A hibrid felhők biztosítása: Mit kell tudniuk az informatikai profinek?

A különbség a hibrid felhő, a nyilvános és a magán felhő között A vállalkozás manapság a legtöbb kérdése az, hogy milyen típusú felhőt futtatni: nyilvános, magán vagy hibrid. A különbségek azonban nem egyértelmûek, ezért definiáljuk azokat.

Az állami és a magánszervezetek megállapították, hogy az adatok és a szoftverplatformok felhőbe helyezése nem minden, vagy semmi javaslat. Az informatikai részlegek megtanulják a helyszíni magán-felhő és a harmadik fél nyilvános felhő szolgáltatásának keverékét. Hibrid-felhő platform létrehozása lehetővé teszi a munkaterhelések mozgását a magán és az állami felhők között, mivel a számítási igények és a költségek megváltoznak, így nagyobb rugalmasságot és több adatbevezetési lehetőséget biztosít a vállalkozások számára.

Must-read Cloud

  • Cloud computing 2020-ban: Jóslatok a biztonságról, AI, Kubernetes, stb
  • Az évtized legfontosabb felhő előrehaladása
  • Legjobb asztali szolgáltatás (DaaS) szolgáltatók: Amazon, Citrix, Microsoft, VMware és még sok más
  • Cloud computing házirend (TechRepublic Premium)

Vannak pluszok és mínuszok a hibrid felhők számára. A hibrid-felhő technológiát használók számára biztosított kényelem és alkalmazkodás költségekkel jár: A biztonsági csapatoknak meg kell védeniük a vállalati adatokat, és sok esetben a védett folyamatokat több környezetben. Dave Shackleford, a Voodoo Security fő tanácsadója és a SANS elemzője úgy döntött, hogy foglalkozik ezekkel az aggodalmakkal a SANS fehér könyvben a Hibrid felhő biztosítása: Hagyományos vagy új eszközök és stratégiák című cikkben.

"Amint egyre több szervezet alkalmaz hibrid-felhő modellt, belső biztonsági ellenőrzéseiket és folyamataikat a nyilvános felhő szolgáltatóinak környezetéhez kell igazítaniuk" - írja Shackleford. "Először frissíteni kell a kockázatértékelési és elemzési gyakorlatokat az 1. ábrán felsorolt ​​tételek folyamatos felülvizsgálata érdekében." Ezeket az alábbiakban felsoroljuk.

  • Felhő-szolgáltató biztonsági vezérlői, képességei és megfelelési állapota
  • Belső fejlesztési és hangszerelési eszközök és platformok
  • Műveletkezelési és megfigyelő eszközök
  • Biztonsági eszközök és kezelőszervek mind a házon belül, mind a felhőben

A zsűri még mindig azon dolgozik, hogy ki felelős a felhő biztonságáért. Shackleford ragaszkodik ahhoz, hogy a felhőszolgáltatók és ügyfeleik megoszthassák a felelősséget. Ami az ügyfelet illeti, Shackleford úgy véli, hogy biztonsági csapatának rendelkeznie kell:

  • A jelenleg alkalmazott biztonsági ellenőrzések megfelelő megértése; és
  • Még jobb megértés arról, hogy milyen biztonsági ellenőrzéseket kell módosítaniuk a hibrid-felhő környezetben történő sikeres működéshez.

Shackleford miért magyarázza: "Szinte garantált, hogy egyes biztonsági vezérlők nem úgy működnek, ahogyan a házon belül működtek, vagy nem lesznek elérhetőek felhő-szolgáltató környezetben."

A házon belüli folyamatokat az informatikai szakembereknek ellenőrizniük kell

Shackleford javasolja a következő házon belüli folyamatok megvizsgálását.

Konfiguráció értékelése : Shackleford szerint a következő konfigurációk különösen fontosak a biztonság szempontjából:

  • Operációs rendszer verziója és javítás szintje
  • Helyi felhasználók és csoportok
  • A kulcsfájlok engedélyei
  • Futott edzett hálózati szolgáltatások

Sebezhetőség vizsgálata : A Shackleford azt tanácsolja, hogy a rendszereket folyamatosan ellenőrizni kell, és minden esetleges biztonsági rést be kell jelenteni a példány életciklusa során. Az esetleges letapogatás és becslés szempontjából Shackleford megjegyzi, hogy a következő módszerek egyikét általában hibrid-felhő helyzetekben használják.

  • A hagyományos sebezhetőségi szkennerek néhány gyártója adaptálta termékeit felhő-szolgáltató környezetben történő működéshez, gyakran az API-kra támaszkodva, hogy elkerüljék a kézi kéréseket, hogy ütemesebb vagy eseti alapon behatoljon a behatoló szkennelésekbe.
  • Olyan gazdagép-ügynökökre támaszkodva, amelyek folyamatosan le tudják vizsgálni a megfelelő virtuális gépeiket.

