Video: Yhteishakuilta 9.-luokkalaisille ja vanhemmille - yhteishaku 2021 (Lokakuu 2024)
Tuleva vuosi lupaa merkittävää kasvua julkisten pilvipalveluntarjoajien ja SaaS-ohjelmistoratkaisujen toimittajille. Yhden suhteen uudet perustason tekniikat, kuten mikropalvelun käyttöönotot ja blockchain, tarjoavat muun muassa käyttämättömiä mahdollisuuksia innovaatioihin. Mutta ehkä entistä tärkeämpää, yksi useimmista CIO: n mainitsemista pilvien käyttöönoton estäjistä (nimittäin tietoturva ja tietoturva) näyttää lopulta siirtyvän taustalle, etenkin yrityksille ja keskisuurille yrityksille.
Vaikka analyytikot ovat yhtä mieltä siitä, että useimmilla nykyään yrityksillä - mukaan lukien yritys- ja keskisuuret segmentit - on joitain pilvipalveluiden käyttöönottoja vaihtelevassa määrin, he ovat yhtä mieltä myös siitä, että suuremmilla organisaatioilla on ollut hidasta siirtää suuria työtaakkoja pilveen. Ensisijaisena syynä tähän ovat pilviturvallisuus ja data turvallisuutta. Se on tärkeää näille asiakkaille paitsi siksi, että nämä organisaatiot muuttaisivat valtavasti tietomääriä, vaan myös siksi, että tiukat vaatimustenmukaisuuden ja lakisääteiset tarkastukset, kuten sairausvakuutusten siirrettävyyttä ja vastuullisuutta koskeva laki (HIPAA) ja ISO 27001, ovat heille kriittisiä. tehdä kauppaa. Tietoturva on näiden CIO: ien mielessä, ja viime aikoihin asti se ei ollut yksinkertaisesti riittävän vahvaa, jotta ne pystyisivät omaksumaan pilven laajassa mittakaavassa.
Mutta vuoden 2017 analyytikoiden ennusteiden mukaan kaikki on muuttumassa. Pilviturvallisuus on edennyt erittäin pitkälle viimeisen puolen vuosikymmenen aikana ja näyttää siltä, että monet IT-ammattilaiset ja CIO: t ovat yhtä mieltä. Tämä tarkoittaa, että analyytikot ennustavat, että pilvipalveluinfrastruktuurin ja -palvelujen käyttöönotto yrityssektorilla on paljon suurempi vuonna 2017.
Tein sähköpostihaastattelun tunnetun hallitun pilvipalveluntarjoajan Rackspace-yksikön päällikön Brian Kellyn kanssa selvittääkseni mitä pilviturvallisuudessa muuttuu tulevana vuonna - ja nähdäkseni, onko hän samaa mieltä näiden analyytikoiden ennusteiden kanssa.
PCMag: Kuinka tarkasti Rackspace näkee sen roolin verrattuna asiakkaidensa IT-henkilöstöön, kun kyse on tietoturvasta?
Brian Kelly (BK): Näemme suoria todisteita siitä, että asiakkaat tulevat pilveen turvallisuuden takia sen sijaan, että pakenevat siitä. Muutamia poikkeuksia lukuun ottamatta yrityksillä ei yksinkertaisesti ole resursseja ja taitoja puolustaa organisaatioitaan tehokkaasti kehittyneemmiltä ja jatkuvilta uhilta. Samoin pilvipalveluntarjoajat tunnustavat, että liiketoimintamme tulevaisuus riippuu luottamuksen tuottamisesta tehokkaiden turvallisuuskäytäntöjen avulla. Huolimatta pilvipalveluntarjoajien lisääntyneistä investoinneista turvallisuuteen, organisaation omaisuuden suojaaminen on aina yhteinen vastuu. Pilvipalveluntarjoaja vastaa suoraan tilojen, tietokeskusten, verkkojen ja virtuaalisen infrastruktuurin suojaamisesta, mutta kuluttajilla on myös vastuu käyttöjärjestelmien, sovellusten, tietojen, käyttöoikeuksien ja käyttöoikeuksien suojaamisesta.
