IaaS és felhőbeli natív jogsértések: Miért vannak veszélyben a vállalatok?

Ne hagyja figyelmen kívül a hibrid felhőbiztonsági kockázatokat. Karen Roby egy biztonsági szakértővel tárgyal a vállalkozás védelméről a hibrid informatikai világban.

Must-read Cloud

  • Cloud computing 2020-ban: Jóslatok a biztonságról, AI, Kubernetes, stb
  • Az évtized legfontosabb felhő előrehaladása
  • Legjobb asztali szolgáltatás (DaaS) szolgáltatók: Amazon, Citrix, Microsoft, VMware és még sok más
  • Cloud computing házirend (TechRepublic Premium)

Az infrastruktúra-szolgáltatásként (IaaS) nagy a veszélye a felhőbeli natív jogsértéseknek: a nyilvános felhőkörnyezetben a téves konfigurációval kapcsolatos események 99% -át észrevétlenül veszik észre - mondja a ma közzétett McAfee jelentés.

Az IaaS a felhő leggyorsabban növekvő területe, amely új alapértelmezett informatikai környezetet jelent a belső és külső alkalmazások számára. De az IaaS elfogadásának rohama mellett sok vállalat figyelmen kívül hagyta a biztonság szükségességét, feltételezve, hogy a felhő-szolgáltató kezeli azt.

Ennek eredményeként számos felhőalapú megsértés (CNB) történt, amelyek oportunisztikus támadást jelentenek az adatok előtt, amelyeket a felhőkörnyezet konfigurálásának hibái vagy téves konfigurációk okoztak.

A legnépszerűbb IaaS szolgáltatók a nagyvállalatok, köztük az Amazon, a Microsoft, az Alibaba, a Google és az IBM. A növekvő technológia elfogadásának rohama azonban későn hagyja a biztonságot, mivel a felhő hibás konfigurációinak 99% -át a vállalatok nem veszik észre, a McAfee Cloud Native: Az infrastruktúra-szolgáltatásként elfogadása és kockázati jelentése megtalálható.

Felhőszolgáltatók 2019: Vevői útmutató (ingyenes PDF) (TechRepublic)

Az IaaS egy felhőalapú számítástechnikai modell, amelyet a cégek kölcsönözhetnek tárolás, hálózatépítés, valamint fizikai vagy virtuális szerverek formájában, a ZDNet Mi a felhőalapú számítástechnika című részében? Minden, amit tudnod kell a felhőről, magyarázta. Ezek a rendszerek értékes vállalatok számára, amelyek maguk fejlesztik az alkalmazásokat, és ellenőrzik az adatok minden szempontját.

A kedden kiadott jelentés világszerte 1000 vállalati szervezetet vizsgált meg, hogy meghatározza a legnagyobb IaaS biztonsági kérdéseket. A felhő téves konfigurációi uralták a fenyegetési környezetet, így fogyasztói nyilvántartások és szellemi tulajdonok millióit veszélyeztette lopás.

"A felhő téves konfigurációja az egyik leginkább megelőzhető, mégis a biztonsági problémákkal szembesül a felhő ügyfeleivel" - mondta Sekhar Sarukkai, a McAfee felhőbiztonsági mérnökének alelnöke. "A felhő téves konfigurálása a felhőszolgáltatás konfigurálásának hibájára utal, amely kockázatot jelent a szervezetre és azok adataira. A felhő-infrastruktúra vagy az IaaS a legkonfigurálhatóbb, amely magasabb téves konfiguráció kockázatot jelent, mint a SaaS."

Az IaaS téves konfigurációk csak 1% -a ismert, találta a jelentés. Míg a vállalatok szerint havonta 37 téves konfiguráció történik, tényleg 3500-at tapasztalnak meg. Még ha a kérdéseket ismertetik is, mintegy 27% -uk marad megoldatlanul, és a válaszadók egynegyede azt mondta, hogy a problémák megoldásához egy napnál több időbe telik.

A felhőalapú jogsértések nem olyan normál rosszindulatú programokon alapuló támadásoknak tűnnek, mondta Sarukkai. Inkább a jelentés egy felhőn belüli jogsértést "egy egymással versengő szereplő fellépésének sorozataként határozta meg, amelyben" felhúzza "támadásaikat felhőalapú hibák vagy sebezhetőségek kiaknázásával rosszindulatú programok használata nélkül, " bővíti "hozzáférésüket gyengén konfigurált vagy védett interfészek az értékes adatok megtalálásához, és az adatok kiszűrése a saját tárolóhelyükre. "

Kép: McAfee

Miért nem kezeli a vállalkozás ezeket a jogsértéseket?

A megállapítások szerint a vállalkozásban komoly kommunikációs hiány van, amely ezeket az ismételt jogsértéseket eredményezi. Míg a vállalatok 90% -a azt mondta, hogy valamilyen biztonsági problémát tapasztalt az IaaS-sel, az IT-döntéshozóknak - az IaaS környezethez legközelebb állóknak - kb. 12% -a gondolta, hogy soha nem tapasztalták ezt a problémát, és a CXO-k 6% -a azt állította, hogy nem is ad ki kérdést. .

