémy, kontajnery, virtuálne LAN) boli správne zabezpečené a opravené, aby využívali technológie snímania a reakcie na úrovni koncového bodu a siete (IDS / IPS, detekcia a obmedzovanie škodlivého softvéru) a aktívne spravuje účty a prístupy. Zákazníci často môžu tieto služby a technológie zahrnúť do svojich zmlúv o využívaní cloudu, ale ak nie, spotrebiteľ musí zabezpečiť, aby sa to stalo na ich strane.
PCMag: Jednou z kľúčových otázok, ktorú sme videli, sa čitatelia pýtajú, je efektívna obrana proti masívnym útokom na distribuované odmietnutie služby (IoT), ktoré sú podobné incidentu z minulého októbra, keď čínsky predajca internetu vecí neúmyselne prispel k útok. Fungujú také útoky s poskytovateľmi internetových služieb na začiatku (ISP)? A ako udržujú útok proti jednému klientovi, aby zlikvidoval všetkých v zariadení?
BK: Hlavným cieľom obrany DDoS je udržiavanie dostupnosti pri útoku. Schopnosti útoku DDoS na IoT sú dobre známe a dajú sa úspešne zmierniť implementáciou najlepších bezpečnostných postupov a použitím inteligentných systémov zmierňovania DDoS. Najväčšou hrozbou nie je spôsob útokov z internetu vecí, ale obrovské množstvo zraniteľných zariadení s prístupom na internet. Siete je potrebné uzamknúť, aby sa obmedzilo vystavenie hrozbám na internete. Prevádzkovatelia sietí musia byť aktívni pri zisťovaní všetkých možných hrozieb a poznať najúčinnejšie techniky na ich zmiernenie, pričom si musia zachovať schopnosť analyzovať a klasifikovať všetok sieťový prenos.
Silná stratégia zmierňovania DDoS vyžaduje zaujatie viacvrstvového defenzívneho prístupu. Rozsiahly počet zariadení IoT sťažuje útoky IoT pre siete malého rozsahu. Účinnosť útoku IoT spočíva v jeho flexibilite pri vytváraní rôznych útočných vektorov a produkovaní masívneho, veľkoobjemového DDoS prenosu. Dokonca aj tá najtvrdšia sieť môže byť rýchlo zahltená obrovským objemom prenosu, ktorý IoT môže generovať v rukách schopného útočníka. Poskytovatelia internetových služieb proti prúdu sú často lepšie vybavení a personálne vybavení na riešenie týchto rozsiahlych útokov, ktoré by rýchlo nasýtili malé sieťové spojenia. Okrem toho rozsah fungovania siete a nástroje potrebné na zmiernenie takýchto útokov umožňujú účinnú detekciu a reakciu mimo dosahu väčšiny organizácií. Lepším riešením je zadávanie takýchto operácií externým poskytovateľom cloudových služieb, ktorí už pracujú s týmto rozsahom sietí.
Poskytovatelia internetových služieb proti prúdu majú mnoho výhod vďaka rozsiahlej rozmanitosti prístupových miest k internetu, cez ktoré môžu presunúť prenos. Vo všeobecnosti majú tiež dostatočne veľké dátové kanály, aby spočiatku absorbovali veľa prenosu DDoS, zatiaľ čo sa reakčné aktivity presmerovania premieňajú. „Proti prúdu“ je dobrý termín, pretože je do istej miery analogický sérii hrádzí pozdĺž rieky. Počas povodne môžete chrániť domy po prúde pomocou každej priehrady, aby ste postupne zachytili viac vody v každom jazere vytvorenom priehradou a zmerajte prietok, aby ste zabránili následným povodniam. Rovnaká odolnosť poskytuje šírku pásma a diverzitu prístupových bodov pre poskytovateľov internetových služieb na proti prúdu. Majú tiež dohodnuté protokoly naprieč internetovou komunitou, aby prerušili prenos DDoS bližšie k zdrojom, ktoré môžu aktivovať.
Rovnako ako pri iných činnostiach zameraných na reakciu na incidenty, plánovanie, príprava a prax sú nevyhnutné. Žiadne dva útoky nie sú úplne rovnaké, a preto je rozhodujúce predvídať možnosti a okolnosti, ktoré sa majú pri ich plánovaní a praktizovaní vykonať. V prípade scenárov útoku IoT, ktoré zahŕňajú skenovanie siete na prítomnosť zraniteľných zariadení a vykonanie nápravných opatrení. Mali by ste sa tiež uistiť, že nebránite skenovaniu zraniteľných zariadení internetu vecí z vonkajšej siete. Pomôcť pri implementácii prísneho riadenia prístupu a tvrdenia operačného systému a vyvinúť postupy na opravu rôznych verzií kódu, sieťových zariadení a aplikácií.