Forrester keksi termin "epätasainen kädenpuristus" viitaten tähän jaettuun vastuuseen. Joissakin suhteissa kuluttajat uskovat, että he kantavat taakkansa tietojensa turvallisuudelle. Tämä on voinut olla totta muutama vuosi sitten; olemme kuitenkin todistamassa kädenpuristuksen tasapainottamista. Toisin sanoen pilvipalveluntarjoajat voivat ja heidän pitäisi tehdä enemmän, jotta kuluttajat jakavat vastuun turvallisuudesta. Tämä voi tapahtua yksinkertaisesti lisäämällä isännöityjen työmäärien näkyvyyttä ja avoimuutta, tarjoamalla pääsy ohjaustasoille tai tarjoamalla hallittuja turvallisuuspalveluita. Vaikka kuluttajan turvallisuusvastuut eivät koskaan katoa, pilvipalveluntarjoajat jatkavat entistä enemmän vastuutaan ja toimittavat lisäarvoa hoitavia tietoturvatarjouksia rakentaakseen luottamuksen, jota molemmat osapuolet tarvitsevat toimiakseen turvallisesti pilvessä.
PCMag: Onko sinulla neuvoja IT-ammattilaisille ja yritysasiakkaille siitä, mitä he voivat tehdä sen lisäksi, mitä palveluntarjoaja tarjoaa, jotta voidaan suojata pilvipohjaisia tietoja itse?
BK: Heidän on jatkettava parhaiden tietoturvakäytäntöjen käyttöönottoa erillisalueissaan. Heidän on jaettava erillisalueen työmäärät vastuullisesti kompromissien rajoittamiseksi, varmistettava, että työympäristöt (käyttöjärjestelmät, säilöt, virtuaaliset lähiverkot) on asianmukaisesti suojattu ja paikattu, hyödynnettävä pääte- ja verkkotason tunnistus- ja vastaustekniikoita (IDS / IPS, haittaohjelmien havaitseminen ja suojaaminen) ja hallitsemaan tilejä ja pääsyjä aktiivisesti. Usein asiakkaat voivat sisällyttää nämä palvelut ja tekniikat pilvikäytösopimuksiinsa, mutta jos ei, kuluttajan on varmistettava, että se tapahtuu heidän puolellaan.
PCMag: Yksi avainkysymys, jonka olemme nähneet lukijoiden kysyvän, on tehokas puolustus massiivisia esineiden Internet (IoT) -voimaisia hajautettuja palvelunestohyökkäyksiä vastaan, samanlainen kuin viime lokakuussa tapahtunut tapaus, jossa kiinalainen Internet-tavarantoimittaja vahingossa panosti vahingossa voimakkaasti hyökkäys. Toimivatko tällaiset hyökkäykset Internet-palveluntarjoajien kanssa? Ja kuinka he pitävät hyökkäyksen yhden asiakkaan kimppuuna poistamalla kaikki laitoksen yksiköt?
BK: DDoS-puolustuksen päätavoite on saatavuuden ylläpitäminen hyökkäyksen aikana. IoT: n DDoS-hyökkäysominaisuudet ovat hyvin tunnettuja, ja niitä voidaan lieventää toteuttamalla parhaita tietoturvakäytäntöjä ja käyttämällä älykkäitä DDoS-lieventämisjärjestelmiä. Suurin uhka ei ole Internet-hyökkäysmenetelmä, vaan valtava määrä haavoittuvia Internet-yhteensopivia laitteita. Verkot on lukittava, jotta Internetin uhille altistumista voidaan rajoittaa. Verkko-operaattoreiden on oltava aktiivisia havaitsemalla kaikki mahdolliset uhat ja tietämällä tehokkaimmat tekniikat niiden lieventämiseksi, säilyttäen samalla kyvyn analysoida ja luokitella kaikki verkkoliikenne.