Biztonsági megfigyelés : A hibrid-felhő környezetek szinte mindig léteznek a virtualizált multitenant szervereken, megnehezítve őket ügyfelenkénti támadások figyelésében. "A virtuális infrastruktúra megfigyelése több helyen található: virtuális gép / tároló, virtuális kapcsoló, hipervizor vagy fizikai hálózat." - írja Shackleford. "Szinte minden felhőkörnyezetben az egyetlen hely, amelybe valóban be tudunk lépni, a felhő-szolgáltató által kínált virtuális gép / tároló vagy szoftver által meghatározott hálózat."

"A megfigyelési eszközök építkezésének megfontolása magában foglalja a hálózati sávszélességet, a meglévő dedikált kapcsolatokat és az adatösszevonási / elemzési módszereket" - folytatja Shackleford. "A felhőkben szereplő szolgáltatások, alkalmazások és operációs rendszerek által generált naplókat és eseményeket automatikusan össze kell gyűjteni, és el kell küldeni egy központi gyűjtőplatformra."

Az automatikus távoli naplózással kapcsolatban Shackleford úgy véli, hogy a legtöbb biztonsági csapat már ismeri a megfelelő naplókat, elküldi őket biztonságos központi naplózási szolgáltatásokhoz vagy felhőalapú eseménykezelő platformokhoz, és szorosan figyelemmel kíséri azokat a SIEM és / vagy elemző eszközök segítségével.

Shackleford szerint az ég az, ami korlátozza a megfigyelést. Úgy véli, hogy a következőknek kell prioritást élvezni:

  • Szokatlan felhasználói bejelentkezés vagy bejelentkezési hiba
  • Nagy mennyiségű adat importálása vagy exportálása a felhőkörnyezetbe és onnan
  • Kiváltságos felhasználói tevékenységek
  • Változások a jóváhagyott rendszerképeken
  • Titkosítási kulcsok elérése és módosítása
  • Változások a privilégiumokban és az identitáskonfigurációkban
  • Naplózási és figyelő konfigurációk változásai
  • Felhőszolgáltató és harmadik féltől származó fenyegetésekkel kapcsolatos információk

Silók és pontmegoldások aggodalomra adnak okot

Mindannyian egy sarokba öntöttük magunkat egy szolgáltatással vagy termékkel. Ugyanezen okból kifolyólag, Shackleford határozottan javasolja, hogy kerülje az egyszemélyes szállítói vagy a felhőalapú natív opciókat, amelyek nem kínálnak rugalmasságot a különböző szolgáltatók és környezetek között - minden áron.

"Néhány eladó termék csak meghatározott környezetben fog működni, és a legtöbb felhőszolgáltató beépített szolgáltatásai csak a saját platformon fognak működni" - magyarázza. "Az ilyen silózás jelentős fejfájást okozhat, amikor az üzleti igények arra ösztönzik a szervezeteket, hogy több felhő stratégiát vezessenek be, ami szükségessé teszi a követelményeknek megfelelő biztonsági ellenőrzések újbóli meglátogatását."

Balra váltás biztonság

Shackleford a bal oldali váltás biztonságának erős támogatója, egy egyszerű koncepció, amelyet nehéz megvalósítani; az ötlet az, hogy a biztonsági szempontokat közelebb hozzuk a termék fejlesztési szakaszához. "Más szóval, a biztonság valóban beágyazódik a fejlesztési és működési gyakorlatokba és az infrastruktúrába (ezt gyakorlatot néha SecDevOps vagy DevSecOps néven hívják)" - írja Shackleford. "A Security és a DevOps csapatoknak számos területre vonatkozóan meg kell határozniuk és közzé kell tenniük az informatikai szervezeti szabványokat, ideértve az alkalmazás könyvtárakat és a használatra jóváhagyott operációs rendszer konfigurációkat is."

Végső óvatosság

A szokásos átvilágítás mellett Shackleford azt javasolja, hogy alakítsák ki az alapvonalat az összes létező ellenőrzés és folyamat alapos áttekintésének elvégzésével, mielőtt az adatokat és / vagy folyamatokat áthelyezik a nyilvános felhőbe. "Ez lehetőséget biztosít számukra az érintett adatok megfelelő védelmére, valamint egyenértékű biztonsági lehetőségek keresésére a nyilvános felhőkörnyezetben" - tanácsolja Shackleford. "Keressen olyan eszközöket, amelyek elősegíthetik a házon belüli és a felhőalapú eszközök egy helyen történő kezelését, mivel a biztonsági és műveleti csapatok általában túl vékonyak, és több kezelési és figyelő eszköz kezelésére szolgálnak egy vagy több felhőszolgáltató környezetben."

Kiberbiztonsági bennfentes hírlevél

Erősítse meg szervezetének informatikai biztonsági védelmét azáltal, hogy lépést tartson a legújabb kiberbiztonsági hírekkel, megoldásokkal és a bevált gyakorlatokkal. Keddenként és csütörtökön szállítva

Regisztrálj még ma

© Copyright 2020 | mobilegn.com