Kliknutím na obrázok zobrazíte celý infographic. Obrazový kredit: Twistlock
PCMag: Ďalšou otázkou, ktorú si čitatelia pýtajú, je bezpečnosť kontajnerov. Bojíte sa o zbrojené kontajnery, ktoré by mohli obsahovať zložité útočné systémy, alebo si myslíte, že architektúra chráni pred takýmto zneužitím?
BK: Bezpečnosť s akoukoľvek novo zdôrazňovanou technológiou je vždy zvýšeným problémom - kontajnery nie sú v tomto ohľade jedinečné. Ale rovnako ako pri mnohých bezpečnostných výzvach, existujú kompromisy. Aj keď môže existovať zvýšené riziko, veríme tiež, že existujú účinné stratégie zmierňovania rizík, ktoré môžeme kontrolovať.
Kontajner je v podstate vysoko prechodné a ľahké virtualizované prostredie operačného systému. Sú virtuálne počítače menej bezpečné ako samostatné fyzické servery? Vo väčšine prípadov sú. Mnohé podniky však vidia nákladové prínosy z virtualizácie (nižšie výdavky, ľahšie spravovateľné, stroje môžu ľahko zmeniť účel použitia) a rozhodnú sa tieto páky využiť a zároveň zmierniť čo najviac rizík. Intel si dokonca uvedomil, že by mohli pomôcť zmierniť niektoré riziká samy osebe a odtiaľ pochádza Intel VT.
Kontajnery ďalej zvyšujú počiatočné úspory nákladov a flexibilitu virtualizácie. sú tiež riskantnejšie, pretože medzi každým kontajnerom a hostiteľským operačným systémom je veľmi tenká stena. Neviem o hardvérovej podpore izolácie, takže je na jadre, aby boli všetci v riadku. Spoločnosti musia spolu s týmito rizikami zvážiť výhody nákladov a flexibility tejto novej technológie.
Linuxoví odborníci sa obávajú, pretože každý kontajner zdieľa jadro hostiteľa, vďaka čomu je plocha pre využitie oveľa väčšia ako tradičné virtualizačné technológie, ako KVM a Xen. Existuje teda potenciál pre nový útok, pri ktorom útočník hackuje privilégiá v jednom kontajneri, aby získal prístup alebo ovplyvnil podmienky v inom kontajneri.
Zatiaľ nemáme veľa v ceste bezpečnostných senzorov špecifických pre kontajner. Podľa môjho názoru musí táto oblasť trhu dozrieť. Kontajnery navyše nemôžu používať bezpečnostné funkcie zabudované do CPU (ako Intel VT), ktoré umožňujú vykonávanie kódu v rôznych zvoneniach v závislosti od úrovne jeho oprávnení.
Nakoniec existuje veľa vyťažení pre fyzické servery, virtuálne stroje a kontajnery. Stále sa objavujú nové. Využívajú sa aj stroje so vzduchovou medzerou. Odborníci v oblasti IT by sa mali obávať bezpečnostných kompromisov na všetkých týchto úrovniach. Väčšina obranných opatrení je rovnaká pre všetky tieto typy nasadenia, ale každý z nich má vlastné bezpečnostné opatrenia, ktoré je potrebné uplatniť.
Poskytovateľ hostingu musí na izoláciu kontajnerov používať Linux Security Modules (ako SELinux alebo AppArmor) a tento systém sa musí dôkladne monitorovať. Je tiež dôležité udržiavať aktualizované hostiteľské jadro, aby sa zabránilo zneužitiu eskalácie miestnych privilégií. Izolácia jedinečného ID (UID) tiež pomáha, pretože bráni užívateľovi root v kontajneri v tom, aby bol v hostiteľovi skutočne root.
PCMag: Jedným z dôvodov, prečo spoločnosť PCMag.com neuskutočnila rozsiahle porovnanie poskytovateľov spravovaných bezpečnostných služieb (MSSP), je to, že v priemysle existuje zmätok v tom, čo presne tento výraz znamená a čo môže a čo by mala táto kategória poskytovateľov poskytnúť. Dokážete zničiť riadenú bezpečnostnú službu spoločnosti Rackspace? Čo to robí, ako sa líši od iných poskytovateľov a kde to vidíte, aby čitatelia mohli získať dobrý prehľad o tom, na čo sa prihlásia, keď zamestnávajú takúto službu?