Vahva DDoS-lieventämisstrategia vaatii kerroksellista, puolustavaa lähestymistapaa. Laaja Internet-laitteiden lukumäärä vaikeuttaa Internet-hyökkäysten lieventämistä pienimuotoisissa verkoissa. IoT-hyökkäyksen tehokkuus on sen joustavuus luoda erilaisia hyökkäysvektoreita ja tuottaa massiivista, suuren määrän DDoS-liikennettä. Jopa kaikkein kovemmat verkot voivat nopeasti hukkua valtavan määrän liikennettä, jonka IoT voi tuottaa kykenevän hyökkääjän käsissä. Alkupään Internet-palveluntarjoajat ovat usein paremmin varusteltuja ja henkilökunnassa käsittelemään näitä laajamittaisia hyökkäyksiä, jotka kylläisivät nopeasti pieniin verkkoyhteyksiin. Lisäksi verkon toiminnan laajuus ja tällaisten hyökkäysten lieventämiseen tarvittavat työkalut saattavat tehokkaan havaitsemisen ja reagoinnin useimpien organisaatioiden ulottumattomissa. Parempi ratkaisu on tällaisten toimintojen ulkoistaminen pilvipalveluntarjoajien ylävirran Internet-palveluntarjoajille, jotka toimivat jo tämän verkon mittakaavassa.
Alkupään Internet-palveluntarjoajilla on monia etuja, koska Internet-yhteyspisteiden monipuolisuus on monipuolinen, ja ne voivat siirtää liikennettä. Heillä on myös yleensä tarpeeksi suuria dataputkia, jotta ne pystyisivät absorboimaan paljon DDoS-liikennettä alun perin, kun uudelleenreititysliikenteen vasteaktiviteetit pyörivät. "Ylävirta" on hyvä termi, koska se on jonkin verran analoginen joen varrella sijaitsevien patojen kanssa. Tulvan aikana voit suojata taloja alavirtaan käyttämällä kutakin padoa ottamalla asteittain enemmän vettä jokaisesta padon luomasta järvestä ja mittaamaan virtausta alavirran tulvien estämiseksi. Kaistanleveys ja tukiasemien monimuotoisuus ylävirran Internet-palveluntarjoajilla tarjoavat samanlaisen joustavuuden. Heillä on myös Internet-yhteisössä neuvotellut protokollat DDoS-liikenteen siirtämiseksi lähempänä lähteitä, joita ne voivat aktivoida.
Kuten muissakin tapauksissa reagointi, suunnittelu, valmistelu ja harjoittelu ovat välttämättömiä. Mitkään kaksi hyökkäystä eivät ole täsmälleen samoja, joten vaihtoehtojen ja olosuhteiden ennakoiminen ja niiden suunnittelu ja harjoittelu ovat ratkaisevan tärkeitä. IoT-hyökkäysskenaarioihin sisältyy verkon skannaaminen haavoittuvien laitteiden varalta ja korjaavien toimenpiteiden toteuttaminen. Sinun tulisi myös estää suojaavien Internet-laitteiden skannaus verkon ulkopuolelta. Auttaa tiukan pääsynhallinnan ja käyttöjärjestelmän karkaisun toteuttamisessa ja kehittää menettelyjä erilaisten koodiversioiden, verkotettujen laitteiden ja sovellusten korjaamiseksi.
Napsauta kuvaa saadaksesi täydellisen infografian. Kuvan luotto: Twistlock
PCMag: Toinen lukijoiden kysymys koskee konttien turvallisuutta. Oletko huolissasi aseellisista astioista, jotka voivat sisältää monimutkaisia hyökkäysjärjestelmiä, vai luuletko arkkitehtuurin suojaavan sellaisilta hyväksikäytöiltä?
BK: Turvallisuus minkä tahansa äskettäin korostetun tekniikan kanssa on aina korostunut huolenaihe - kontit eivät ole ainutlaatuisia tässä suhteessa. Mutta kuten monien turvallisuushaasteiden kohdalla, on myös kompromisseja. Vaikka riski voi olla lisääntynyt, uskomme myös, että olemassa on tehokkaita lieventämisstrategioita riskeille, joita voimme hallita.
