IaaS và Vi phạm bản địa trên đám mây: Tại sao các công ty gặp rủi ro

Ngừng bỏ qua các rủi ro bảo mật đám mây lai Karen Roby nói chuyện với một chuyên gia bảo mật về việc bảo vệ doanh nghiệp trong một thế giới CNTT lai.

Đám mây phải đọc

  • Điện toán đám mây năm 2020: Dự đoán về bảo mật, AI, Kubernetes, v.v.
  • Những tiến bộ đám mây quan trọng nhất của thập kỷ
  • Các nhà cung cấp dịch vụ máy tính để bàn hàng đầu (DaaS): Amazon, Citrix, Microsoft, VMware, v.v.
  • Chính sách điện toán đám mây (TechRepublic Premium)

Theo một báo cáo của McAfee công bố hôm nay, cơ sở hạ tầng dịch vụ cơ sở hạ tầng (IaaS) có nguy cơ rất lớn đối với Vi phạm bản địa trên đám mây, với 99% sự cố cấu hình sai trong môi trường đám mây công cộng sẽ không bị phát hiện.

IaaS là ​​khu vực phát triển nhanh nhất của đám mây như một môi trường CNTT mặc định mới cho các ứng dụng bên trong và bên ngoài. Nhưng trong quá trình áp dụng IaaS, nhiều công ty đã bỏ qua nhu cầu bảo mật, cho rằng nhà cung cấp đám mây đang xử lý nó.

Kết quả là, đã có rất nhiều Vi phạm bản địa trên đám mây (CNB), đây là một cuộc tấn công cơ hội vào dữ liệu bị bỏ ngỏ do lỗi trong cách môi trường đám mây được định cấu hình hoặc cấu hình sai.

Các nhà cung cấp IaaS phổ biến nhất là các công ty tên tuổi bao gồm Amazon, Microsoft, Alibaba, Google và IBM. Tuy nhiên, việc vội vàng áp dụng công nghệ đang phát triển này sẽ khiến an ninh trở thành suy nghĩ, với 99% các cấu hình sai của đám mây sẽ không bị phát hiện bởi các công ty, McAfee's Cloud Native: Báo cáo rủi ro và cơ sở hạ tầng (IaaS) được tìm thấy.

Nhà cung cấp đám mây 2019: Hướng dẫn của người mua (PDF miễn phí) (TechRepublic)

IaaS là ​​mô hình điện toán đám mây có thể được các công ty thuê, dưới dạng lưu trữ, kết nối mạng và máy chủ vật lý hoặc ảo, như được báo cáo trong ZDNet, điện toán đám mây là gì? Tất cả mọi thứ bạn cần biết về đám mây, giải thích. Các hệ thống này có giá trị cho các công ty muốn tự phát triển ứng dụng và kiểm soát tất cả các khía cạnh của dữ liệu của họ.

Báo cáo, được phát hành vào thứ ba, đã khảo sát 1.000 tổ chức doanh nghiệp trên toàn thế giới để xác định các vấn đề bảo mật IaaS lớn nhất. Các cấu hình sai của đám mây thống trị bối cảnh mối đe dọa, khiến hàng triệu hồ sơ người tiêu dùng và tài sản trí tuệ dễ bị đánh cắp.

Sekhar Sarukkai, phó chủ tịch kỹ thuật về bảo mật đám mây tại McAfee cho biết: "Cấu hình sai của đám mây là một trong những vấn đề bảo mật phổ biến nhất nhưng có thể phòng ngừa được. "Cấu hình sai của đám mây đề cập đến lỗi trong cách dịch vụ đám mây được định cấu hình, gây rủi ro cho tổ chức và dữ liệu của họ. Cơ sở hạ tầng đám mây, hoặc IaaS, là cấu hình cao nhất, có nguy cơ cấu hình sai cao hơn SaaS."