"A gyakorló-vezetői kapcsolat megszakadása vezet a gyakorló hamis biztonságérzetéhez" - mondta Sarukkai. "Ez a leválasztás azt eredményezi, hogy a felső vezetés önelégültsé válik, és nem optimális a prioritások meghatározása. Ez az elégedettség azt a megállapítást tükrözi, hogy a vállalatoknak csak 26% -a tudja ellenőrizni az IaaS téves konfigurációit a meglévő biztonsági eszközeikkel."

Az IaaS elfogadásának gyorsasága a fő oka annak, hogy a gyakorló orvosok lépést tartsanak - találta a jelentés. Az infrastruktúrák gyorsan változnak a felhőben, és helyet teremtenek még több hibának, mivel a kód folyamatos integráció és folyamatos kézbesítési gyakorlatok (CI / CD) révén kerül kiadásra.

"Ezenkívül a legtöbb szervezet multicloud, vagyis több felhőszolgáltatót használ az infrastruktúrához, megnehezítve a konfigurációk több platformon keresztüli ellenőrzését" - mondta Sarukkai.

IaaS: Az új árnyék IT

Az informatikai csapatok nem tudnak biztosítani azokat a dolgokat, amelyekről nem tudnak. A felhő bevezetésének kezdete az alkalmazottak által beszerzett, az együttműködésre és a fájlmegosztásra épülő alkalmazásokkal kezdődött, amelyekről az IT soha nem volt tudatában, és az Árnyék IT kifejezést hozta létre.

A szoftver-szolgáltatásként (SaaS) növekedésével az informatikai csapatok képesek voltak felzárkózni és ajánlani a vállalkozás számára a leghasznosabb alkalmazásokat. Hasonló tendencia mutatkozik az infrastruktúra felületein, különösen a nagy szolgáltatóknál, például az Amazon Web Services és a Microsoft Azure. Minden szolgáltatónak speciális szolgáltatásai vannak, amelyek támogatják az üzleti eseteket egy többszörös környezet fejlesztéséhez, ahol több IaaS szolgáltatót használnak. Jelenleg sok alkalmazást építenek a felhőbe, és felhőbe fognak lépni, de a multicloud megnehezíti a vállalatok számára, hogy fenntartsák az összes IaaS architektúrájuk irányítását és láthatóságát.

Biztonsági intézkedések a vállalkozások számára

Annak érdekében, hogy a vállalkozások jobban megvédjék az IaaS struktúráikat, Sarukkai a következő három biztonsági stratégiát azonosította:

1. Helyezze az IaaS konfigurációs ellenőrzését a CI / CD folyamatába

A vállalatoknak korán végre kell hajtaniuk ezt a lépést, talán a kód bejelentkezéskor, hogy csökkentsék a hibás konfigurációk számát. Az informatikai vezetőknek olyan biztonsági eszközöket kell keresniük, amelyek könnyen együttműködnek a Jenkins, Kubernetes és még sok máskal, hogy hatékonyan automatizálják az ellenőrzési és javítási folyamatot.

2. Értékelje az IaaS biztonsági gyakorlatát olyan keretrendszer segítségével, mint a Land-Expand-Exfiltrate

Ha ellenőrizte gyakorlatait a támadás teljes lánca ellen, a vállalatok nagyobb esélyt kapnak arra, hogy megállítsák a jogsértést, még mielőtt az kezéből kerülne.

3. Fektessen be felhőalapú biztonsági eszközökbe és a biztonsági csapatok képzésébe

Néhány érdemes biztonsági eszköz például a Cloud Access Security Brokers (CASB), a Cloud Security Posture Management (CSPM) és a Cloud Workload Protection Platform (CWPP). Mindhárom a DevOps és a CI / CD folyamatokban működik, anélkül, hogy a helyszíni adatközpontok biztonsági másolatát képezné.

A Gartner piaci részesedési elemzése szerint az Infrastruktúra-szolgáltatásként (IaaS) nyilvános felhőpiac 2018-ban 31, 3% -kal növekedett, és ez a IT belső környezetré vált a belső és ügyféloldali alkalmazások tárolására egy szervezetben., Világszerte, 2018-as jelentés.

További információkért nézd meg a felhőalapú biztonságot, amely túl fontos ahhoz, hogy felhőszolgáltatókat hagyja testvéreink, a ZDNet oldalán.

Felhő és minden, mint szolgáltatási hírlevél

Ez a forrás az AWS, a Microsoft Azure, a Google Cloud Platform, az XaaS, a felhőbiztonság és még sok más legfrissebb verziójáról. Hétfőn

Regisztrálj még ma

Lásd még

  • Multicloud: Csalólap (TechRepublic)
  • Hibrid felhő: Útmutató az informatikai szakemberekhez (TechRepublic letöltés)
  • Szerver nélküli számítástechnika: Útmutató az IT vezetők számára (TechRepublic Premium)
  • Legjobb felhő-szolgáltatók 2019: AWS, Microsoft, Azure, Google Cloud; Az IBM mozgatja a hibrid rendszert; A SaaS-t (ZDNet) az értékesítő erő uralja
  • A legjobb felhőalapú szolgáltatások kisvállalkozások számára (CNET)
  • Microsoft Office vs Google Docs Suite vs LibreOffice (Download.com)
  • Cloud computing: Több olvasható lefedettség (TechRepublic a Flipboardon)
Kép: művész, Getty Images / iStockphoto

© Copyright 2020 | mobilegn.com