Hibrit bulutların güvenliği: BT uzmanlarının bilmesi gerekenler

Karma bulut, genel bulut ve özel bulut arasındaki fark Günümüzde işletmedeki en büyük soru genellikle hangi bulut türünün çalıştırılacağıdır: genel, özel veya karma. Bununla birlikte, ayrımlar belirsiz olabilir, bu yüzden bunları tanımlayalım.

Kamu ve özel kuruluşlar veri ve yazılım platformlarını buluta taşımanın bir ya hep ya hiç teklifi olmadığını belirlediler. BT departmanları, şirket içi özel bulut ve üçüncü taraf genel bulut hizmetlerinin bir karışımını çalıştırmayı öğreniyor. Karma bulut platformu oluşturmak, iş gereksinimlerinin ve maliyetlerin değişmesiyle iş yüklerinin özel ve genel bulutlar arasında hareket etmesini sağlayarak işletmelere daha fazla esneklik ve daha fazla veri dağıtımı seçeneği sunar.

Okunmalı Bulut

  • 2020'de bulut bilişim: Güvenlik, AI, Kubernetes, daha fazlası hakkında tahminler
  • On yılın en önemli bulut gelişmeleri
  • Hizmet olarak en iyi masaüstü (DaaS) sağlayıcıları: Amazon, Citrix, Microsoft, VMware ve daha fazlası
  • Bulut bilişim politikası (TechRepublic Premium)

Hibrit bulutlara artılar ve eksiler var. Hibrit bulut teknolojisini kullananlara sağlanan kolaylık ve uyarlanabilirlik maliyetlidir: Güvenlik ekipleri şirket verilerini ve çoğu durumda birden fazla ortamdaki özel süreçleri korumalıdır. Voodoo Security'nin baş danışmanı ve bir SANS analisti olan Dave Shackleford, bu endişeleri SANS'ın Hybrid Cloud'un Güvenliğini Sağlama: Geleneksel ve Yeni Araçlar ve Stratejiler başlıklı teknik incelemesinde ele almaya karar verdi.

Shackleford, "Daha fazla kuruluş bir hibrit bulut modelini benimsediğinden, iç güvenlik denetimlerini ve süreçlerini genel bulut hizmet sağlayıcı ortamlarına uyarlamaları gerekecek." "Başlamak için, risk değerlendirme ve analiz uygulamaları Şekil 1'de listelenen öğeleri sürekli olarak gözden geçirecek şekilde güncellenmelidir." Bu öğeler aşağıda listelenmiştir.

  • Bulut sağlayıcı güvenlik denetimleri, yetenekleri ve uyumluluk durumu
  • İç geliştirme ve düzenleme araçları ve platformları
  • Operasyon yönetim ve izleme araçları
  • Hem şirket içinde hem de bulutta güvenlik araçları ve kontrolleri

Jüri, nihayetinde buluttaki güvenlikten kimin sorumlu olduğu konusunda kararsız. Shackleford, bulut hizmeti sağlayıcıları ve müşterilerinin sorumluluğu paylaşma ihtiyacını savunuyor. Müşteriye gelince, Shackleford güvenlik ekibinin aşağıdakilere sahip olması gerektiğine inanıyor:

  • Halen kullanılmakta olan güvenlik kontrollerinin iyi anlaşılması; ve
  • Karma bulut ortamında başarılı bir şekilde çalışmak için hangi güvenlik kontrollerini değiştirmeleri gerektiğinin daha iyi anlaşılması.

Neden, Shackleford, "Bazı güvenlik kontrollerinin şirket içi gibi çalışmadığı veya bulut hizmeti sağlayıcı ortamlarında kullanılamayacağı neredeyse garantilidir."

BT uzmanlarının kontrol etmesi gereken kurum içi süreçler

Shackleford aşağıdaki kurum içi süreçlerin incelenmesini önerir.

Konfigürasyon değerlendirmesi : Shackleford güvenlik söz konusu olduğunda aşağıdaki konfigürasyonların özellikle önemli olduğunu söylüyor:

  • İşletim sistemi sürümü ve yama seviyesi
  • Yerel kullanıcılar ve gruplar
  • Anahtar dosyalardaki izinler
  • Çalışmakta olan sertleştirilmiş ağ hizmetleri

Güvenlik açığı taraması : Shackleford, sistemlerin, örneğin yaşam döngüsü sırasında kaydedilen güvenlik açıklarının bildirilmesiyle birlikte sürekli olarak taranmasını önerir. Bulguların taranması ve değerlendirilmesi ile ilgili olarak, Shackleford aşağıdaki yöntemlerden birinin genellikle hibrit bulut durumlarında kullanıldığını kaydeder.

  • Geleneksel güvenlik açığı tarayıcılarının bazı sağlayıcıları, ürünlerini bulut sağlayıcı ortamlarında çalışacak şekilde uyarladılar ve zamanlanmış veya geçici olarak daha müdahaleci taramalar yapmak için manuel istekleri önlemek için genellikle API'lara güveniyorlar.
  • İlgili sanal makinelerini sürekli olarak tarayabilen ana bilgisayar tabanlı aracılara güvenmek.

