Prawdziwe bezpieczeństwo w chmurze wymaga dogłębnego zrozumienia


Podobnie jak w przypadku większości przedsięwzięć, włączenie zabezpieczeń do procesu na jak najwcześniejszym etapie jest niezbędne podczas tworzenia technologii lub migracji do niej. takie jak chmura. Niezależnie od tego, czy rozpoczynasz podróż związaną z migracją kluczowych usług do chmury, czy uruchamiasz wiecznie zielony projekt natywny dla chmury, kluczowe znaczenie ma zaangażowanie specjalistów ds. bezpieczeństwa z głębokim zrozumieniem modelu bezpieczeństwa w chmurze. Gwarantuje to pomyślne wdrożenie bezpiecznego i solidnego systemu.

Model wspólnej odpowiedzialności

Jeśli jesteś na początku tego procesu, jako lider technologii, rozumiesz chmurę model wspólnej odpowiedzialności jest kluczowa. Istnieją elementy każdej usługi oferowane przez różnych dostawców usług w chmurze (CSP), za które odpowiadają ich monitorowanie, ochrona i ochrona, takie jak infrastruktura fizyczna i kontrola dostępu w centrach danych, niezawodne kopie zapasowe zasilania i tym podobne. Wszystkie elementy, których zwykle oczekuje się od centrum danych, zapewniają dostawcy CSP, a ponadto niektóre z nich są naprawdę dobrze dostrojone ze względu na działanie na naprawdę masową skalę.

Odsuń się od metalu

Wyzwanie polega na szczegółach wymaganych do podejmowania świadomych decyzji dotyczących usług, z których skorzystać, biorąc pod uwagę takie czynniki, jak cena, bezpieczeństwo oraz długoterminowe koszty ogólne i utrzymanie. W rozmowach z firmami znajdującymi się na tej drodze zalecam odejście od gołego metalu, o ile to możliwe, jak najdalej. Wiąże się to z wykorzystaniem wysoce zwirtualizowanych i skonteneryzowanych usług, takich jak Fargate i Lambda AWS, Cloud Run i Cloud Functions firmy Google lub Azure Containers i Azure Functions firmy Microsoft.

Należy wziąć pod uwagę fakt, że te usługi zarządzane są, cóż, zarządzane, dlatego trzeba za nie płacić wyższą składkę niż w przypadku bardziej podstawowych ofert. Warto to dokładnie sprawdzić, biorąc pod uwagę liczbę pracowników, których będziesz musiał zatrudnić i zarządzać tym samym poziomem we własnym zakresie.

Oprócz tego będziesz chciał zainwestować w potok kodu za pomocą Ciągła integracja I Ciągłe wdrażanie (CI/CD), który umożliwia szybkie uruchamianie wdrożeń, które przechodzą szereg zautomatyzowanych testów przed zatwierdzeniem do przekazania do środowiska produkcyjnego. Kluczem są dobrze zdefiniowane procesy, które egzekwują standardy usług, bezpieczeństwa i jakości kodu oraz dają powtarzalne wyniki.

W wielu przypadkach te usługi zarządzane (takie jak Lamdas i systemy kontenerowe) oznaczają, że dostawca usług internetowych jest odpowiedzialny za pewne środki monitorowania i zarządzania bezpieczeństwem tych narzędzi, więc zamiast Ty i Twój zespół musicie poświęcać zasoby na bycie na bieżąco wraz ze wszystkimi poprawkami wymaganymi dla systemu operacyjnego Linux, Twój dostawca usług w chmurze zarządza tym za Ciebie. Uwaga: usługi w chmurze zmieniają się regularnie, dlatego przed przystąpieniem do korzystania z nich należy upewnić się, że każda usługa, z której korzystasz, obejmuje automatyczne instalowanie poprawek i wersjonowanie.