Chỉ có 1% cấu hình sai của IaaS được biết, báo cáo được tìm thấy. Trong khi các công ty nghĩ rằng họ trung bình 37 cấu hình sai mỗi tháng, họ thực sự trải nghiệm 3.500. Ngay cả khi vấn đề đã được biết, khoảng 27% vẫn chưa được giải quyết và một phần tư số người được hỏi cho biết họ phải mất hơn một ngày để khắc phục sự cố.

Vi phạm bản địa trên đám mây vi phạm không nổi lên như một cuộc tấn công dựa trên phần mềm độc hại thông thường, Sarukkai nói. Thay vào đó, báo cáo đã xác định vi phạm bản địa trên đám mây là "một loạt các hành động của một tác nhân đối nghịch trong đó họ 'tấn công' cuộc tấn công của họ bằng cách khai thác lỗi hoặc lỗ hổng trong triển khai đám mây mà không sử dụng phần mềm độc hại, 'Mở rộng' quyền truy cập của họ thông qua cấu hình yếu hoặc giao diện được bảo vệ để định vị dữ liệu có giá trị và 'Xuất hiện' dữ liệu đó đến vị trí lưu trữ của riêng họ. "

Hình: McAfee

Tại sao các doanh nghiệp không xử lý các vi phạm này?

Một khoảng cách truyền thông lớn tồn tại trong doanh nghiệp, dẫn đến những vi phạm lặp đi lặp lại, báo cáo được tìm thấy. Trong khi 90% các công ty nói rằng họ đã gặp phải một số vấn đề bảo mật với IaaS, thì khoảng 12% những người ra quyết định về CNTT, những người gần gũi nhất với môi trường IaaS, đã nghĩ rằng họ chưa bao giờ gặp sự cố và 6% CXO tuyên bố không có vấn đề gì .

"Mất kết nối lãnh đạo học viên dẫn đến cảm giác an toàn sai lầm của học viên, " Sarukkai nói. "Sự mất kết nối này dẫn đến việc lãnh đạo cấp cao trở nên tự mãn và đưa ra quyết định ưu tiên dưới mức tối ưu. Sự tự mãn này được phản ánh bởi phát hiện của chúng tôi rằng chỉ có 26% công ty hiện có thể kiểm toán các cấu hình sai của IaaS bằng các công cụ bảo mật hiện có của họ."

Tốc độ áp dụng IaaS là ​​nguyên nhân chính khiến các học viên không theo kịp, báo cáo nhận thấy. Cơ sở hạ tầng thay đổi nhanh chóng trong đám mây, tạo ra chỗ cho nhiều lỗi hơn khi mã được phát hành trong tích hợp liên tục và thực hành phân phối liên tục (CI / CD).

"Ngoài ra, hầu hết các tổ chức là multicloud, có nghĩa là họ sử dụng nhiều nhà cung cấp dịch vụ đám mây cho cơ sở hạ tầng, làm tăng khó khăn trong việc kiểm tra cấu hình trên nhiều nền tảng, " Sarukkai nói.

IaaS: CNTT bóng tối mới

Các đội CNTT không thể bảo đảm những điều họ không biết. Bắt đầu áp dụng đám mây bắt đầu với các ứng dụng do nhân viên mua lại để cộng tác và chia sẻ tệp, điều mà CNTT không bao giờ biết đến, đặt ra thuật ngữ Shadow IT, báo cáo được tìm thấy.

Với sự gia tăng của dịch vụ phần mềm (SaaS), các nhóm CNTT đã có thể bắt kịp và đề xuất các ứng dụng hữu ích nhất cho doanh nghiệp. Một xu hướng tương tự xuất hiện với các bề mặt cơ sở hạ tầng, đặc biệt là với các nhà cung cấp lớn như Amazon Web Services và Microsoft Azure. Mỗi nhà cung cấp có các dịch vụ đặc biệt hỗ trợ các trường hợp kinh doanh để phát triển môi trường đa kênh, trong đó nhiều nhà cung cấp IaaS được sử dụng. Hiện tại, nhiều ứng dụng đang được xây dựng trên đám mây, chuyển sang đám mây, nhưng multicloud khiến các công ty khó duy trì quyền kiểm soát và khả năng hiển thị của tất cả các kiến ​​trúc IaaS của họ.