BK: MSSP musia akceptovať, že bezpečnosť nefunguje a prispôsobiť svoju stratégiu a operácie tak, aby boli efektívnejšie v dnešnom prostredí hrozieb - ktoré obsahuje sofistikovanejšie a pretrvávajúce protivníky. V spoločnosti Rackspace sme uznali túto zmenu hrozby a vyvinuli nové schopnosti potrebné na ich zmiernenie. Zabezpečenie Rackspace Managed Security je rozšírená operácia detekcie a reakcie 24/7/365. Bol navrhnutý nielen na ochranu spoločností pred útokmi, ale aj na minimalizáciu dopadu na podnikanie v prípade útokov, a to aj po úspešnom hacknutí prostredia.
Aby sme to dosiahli, upravili sme našu stratégiu tromi spôsobmi:
Zameriavame sa na údaje, nie na obvod. Cieľom účinnej reakcie na útoky musí byť minimalizácia dopadu na podnikanie. Vyžaduje si to komplexné pochopenie podnikania spoločnosti a kontextu údajov a systémov, ktoré chránime. Až potom dokážeme pochopiť, ako vyzerá normálne, porozumieť útoku a reagovať spôsobom, ktorý minimalizuje dopad na podnikanie.
Predpokladáme, že útočníci získali vstup do siete a pomocou vysoko kvalifikovaných analytikov ich prenasledovali. Po pripojení k sieti je ťažké identifikovať nástroje, pretože pre bezpečnostné nástroje vyzerajú pokročilí útočníci ako správcovia, ktorí vykonávajú bežné obchodné funkcie. Naši analytici aktívne hľadajú vzorce činnosti, na ktoré nástroje nemôžu upozorniť - tieto vzorce sú stopy, ktoré nás vedú k útočníkovi.
Vedieť, že ste pod útokom, nestačí. Je dôležité reagovať na útoky, keď k nim dôjde. Naše Centrum bezpečnosti zákazníkov používa portfólio „vopred schválených akcií“ na reakciu na útoky hneď, ako ich uvidia. Toto sú v podstate knihy, ktoré sme vyskúšali a testovali, aby sme úspešne zvládli útoky, keď k nim dôjde. Naši zákazníci vidia tieto knihy a schvaľujú našich analytikov, aby ich vykonávali počas procesu palubovania. Výsledkom je, že analytici už nie sú pasívnymi pozorovateľmi - môžu útočníka okamžite vypnúť hneď, ako sa zistia, a to často skôr, ako sa dosiahne vytrvalosť a predtým, ako sa to dotkne podnikania. Táto schopnosť reagovať na útoky je pre spoločnosť Rackspace jedinečná, pretože spravujeme aj infraštruktúru, ktorú chránime pre našich zákazníkov.
Okrem toho zistíme, že dodržiavanie predpisov je vedľajším produktom bezpečnosti, ktorý sa darí dobre. Máme tím, ktorý využíva prísne a najlepšie postupy, ktoré implementujeme ako súčasť bezpečnostnej operácie, a to preukazovaním a podávaním správ o požiadavkách na dodržiavanie, ktoré pomáhame našim zákazníkom plniť.
PCMag: Rackspace je veľký podporovateľ OpenStack, skutočne dôveryhodný zakladateľ. Niektorí naši čitatelia IT sa pýtali, či je vývoj bezpečnosti pre takúto otvorenú platformu v skutočnosti pomalší a menej efektívny ako vývoj uzavretého systému, ako je Amazon Web Services (AWS) alebo Microsoft Azure, kvôli vnímanej dileme „príliš veľa kuchárov“, ktorá trápi veľa veľkých open-source projektov. Ako na to reagujete?