Reklama

Pomysł jest taki, że AWS, Google i Azure często lepiej radzą sobie z niektórymi z tych praktyk zarządzania bezpieczeństwem i aktualizowaniem danych niż większość organizacji. Istnieje kilka godnych uwagi wyjątków; w szczególności warto zauważyć, że Microsoft miał bardzo zły rok pod względem bezpieczeństwa swoich produktów. Jeśli go nie czytałeś, zapoznaj się z raportem Komisji Przeglądu Bezpieczeństwa Cybernetycznego (CSRB) rządu USA na temat naruszeń Microsoftu z zeszłego roku. To dość otrzeźwiająca ocena niektórych katastrofalnych błędów w zakresie bezpieczeństwa wewnątrz firmy.

Oceny dojrzałości i widoczność zarządu

Jeśli intensywnie inwestujesz w środowiska chmurowe, niezwykle ważne jest przeprowadzenie oceny ryzyka bezpieczeństwa infrastruktury chmurowej. Skoncentruj się na kluczowych obszarach:

  • Zarządzanie tożsamością i dostępem: przeglądaj i zabezpieczaj uprzywilejowany dostęp do maszyn i konta root za pomocą uwierzytelniania opartego na kluczu kryptograficznym dla maszyn i sprzętowej usługi MFA FIDO2 dla użytkowników, zwłaszcza uprzywilejowanych.
  • Maszyny wirtualne i punkty końcowe: upewnij się, że procesy instalowania poprawek obejmują wszystko Znane luki w zabezpieczeniach CISA w zalecanych ramach czasowych. Mierz czas potrzebny na wprowadzenie poprawek i śledź go jako miernik biznesowy dla kadry kierowniczej.
  • Stan zabezpieczeń dostępu do Internetu: Upewnij się, że reguły zapory sieciowej są domyślnie odrzucane dla większości połączeń przychodzących i wychodzących.
  • Rejestrowanie: Włącz rejestrowanie wszędzie i zlecaj zespołowi regularne przeglądanie dzienników.
  • Kopia zapasowa i przywracanie: Wdrożyj solidny proces tworzenia kopii zapasowych i przywracania, najlepiej z kopiami zapasowymi niezależnymi od podstawowych kont w chmurze, aby chronić przed katastrofalnymi włamaniami do konta.

Po ustaleniu poziomu bazowego dla tych kluczowych obszarów ryzyka i dojrzałości zacznij zastanawiać się nad zakupem usług lub budowaniem możliwości ich monitorowania, z przejrzystością i raportowaniem na najwyższych poziomach w organizacji. Jest to niezwykle bezcenny krok, który gwarantuje, że zrozumienie zagrożeń bezpieczeństwa cybernetycznego związanych z IT i chmurą nie będzie ograniczone tylko do zespołu technicznego, ale także zarządu.

Elliott Wilkes jest dyrektorem technicznym w firmie Zaawansowane systemy cyberobrony. Wilkes, doświadczony lider transformacji cyfrowej i menedżer produktu, ma ponad dziesięcioletnie doświadczenie w pracy zarówno z rządami amerykańskimi, jak i brytyjskimi, ostatnio jako konsultant ds. bezpieczeństwa cybernetycznego w służbie cywilnej.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Dom Smoka, sezon 2, poprawia makabryczne zabójstwa opisane w książce

Dom Smoka zawsze mówił o tym, jak najmniejsze decyzje mogą mieć nieprzewidziane konsekwencje, ale rzadko ten temat był tak jasny, jak...

iOS 18: 18 najważniejszych funkcji i zmian dla iPhone’a [Video]

W tym wstępnym, praktycznym przewodniku omawiam 18 moich ulubionych nowych zmian i funkcji z pierwszej wersji beta systemu iOS 18 dla iPhone'a. ...

Przeglądarka Chrome na Androidzie może czytać strony internetowe na głos z poziomu aplikacji

Google wprowadza nową opcję o nazwie „Posłuchaj tej strony”, która umożliwia odczytanie strony internetowej na głos w przeglądarce Chrome na Androidzie. Ta...
Advertisment