Sådan sikres hybridskyer: Hvad it-professionelle har brug for at vide

Forskellen mellem hybrid sky, offentlig sky og privat sky Det største spørgsmål i virksomheden i dag er ofte, hvilken type sky der skal køres: offentlig, privat eller hybrid. Distinktionerne kan dog være uklare, så lad os definere dem.

Offentlige og private organisationer har bestemt, at flytning af data og software platforme til skyen ikke er et alt-eller-intet forslag. IT-afdelinger lærer at køre en blanding af private-cloud-tjenester og tredjeparts public-cloud-tjenester. Oprettelse af en hybrid-cloud-platform giver arbejdsmængder mulighed for at bevæge sig mellem private og offentlige skyer, efterhånden som computerbehov og omkostninger ændres, hvilket giver virksomheder større fleksibilitet og flere muligheder for datadistribution.

Skal-læse sky

  • Cloud computing i 2020: Forudsigelser om sikkerhed, AI, Kubernetes, mere
  • De vigtigste skyfremskridt i årtiet
  • Top desktop som en tjenesteudbyder (DaaS): Amazon, Citrix, Microsoft, VMware og mere
  • Cloud computing-politik (TechRepublic Premium)

Der er plusser og minuser til hybridskyer. Bekvemmelighed og tilpasningsevne, der ydes til dem, der bruger hybrid-cloud-teknologi, er med en omkostning: Sikkerhedsteam skal beskytte firmadata og i mange tilfælde proprietære processer på tværs af flere miljøer. Dave Shackleford, hovedkonsulent for Voodoo Security og en SANS-analytiker, besluttede at tackle disse bekymringer i SANS-hvidbogen Securing the Hybrid Cloud: Traditional vs. New Tools and Strategies.

"Efterhånden som flere organisationer vedtager en hybrid-cloud-model, bliver de nødt til at tilpasse deres interne sikkerhedskontroller og processer til public-cloud-tjenesteudbydermiljøer, " skriver Shackleford. "For at begynde med skal risikovurderings- og analysepraksis opdateres for løbende at gennemgå de poster, der er anført i figur 1." Disse varer er vist nedenfor.

  • Cloud-udbyderens sikkerhedskontrol, kapaciteter og overholdelsesstatus
  • Intern udviklings- og orkestreringsværktøjer og platforme
  • Operations management og overvågningsværktøjer
  • Sikkerhedsværktøjer og kontroller både internt og i skyen

Juryen er stadig ude om, hvem der i sidste ende er ansvarlig for sikkerhed i skyen. Shackleford bekæmper behovet for cloud-serviceudbydere og deres klienter til at dele ansvaret. Hvad angår klienten, mener Shackleford, at dens sikkerhedsteam skal have:

  • En god forståelse af de sikkerhedskontroller, der i øjeblikket er i brug; og
  • En endnu bedre forståelse af, hvilke sikkerhedskontroller de bliver nødt til at ændre for at kunne fungere inden for et hybrid-sky-miljø.

Med hensyn til hvorfor, forklarer Shackleford, "det er næsten garanteret, at nogle sikkerhedskontroller ikke fungerer som de gjorde internt eller ikke vil være tilgængelige i miljøet af cloud-udbydere."

Interne processer it-professionelle bør tjekke

Shackleford foreslår at undersøge følgende interne processer.

Konfigurationsvurdering : Shackleford siger, at følgende konfigurationer er især vigtige, når det kommer til sikkerhed:

  • Operativsystemversion og patch-niveau
  • Lokale brugere og grupper
  • Tilladelser til nøglefiler
  • Hærdet netværkstjenester, der kører

Sårbarhedsscanning : Shackleford anbefaler, at systemer skal scannes løbende med rapportering af eventuelle sårbarheder, der er noteret i forekomstens livscyklus. Hvad angår scanning og vurdering af eventuelle fund, bemærker Shackleford, at en af ​​følgende metoder typisk bruges i hybrid-cloud-situationer.

