IaaS og Cloud Native brud: Hvorfor virksomheder er i fare

Stop med at ignorere hybride sikkerhedsrisici Karen Roby taler med en sikkerhedsekspert om at beskytte virksomheden i en hybrid IT-verden.

Skal-læse sky

  • Cloud computing i 2020: Forudsigelser om sikkerhed, AI, Kubernetes, mere
  • De vigtigste skyfremskridt i årtiet
  • Top desktop som en tjenesteudbyder (DaaS): Amazon, Citrix, Microsoft, VMware og mere
  • Cloud computing-politik (TechRepublic Premium)

Infrastructure-as-a-Service (IaaS) er en stor risiko for Cloud-Native brud, med 99% af fejlkonfigurationshændelser i offentlige skymiljøer bliver uopdaget, ifølge en McAfee-rapport, der blev offentliggjort i dag.

IaaS er det hurtigst voksende område i skyen som et nyt standard-IT-miljø til interne og eksterne vendende applikationer. Men i hasten med at vedtage IaaS har mange virksomheder overset behovet for sikkerhed, under forudsætning af, at skyudbyderen håndterede det.

Som et resultat har der været adskillige Cloud-Native Breaches (CNB), som er et opportunistisk angreb på data, der er åbne efter fejl i, hvordan skymiljøet blev konfigureret, eller forkert konfigurationer.

De mest populære IaaS-udbydere er store navnefirmaer, herunder Amazon, Microsoft, Alibaba, Google og IBM. Hasten med at anvende denne voksende teknologi efterlader imidlertid sikkerhed som en eftertanke, idet 99% af skykonfigurationer ikke opdages af virksomheder, McAfee's Cloud Native: The Infrastructure-as-a-service (IaaS) Adoption and Risk report found.

Cloududbydere 2019: En købers guide (gratis PDF) (TechRepublic)

IaaS er en cloud computing-model, der kan lejes af virksomheder i form af lager, netværk og fysiske eller virtuelle servere, som rapporteret i ZDNet's Hvad er cloud computing? Alt hvad du har brug for at vide om skyen, forklares. Disse systemer er værdifulde for virksomheder, der selv ønsker at udvikle applikationer og kontrollere alle aspekter af deres data.

Rapporten, der blev frigivet på tirsdag, undersøgte 1.000 virksomhedsorganisationer over hele verden for at afgøre de største IaaS-sikkerhedsproblemer. Skykonfigurationer dominerede trussellandskabet, hvilket efterlod millioner af forbrugerregistre og intellektuel ejendom sårbar overfor tyveri.

"Cloud-fejlkonfiguration er et af de mest forebyggelige, men alligevel almindelige sikkerhedsproblemer, som skyekunder står overfor, " sagde Sekhar Sarukkai, vicepræsident for teknik til skysikkerhed hos McAfee. "Cloud-fejlkonfiguration refererer til en fejl i, hvordan cloud-tjenesten blev konfigureret, hvilket indfører risiko for organisationen og deres data. Cloud-infrastruktur, eller IaaS, er den mest konfigurerbare, som indfører en højere risiko for fejlkonfiguration end SaaS."

Kun 1% af IaaS-fejlkonfigurationer er kendt, fandt rapporten. Mens virksomheder mener, at de gennemsnitligt har 37 fejlkonfigurationer pr. Måned, oplever de virkelig 3.500. Selv når problemerne er blevet kendt, forbliver omkring 27% uopløst, og en fjerdedel af de adspurgte sagde, at det tager dem mere end en dag at løse problemerne.

Cloud-native overtrædelser overtrædelser ikke overfladen som et normalt malware-baseret angreb, sagde Sarukkai. Snarere identificerede rapporten et cloud-native overtrædelse som "en række handlinger fra en modstanderlig skuespiller, hvor de 'Lander' deres angreb ved at udnytte fejl eller sårbarheder i en skyudvidelse uden at bruge malware, 'Udvide' deres adgang gennem svagt konfigurerede eller beskyttede grænseflader til lokalisering af værdifulde data og 'Eksttrér' disse data til deres egen lagerplads. "

Billede: McAfee

Hvorfor håndterer ikke virksomheder disse overtrædelser?

Rapporten fandt, at der er et stort kommunikationsgap i virksomheden, hvilket fører til disse gentagne overtrædelser. Mens 90% af virksomhederne sagde, at de havde oplevet nogle sikkerhedsproblemer med IaaS, troede ca. 12% af it-beslutningstagere - dem, der er tættest på IaaS-miljøet - at de aldrig havde oplevet et problem, og 6% af CXO'erne hævdede at de ikke havde noget problem .