BK: Pri softvéri s otvoreným zdrojom sa „chyby“ nachádzajú v otvorenej komunite a opravujú sa v otvorenej komunite. Neexistuje spôsob, ako skryť rozsah alebo vplyv bezpečnostnej otázky. Vďaka patentovanému softvéru ste na milosti poskytovateľa softvéru, aby ste opravili zraniteľné miesta. Čo keď neurobia nič so zraniteľnosťou šesť mesiacov? Čo ak im chýba správa od výskumníka? Všetkých tých „príliš veľa kuchárov“, ktorých označujete, považujeme za obrovský aktivátor zabezpečenia softvéru. Stovky inteligentných inžinierov sa často pozerajú na každú časť veľkého balíka s otvoreným zdrojovým kódom, ako je OpenStack, čo sťažuje preklzávanie chýb cez trhliny. Diskusia o chybe a vyhodnotenie možností na jej nápravu sa uskutočňuje otvorene. Súkromné softvérové balíčky nikdy nemôžu získať takýto druh analýzy na úrovni riadku kódu a opravy nikdy nedostanú také otvorené previeranie.
Softvér s otvoreným zdrojom tiež umožňuje zmiernenie zmien mimo softvérového balíka. Napríklad, ak sa vyskytne problém so zabezpečením OpenStack, ale poskytovateľ cloudu nemôže zraniteľnosť inovovať alebo opraviť okamžite, mohli by sa vykonať ďalšie zmeny. Táto funkcia by mohla byť dočasne deaktivovaná alebo by sa jej mohlo zabrániť, aby ju používatelia používali prostredníctvom súborov politík. Útok by sa mohol účinne zmierniť, kým sa neaplikuje dlhodobá oprava. Softvér s uzavretým zdrojom to často neumožňuje, pretože je ťažké zistiť, čo treba zmierniť.
Spoločenstvá s otvoreným zdrojovým kódom tiež rýchlo šíria vedomosti o týchto zraniteľnostiach. Otázka „Ako tomu môžeme zabrániť neskôr?“ dostane žiadosť rýchlo, a rokovania sa vedú v spolupráci a na otvorenom priestranstve.
PCMag: Poďme na pôvodnú otázku tohto rozhovoru: Súhlasíte s analytikmi, že rok 2017 bude rokom „priestupku“ z hľadiska prijatia podnikového cloudu, hlavne alebo aspoň čiastočne z dôvodu podnikového prijatia zabezpečenia poskytovateľa cloudu?
BK: Poďme na chvíľu o krok späť, aby sme prediskutovali rôzne cloudové prostredia. Väčšina vašich otázok poukazuje na verejný cloudový trh. Ako som už uviedol vyššie, vedci z Forresteru zaznamenali „nerovnomerné podanie“ medzi poskytovateľmi cloudu a spotrebiteľmi v tom, že poskytovatelia cloudu poskytujú súbor služieb, ale zákazníci cloudu často predpokladajú, že dostávajú omnoho viac z hľadiska bezpečnosti, zálohovania, odolnosti, atď. Od vstupu do spoločnosti Rackspace som sa zasadzoval za to, aby poskytovatelia cloudových služieb museli tento handshake vyrovnať tým, že budú voči našim zákazníkom transparentnejší. Nikde nie je handshake menej rovnomerné, ešte dnes, ako vo verejných cloudových prostrediach.
Súkromné cloudové prostredia, a najmä tie, ktoré sú implementované vo vlastnom spotrebiteľovi, však takýmito ilúziami netrpia. Spotrebitelia sú jasnejšie v tom, čo kupujú a čo im poskytovatelia poskytujú. Napriek tomu, že spotrebitelia zvýšili očakávania v procese nákupu a poskytovatelia cloudových služieb zintenzívnili naše hry s cieľom poskytovať komplexnejšie služby a transparentnosť, emočné a rizikové prekážky brániace presunu pracovnej záťaže z tradičného dátového centra do verejného cloudového prostredia rýchlo klesajú, Nemyslím si však, že by to v roku 2017 vytvorilo úder do cloudu. Pohybujúce sa pracovné zaťaženie a celé dátové centrá znamenajú významné plánovanie a organizačné zmeny. Je ďaleko od aktualizácie hardvéru v dátovom centre. Odporúčam vašim čitateľom, aby študovali prechod na Netflix; transformovali svoje podnikanie prechodom na cloud, ale trvalo im sedem rokov tvrdej práce. Pre jednu, re-factored a znovu napísal väčšinu svojich aplikácií, aby boli efektívnejšie a lepšie prispôsobené pre cloud.
Vidíme tiež veľa spotrebiteľov, ktorí vo svojich dátových centrách prijímajú súkromné oblaky a ako východiskový bod používajú hybridnú architektúru cloud. Zdá sa, že sa zrýchľujú. Domnievam sa, že krivka adopcie mohla v roku 2017 vidieť lakťom, ale skutočne to bude trvať niekoľko rokov, kým sa napučiava.
