IaaS ve Bulut Yerel İhlalleri: Şirketler neden risk altında

Karma bulut güvenlik risklerini görmezden gelmeyi bırakın Karen Roby, bir güvenlik uzmanıyla, hibrit bir BT dünyasında işletmeyi koruma konusunda konuşuyor.

Okunmalı Bulut

  • 2020'de bulut bilişim: Güvenlik, AI, Kubernetes, daha fazlası hakkında tahminler
  • On yılın en önemli bulut gelişmeleri
  • Hizmet olarak en iyi masaüstü (DaaS) sağlayıcıları: Amazon, Citrix, Microsoft, VMware ve daha fazlası
  • Bulut bilişim politikası (TechRepublic Premium)

Bugün yayınlanan bir McAfee raporuna göre, Hizmet Olarak Altyapı (IaaS), Bulut Yerli İhlalleri için büyük bir risk altındadır. Genel bulut ortamlarındaki yanlış yapılandırma olaylarının% 99'u algılanmayacaktır.

IaaS, dahili ve harici uygulamalar için yeni bir varsayılan BT ortamı olarak bulutun en hızlı büyüyen alanıdır. Ancak IaaS'ı benimseme telaşında, birçok şirket, bulut sağlayıcısının bunu ele aldığını varsayarak, güvenlik ihtiyacını göz ardı etti.

Sonuç olarak, bulut ortamının nasıl yapılandırıldığındaki hatalar veya yanlış yapılandırmalar nedeniyle açık bırakılan verilere fırsatçı bir saldırı olan çok sayıda Bulut Yerel İhlal (CNB) olmuştur.

En popüler IaaS sağlayıcıları Amazon, Microsoft, Alibaba, Google ve IBM gibi büyük isim şirketleridir. Bununla birlikte, bu büyüyen teknolojiyi benimseme telaşı, güvenliği bir sonradan düşünülmüş olarak bırakıyor, McAfee'nin Cloud Native: Hizmet Olarak Altyapı (IaaS) Evlat Edinme ve Risk raporunda, bulut yanlış yapılandırmalarının% 99'u şirketler tarafından algılanmayacak.

Bulut Sağlayıcıları 2019: Bir Alıcının Kılavuzu (ücretsiz PDF) (TechRepublic)

IaaS, şirketler tarafından depolama, ağ oluşturma ve fiziksel ya da sanal sunucular biçiminde, ZDNet'in Bulut Bilişim Nedir? Bulut hakkında bilmeniz gereken her şey açıklandı. Bu sistemler, uygulamaları kendileri geliştirmek ve verilerinin tüm yönlerini kontrol etmek isteyen şirketler için değerlidir.

Salı günü yayınlanan rapor, en büyük IaaS güvenlik sorunlarını belirlemek için dünya çapında 1.000 işletme kuruluşunu inceledi. Bulut yanlış konfigürasyonları tehdit ortamına hâkim oldu ve milyonlarca tüketici kaydı ve fikri mülkiyeti hırsızlığa karşı savunmasız bıraktı.

McAfee'de bulut güvenliği mühendisliği başkan yardımcısı Sekhar Sarukkai, "Bulut yanlış yapılandırması, bulut müşterilerinin karşılaştığı en önlenebilir, ancak yaygın güvenlik sorunlarından biridir." Dedi. "Bulut yanlış yapılandırması, bulut hizmetinin nasıl yapılandırıldığı ve kuruluş ve verileri için risk oluşturan bir hatayı ifade eder. Bulut altyapısı veya IaaS, SaaS'dan daha yüksek bir yanlış yapılandırma riski getiren en yapılandırılabilir olanıdır."

Rapora göre, IaaS yanlış konfigürasyonlarının sadece% 1'i bilinmektedir. Şirketler ayda ortalama 37 yanlış yapılandırma yaptığını düşünürken, gerçekten 3.500 tecrübe ediyorlar. Sorunlar bildirildikten sonra bile, yaklaşık% 27'si çözülmeden kalıyor ve katılımcıların dörtte biri sorunları düzeltmenin bir günden fazla sürdüğünü söyledi.

Bulut kaynaklı ihlaller normal bir kötü amaçlı yazılım tabanlı saldırı gibi görünmüyor, dedi Sarukkai. Bunun yerine, rapor bir bulut-yerel ihlali "kötü niyetli bir aktör tarafından bir dizi eylem olarak" kötü amaçlı yazılım kullanmadan bir bulut dağıtımındaki hataları veya güvenlik açıklarından yararlanarak saldırılarını "karaladıklarını" belirledi. Değerli verileri bulmak için korunan arayüzler ve bu verileri kendi depolama konumlarına 'genişlet'.

Resim: McAfee

İşletmeler neden bu ihlalleri ele almıyor?

Raporda, kurumda bu tekrarlanan ihlallere yol açan önemli bir iletişim boşluğu var. Şirketlerin% 90'ı IaaS ile bazı güvenlik sorunları yaşadıklarını söylerken, BT karar vericilerinin% 12'si - IaaS ortamına en yakın olanlar - hiçbir zaman bir sorun yaşamadıklarını düşündü ve CXO'ların% 6'sı da sorun olmadığını iddia etti .