Güvenlik izleme : Hibrit bulut ortamları neredeyse her zaman sanallaştırılmış çok kullanıcılı sunucularda bulunur ve bu da müşteri başına saldırıları izlemelerini zorlaştırır. Shackleford, "Sanal altyapıyı izlemek birkaç yerden birinde gerçekleşir: VM / kapsayıcı, sanal anahtar, hipervizör veya fiziksel ağ" diye yazıyor. "Hemen hemen tüm bulut ortamlarında, gerçek anlamda iletişim kurabileceğimiz tek yer, bulut sağlayıcısı tarafından sunulan VM / kapsayıcı veya yazılım tanımlı ağdır."

Shackleford, "Mimar izleme araçlarının nasıl yapılandırılacağı, ağ bant genişliği, özel bağlantı (lar) ve veri toplama / analiz yöntemlerini içerir." "Bulut örnekleri içinde hizmetler, uygulamalar ve işletim sistemleri tarafından oluşturulan günlükler ve olaylar otomatik olarak toplanmalı ve merkezi bir toplama platformuna gönderilmelidir."

Otomatik uzaktan günlüğe kaydetme ile ilgili olarak, Shackleford çoğu güvenlik ekibinin uygun günlükleri toplama, merkezi günlük hizmetlerini veya bulut tabanlı olay yönetimi platformlarına güvenli bir şekilde gönderme ve SIEM ve / veya analiz araçlarını kullanarak bunları yakından izleme konusunda bilgili olduğunu düşünüyor.

Shackleford'a göre, gökyüzü izlenen şeyin sınırıdır. Aşağıdakilerin önceliğe sahip olması gerektiğine inanıyor:

  • Olağandışı kullanıcı girişleri veya giriş hataları
  • Bulut ortamına / ortamından büyük veri içe veya dışa aktarma
  • Ayrıcalıklı kullanıcı etkinlikleri
  • Onaylanan sistem görüntülerindeki değişiklikler
  • Şifreleme anahtarlarına erişim ve değişiklikler
  • Ayrıcalıklarda ve kimlik yapılandırmalarında yapılan değişiklikler
  • Günlük kaydı ve izleme yapılandırmalarındaki değişiklikler
  • Bulut sağlayıcı ve üçüncü taraf tehdit istihbaratı

Silolar ve nokta çözümleri bir sorundur

Hepimiz kendimizi bir hizmet veya ürünle köşeye sıkıştırdık. Aynı nedenden ötürü, Shackleford, her ne pahasına olursa olsun, farklı sağlayıcılar ve ortamlar arasında esneklik sağlamayan tek satıcı veya bulut yerel seçeneklerinden kaçınmanızı şiddetle tavsiye eder.

"Bazı satıcı ürünleri yalnızca belirli ortamlarda çalışır ve çoğu bulut sağlayıcısının yerleşik hizmetleri yalnızca kendi platformlarında çalışır." "Bu silolama, işletmelerin organizasyonları çoklu bulut stratejisine yönlendirmesi gerektiğinde büyük baş ağrılarına yol açabilir, bu da gereksinimleri karşılayan güvenlik kontrollerinin yeniden ziyaret edilmesini gerektirir."

Vardiya sol güvenliği

Shackleford, uygulanması zor olan basit bir kavram olan vardiya-sol güvenliğin güçlü bir savunucusudur; fikir, güvenlik konularını ürünün geliştirme aşamasına yaklaştırmaktır. Shackleford, "Başka bir deyişle, güvenlik gerçekten geliştirme ve operasyon uygulamaları ve altyapısı (bazen SecDevOps veya DevSecOps olarak adlandırılan bir uygulama) ile gömülüdür." "Güvenlik ve DevOps ekipleri, kullanım için onaylanmış uygulama kitaplıkları ve işletim sistemi yapılandırmaları da dahil olmak üzere bir dizi alan için BT organizasyon standartlarını tanımlamalı ve yayınlamalıdır."

Son bir uyarı

Normal durum tespiti yanında Shackleford, verileri ve / veya süreçleri genel buluta taşımadan önce mevcut tüm kontrolleri ve süreçleri kapsamlı bir şekilde gözden geçirerek bir temel oluşturmayı önerir. Shackleford, "Bu onlara ilgili verileri yeterince koruma fırsatı sunmanın yanı sıra genel bulut ortamlarında eşdeğer güvenlik yetenekleri arama fırsatı da sağlayacak." "Güvenlik ve operasyon ekipleri, bir veya daha fazla bulut sağlayıcı ortamında birden çok yönetim ve izleme aracını yönetmek için genellikle çok ince olduğundan, hem şirket içi hem de bulut varlıklarını tek bir yerden yönetmenize yardımcı olabilecek araçlar arayın."

Siber Güvenlik Insider Haber Bülteni

En son siber güvenlik haberlerini, çözümlerini ve en iyi uygulamalarını takip ederek kuruluşunuzun BT güvenlik savunmasını güçlendirin. Salı ve Perşembe günleri teslim edilir

Bugün kayıt olun

© Copyright 2020 | mobilegn.com