Các biện pháp an ninh doanh nghiệp nên thực hiện

Để giúp các doanh nghiệp bảo vệ tốt hơn các cấu trúc IaaS của mình, Sarukkai đã xác định ba chiến lược bảo mật sau:

1. Xây dựng kiểm tra cấu hình IaaS vào quy trình CI / CD của bạn

Các công ty phải thực hiện bước này sớm, có lẽ khi đăng ký mã, để giảm số lượng cấu hình sai đi vào kết quả. Các nhà quản lý CNTT nên tìm kiếm các công cụ bảo mật dễ dàng làm việc với Jenkins, Kubernetes và hơn thế nữa để tự động hóa quy trình kiểm toán và sửa lỗi một cách hiệu quả.

2. Đánh giá thực hành bảo mật IaaS của bạn bằng cách sử dụng khung như Land-Expand-Exfiltrate

Bằng cách kiểm tra thực tiễn của bạn chống lại toàn bộ chuỗi tấn công, các công ty có cơ hội tốt hơn để ngăn chặn vi phạm trước khi nó ra khỏi tầm tay.

3. Đầu tư vào các công cụ bảo mật dựa trên đám mây và đào tạo cho các nhóm bảo mật

Một số công cụ bảo mật đáng giá bao gồm Nhà môi giới bảo mật truy cập đám mây (CASB), Quản lý tư thế bảo mật đám mây (CSPM) và Nền tảng bảo vệ khối lượng công việc đám mây (CWPP). Cả ba đều được chế tạo để hoạt động trong các quy trình DevOps và CI / CD, mà không phải là bản sao của bảo mật trung tâm dữ liệu tại chỗ.

Thị trường đám mây công cộng cơ sở hạ tầng (IaaS) đã tăng 31, 3% trong năm 2018, trở thành môi trường CNTT để lưu trữ các ứng dụng nội bộ và khách hàng trong một tổ chức, theo Phân tích thị trường của Gartner: IaaS và IUS, Toàn cầu, báo cáo năm 2018.

Để biết thêm, hãy kiểm tra Bảo mật đám mây là quá quan trọng để chuyển đến các nhà cung cấp đám mây trên trang web ZDNet của chúng tôi.

Đám mây và mọi thứ như một bản tin dịch vụ

Đây là nguồn tài nguyên mới nhất của bạn về AWS, Microsoft Azure, Google Cloud Platform, XaaS, bảo mật đám mây và nhiều hơn nữa. Thứ hai được giao

Đăng ký hôm nay

Cũng thấy

  • Multicloud: Một mánh gian lận (TechRepublic)
  • Đám mây lai: Hướng dẫn cho ưu điểm CNTT (tải xuống TechRepublic)
  • Máy tính không có máy chủ: Hướng dẫn dành cho các nhà lãnh đạo CNTT (TechRepublic Premium)
  • Các nhà cung cấp đám mây hàng đầu 2019: AWS, Microsoft, Azure, Google Cloud; IBM thực hiện di chuyển lai; Lực lượng bán hàng thống trị SaaS (ZDNet)
  • Dịch vụ đám mây tốt nhất cho các doanh nghiệp nhỏ (CNET)
  • Microsoft Office vs Google Docs Suite vs LibreOffice (Download.com)
  • Điện toán đám mây: Phạm vi phải đọc nhiều hơn (TechRepublic trên Flipboard)
Hình ảnh: nghệ sĩ, hình ảnh Getty / iStockphoto

© Copyright 2020 | mobilegn.com