"Frakobling af udøver-ledelse fører til udøveres falske følelse af sikkerhed, " sagde Sarukkai. "Denne frakobling fører til, at seniorledelse bliver selvtilfreds og træffer en suboptimal prioriteringsbeslutning. Denne selvtilfredshed afspejles af vores konstatering, at kun 26% af virksomhederne i øjeblikket kan revidere for IaaS-fejlkonfigurationer med deres eksisterende sikkerhedsværktøjer."

Hastigheden af ​​IaaS-vedtagelse er den vigtigste årsag til, at udøvere ikke kan følge med, konstaterede rapporten. Infrastrukturer ændrer sig hurtigt i skyen, hvilket skaber plads til flere fejl, da kode frigives i kontinuerlig integration og kontinuerlig leveringspraksis (CI / CD).

"Derudover er de fleste organisationer multicloud, hvilket betyder, at de bruger flere cloud-tjenesteudbydere til infrastruktur, hvilket øger vanskeligheden med at revidere konfigurationer på tværs af flere platforme, " sagde Sarukkai.

IaaS: Den nye skygge IT

IT-teams er ikke i stand til at sikre ting, de ikke ved om. Begyndelsen på cloud-adoption startede med medarbejderkøbte apps til samarbejde og fildeling, som IT aldrig var opmærksom på, sammenfattende med betegnelsen Shadow IT, den fundne rapport.

Med stigningen i software-as-a-service (SaaS) var IT-team i stand til at indhente og anbefale de mest nyttige applikationer til erhvervslivet. En lignende tendens dukkede op med infrastrukturoverflader, især hos store udbydere som Amazon Web Services og Microsoft Azure. Hver udbyder har specielle tjenester, der understøtter forretningssager til udvikling af et multicloud-miljø, hvor flere IaaS-udbydere bruges. I øjeblikket er der mange applikationer, der bygges i skyen og går til skyen, men multicloud gør det vanskeligt for virksomheder at bevare kontrollen og synligheden af ​​alle deres IaaS-arkitekturer.

Sikkerhedsforanstaltninger virksomheder bør tage

For at hjælpe virksomheder med bedre at beskytte deres IaaS-strukturer identificerede Sarukkai følgende tre sikkerhedsstrategier:

1. Bygg IaaS-konfigurationsrevision i din CI / CD-proces

Virksomheder skal udføre dette trin tidligt, måske ved indtjekning af kode, for at reducere antallet af fejlkonfigurationer, der kommer i kraft. IT-ledere skal kigge efter sikkerhedsværktøjer, der let fungerer sammen med Jenkins, Kubernetes og mere for at automatisere revisions- og korrektionsprocessen effektivt.

2. Evaluer din IaaS-sikkerhedspraksis ved hjælp af rammer som Land-Expand-Exfiltrate

Ved at kontrollere din praksis mod hele angrebskæden har virksomheder en bedre chance for at stoppe et brud, før det går ud af hånden.

3. Invester i sky-native sikkerhedsværktøjer og træning for sikkerhedsteam

Nogle værdifulde sikkerhedsværktøjer inkluderer Cloud Access Security Brokers (CASB'er), Cloud Security Posture Management (CSPM) og Cloud Workload Protection Platforms (CWPP). Alle tre er lavet til at arbejde inden for DevOps og CI / CD-processer uden at være en kulkopi af det lokale datacentersikkerhed.

Det offentlige cloud-marked Infrastructure-as-a-Service (IaaS) voksede med 31, 3% i 2018 og blev det go-to IT-miljø til hosting af interne og kunde-vendte applikationer i en organisation, ifølge Gartners markedsandel analyse: IaaS og IUS, Verdensomspændende, 2018-rapport.

For mere kan du tjekke Cloud-sikkerhed er for vigtig til at overlade til cloud-udbydere på vores søsterside ZDNet.

Cloud og alt som et service nyhedsbrev

Dette er din go-to ressource for det nyeste om AWS, Microsoft Azure, Google Cloud Platform, XaaS, skysikkerhed og meget mere. Leveres mandage

Tilmeld dig i dag

Se også

  • Multicloud: Et snyderi (TechRepublic)
  • Hybrid sky: En guide til it-proffere (TechRepublic download)
  • Serverløs computing: En guide til IT-ledere (TechRepublic Premium)
  • Top cloud-udbydere 2019: AWS, Microsoft, Azure, Google Cloud; IBM foretager hybridtræk; Salesforce dominerer SaaS (ZDNet)
  • Bedste skytjenester til små virksomheder (CNET)
  • Microsoft Office vs Google Docs Suite vs LibreOffice (Download.com)
  • Cloud computing: Mere must-read dækning (TechRepublic på Flipboard)
Billede: artisteer, Getty Images / iStockphoto

© Copyright 2020 | mobilegn.com