Sarukkai, "Uygulayıcı-liderlik kopukluğu uygulayıcının yanlış güvenlik duygusuna yol açar." Dedi. Diyerek şöyle devam etti: "Bu kopukluk, üst düzey liderliğin şikayetçi olmasına ve en düşük öncelikli karar vermesine yol açıyor. Bu şikayet, şirketlerin sadece% 26'sının mevcut güvenlik araçlarıyla IaaS yanlış yapılandırmalarını denetleyebildiğine dair bulgularımız tarafından yansıtıldı."

Rapora göre, IaaS'ın benimsenme hızı uygulayıcıların ayak uydurmamasının ana nedenidir. Altyapılar bulutta hızla değişir ve sürekli entegrasyon ve sürekli teslimat uygulamalarında (CI / CD) kod yayınlandığından daha fazla hataya yer açar.

Sarukkai, "Buna ek olarak, çoğu kuruluş çok seslidir, yani altyapı için birden çok bulut hizmet sağlayıcısı kullanır ve yapılandırmaları birden çok platformda denetleme zorluğunu artırır."

IaaS: Yeni Gölge BT

BT ekipleri bilmedikleri şeyleri güvence altına alamıyor. Bulut benimsemenin başlangıcı, BT'nin hiçbir zaman farkında olmadığı, Shadow IT terimini ortaya koyan, işbirliği ve dosya paylaşımı için çalışanlardan edinilen uygulamalarla başladı.

Hizmet olarak yazılımın (SaaS) artmasıyla BT ekipleri, iş için en faydalı uygulamaları yakalayıp önerebildi. Benzer bir eğilim, özellikle Amazon Web Services ve Microsoft Azure gibi büyük sağlayıcılarda altyapı yüzeylerinde ortaya çıktı. Her sağlayıcı, birden fazla IaaS sağlayıcısının kullanıldığı, çok sesli bir ortam geliştirmek için iş durumlarını destekleyen özel hizmetlere sahiptir. Şu anda, bulutta birçok uygulama bulutta yer alıyor, ancak çoklu ses, şirketlerin tüm IaaS mimarilerinin kontrolünü ve görünürlüğünü korumasını zorlaştırıyor.

İşletmelerin alması gereken güvenlik önlemleri

İşletmelerin IaaS yapılarını daha iyi korumalarına yardımcı olmak için Sarukkai aşağıdaki üç güvenlik stratejisini belirledi:

1. CI / CD işleminize IaaS yapılandırma denetimi oluşturma

Şirketler, ortaya çıkan yanlış yapılandırmaların sayısını azaltmak için bu adımı erken, belki de kod girişinde gerçekleştirmelidir. BT yöneticileri, denetim ve düzeltme sürecini etkin bir şekilde otomatikleştirmek için Jenkins, Kubernetes ve daha fazlasıyla kolayca çalışan güvenlik araçlarını aramalıdır.

2. Land-Expand-Exfiltrate gibi bir çerçeve kullanarak IaaS güvenlik uygulamanızı değerlendirin

Tüm saldırı zincirine karşı uygulamalarınızı kontrol ederek, şirketler bir ihlali kontrolden çıkmadan önce durdurma şansına sahip olurlar.

3. Buluta özgü güvenlik araçlarına ve güvenlik ekipleri için eğitime yatırım yapın

Bazı değerli güvenlik araçları arasında Bulut Erişimi Güvenlik Komisyoncuları (CASB'ler), Bulut Güvenlik Duruş Yönetimi (CSPM) ve Bulut İş Yükü Koruma Platformları (CWPP) bulunur. Her üçü de şirket içi veri merkezi güvenliğinin karbon kopyası olmadan DevOps ve CI / CD süreçlerinde çalışacak şekilde tasarlanmıştır.

Gartner'ın Pazar Payı Analizi: IaaS ve IUS'ye göre, Hizmet Olarak Altyapı (IaaS) genel bulut pazarı 2018'de% 31, 3 büyüdü ve bir kuruluşta dahili ve müşteriye dönük uygulamaların barındırılması için BT ortamı haline geldi., Dünya Çapında, 2018 raporu.

Daha fazla bilgi için Kardeş sitemiz ZDNet'teki bulut sağlayıcılarına bırakmak için Bulut güvenliğinin çok önemli olduğunu kontrol edin.

Hizmet Bülteni Olarak Bulut ve Her Şey

Bu AWS, Microsoft Azure, Google Cloud Platform, XaaS, bulut güvenliği ve çok daha fazlası için en yeni kaynakınızdır. Teslim Edilen Pazartesi

Bugün kayıt olun

Ayrıca bakınız

  • Multicloud: Bir hile sayfası (TechRepublic)
  • Hibrit bulut: BT uzmanları için bir rehber (TechRepublic indir)
  • Sunucusuz bilgi işlem: BT liderleri için rehber (TechRepublic Premium)
  • En iyi bulut sağlayıcıları 2019: AWS, Microsoft, Azure, Google Cloud; IBM karma hamle yapıyor; Salesforce SaaS'a (ZDNet) hakim
  • Küçük işletmeler için en iyi bulut hizmetleri (CNET)
  • Microsoft Office ile Google Docs Suite ve LibreOffice Karşılaştırması (Download.com)
  • Bulut bilişim: Daha fazla okunması gereken kapsam (Flipboard'da TechRepublic)
Görüntü: artisteer, Getty Images / iStockphoto

© Copyright 2020 | mobilegn.com