  • Nogle leverandører af traditionelle sårbarhedsscannere har tilpasset deres produkter til at arbejde i cloud-udbydermiljøer, og de er ofte afhængige af API'er for at undgå manuelle anmodninger om at udføre mere indgribende scanninger på en planlagt eller ad hoc-basis.
  • Stole på værtsbaserede agenter, der kontinuerligt kan scanne deres respektive virtuelle maskiner.

Sikkerhedsovervågning : Hybrid-skymiljøer findes næsten altid på virtualiserede multitenant-servere, hvilket gør dem vanskelige at overvåge for angreb pr. Kunde. "Overvågning af virtuel infrastruktur sker på et af flere steder: VM / containeren, den virtuelle switch, hypervisoren eller det fysiske netværk, " skriver Shackleford. "I næsten alle skymiljøer er det eneste sted, vi virkelig kan benytte os af, VM / container eller softwaredefineret netværk, der tilbydes af skyudbyderen."

"Overvejelser om, hvordan arkitekten overvåger værktøjer inkluderer netværksbåndbredde, dedikerede forbindelser (er) på plads og dataggregations / analysemetoder, " fortsætter Shackleford. "Logfiler og begivenheder, der er genereret af tjenester, applikationer og operativsystemer i skyen, skal automatisk indsamles og sendes til en central indsamlingsplatform."

Med henvisning til automatisk fjernlogning, føler Shackleford, at de fleste sikkerhedsteam allerede er vidende til at indsamle de relevante logfiler, sende dem til sikre centrale logningstjenester eller skybaserede eventstyringsplatforme og overvåge dem nøje ved hjælp af SIEM og / eller analyseværktøjer.

Ifølge Shackleford er himlen grænsen for, hvad der overvåges. Han mener, at følgende bør have prioritet:

  • Usædvanlige brugerlogins eller loginfejl
  • Stor dataimport eller eksport til og fra skymiljøet
  • Priviligerede brugeraktiviteter
  • Ændringer af godkendte systembilleder
  • Adgang til og ændringer til krypteringsnøgler
  • Ændringer til privilegier og identitetskonfigurationer
  • Ændringer i logning og overvågning af konfigurationer
  • Cloududbyder og tredjeparts trusselsinformation

Siloer og punktløsninger er et problem

Vi har alle bokset os ind i et hjørne med en service eller et produkt. Af samme grund tilråder Shackleford kraftigt at undgå single-leverandør eller cloud-native indstillinger, der ikke tilbyder fleksibilitet på tværs af forskellige udbydere og miljøer - for enhver pris.

"Nogle leverandørprodukter fungerer kun i specifikke miljøer, og de fleste cloud-udbyders indbyggede tjenester fungerer kun på deres egne platforme, " forklarer han. "Sådan siloing kan føre til større hovedpine, når forretningsbehov driver organisationer til en multi-cloud-strategi, hvilket nødvendiggør genbesøg af sikkerhedskontrol, der opfylder kravene."

Skift til venstre sikkerhed

Shackleford er en stærk talsmann for skift til venstre sikkerhed, et simpelt koncept, der er vanskeligt at implementere; tanken er at flytte sikkerhedshensyn tættere på produktets udviklingsstadium. "Med andre ord er sikkerhed virkelig integreret med udviklings- og driftspraksis og infrastruktur (en praksis, der undertiden kaldes SecDevOps eller DevSecOps), " skriver Shackleford. "Sikkerheds- og DevOps-teams skal definere og offentliggøre IT-organisatoriske standarder for en række områder, herunder applikationsbiblioteker og OS-konfigurationer, der er godkendt til brug."

En sidste forsigtighed

Udover den normale due diligence foreslår Shackleford, at der dannes en basislinje ved at gennemføre en grundig gennemgang af alle eksisterende kontroller og processer, før data og / eller processer flyttes til den offentlige sky. "Dette vil give dem mulighed for tilstrækkeligt at beskytte de involverede data samt se efter tilsvarende sikkerhedskapaciteter i offentlige skymiljøer, " råder Shackleford. "Kig efter værktøjer, der kan hjælpe dig med at styre både interne og skyaktiver et sted, fordi sikkerheds- og operationsteam normalt er spredt for tyndt til at styre flere styrings- og overvågningsværktøjer på tværs af et eller flere cloud-leverandørmiljøer."

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com