Säiliö on pohjimmiltaan erittäin ohimenevä ja kevyt, virtualisoitu käyttöjärjestelmäympäristö. Ovatko virtuaalikoneet vähemmän turvallisia kuin erilliset fyysiset palvelimet? He ovat useimmissa tapauksissa. Monet yritykset näkevät kuitenkin virtualisoinnin kustannushyödyt (vähemmän kuluja, helpompaa hallita, ne voivat käyttää koneita helposti uudelleen) ja he päättävät hyödyntää niitä samalla lieventääkseen niin monta riskiä kuin mahdollista. Intel jopa tajusi, että ne voisivat auttaa vähentämään joitain riskejä itse, ja siitä Intel VT tuli.
Kontit vievät alkuperäiset kustannussäästöt ja virtualisoinnin joustavuuden edelleen. ne ovat myös vaarallisempia, koska kunkin säilön ja isäntäkäyttöjärjestelmän välillä on erittäin ohut seinä. En ole tietoinen laitteiston tuesta eristämiselle, joten ytimen tehtävänä on pitää kaikki linjassa. Yritysten on punnittava tämän uuden tekniikan kustannukset ja joustavuusedut yhdessä näiden riskien kanssa.
Linux-asiantuntijat ovat huolestuneita, koska kukin säilytyslaite jakaa isännän ytimen, mikä tekee hyödyntämispinta-alasta paljon suuremman kuin perinteiset virtualisointitekniikat, kuten KVM ja Xen. Joten, on olemassa potentiaalia uudelle hyökkäykselle, jossa hyökkääjä hakkeroi oikeudet yhdessä säilössä päästäkseen toiseen säilöön tai vaikuttamaan olosuhteisiin siinä.
Meillä ei vielä ole paljon konttikohtaisiin tietoturva-antureihin. Tämän markkina-alueen on mielestäni kypsynyt. Lisäksi säilöt eivät voi käyttää suorittimiin (kuten Intel VT) sisäänrakennettuja suojausominaisuuksia, jotka sallivat koodin suorittamisen eri renkaissa sen käyttöoikeustasosta riippuen.
Loppujen lopuksi fyysisille palvelimille, virtuaalikoneille ja säilöille on olemassa tonnia hyväksikäyttöä. Uudet rajautuvat koko ajan. Jopa ilma-aukkoja käyttäviä koneita käytetään hyväksi. IT-ammattilaisten tulisi olla huolissaan turvallisuuskompromisseista kaikilla näillä tasoilla. Suuri osa puolustuksista on samat kaikille näille käyttöönototyypeille, mutta jokaisella on omat ylimääräiset suojauspuolustukset, joita on käytettävä.
Palveluntarjoajan on käytettävä Linux-suojausmoduuleja (kuten SELinux tai AppArmor) säilytystilojen eristämiseen, ja järjestelmää on seurattava tarkoin. On myös kriittistä pitää isäntä ydin ajan tasalla, jotta vältetään paikallisten etuoikeuksien lisääntymishyökkäykset. Ainutlaatuisen ID: n (UID) eristäminen auttaa myös, koska se estää säilön juurikasvattajaa olemasta juuria isännässä.
PCMag: Yksi syy siihen, että PCMag.com ei ole suorittanut hallittujen turvallisuuspalvelujen tarjoajien laajamittaista vertailua, johtuu siitä, että teollisuudessa on sekaannusta siitä, mitä tämä termi tarkoittaa ja mitä palveluntarjoajien luokka voi ja pitäisi toimittaa. Voitko hajottaa Rackspacen hallitun turvallisuuspalvelun? Mitä se tekee, miten se eroaa muista tarjoajista, ja mihin näet sen menevän, jotta lukijat saavat hyvän kuvan siitä, mitä he kirjaavat, kun he käyttävät tällaista palvelua?
BK: MSSP: n on hyväksyttävä, että turvallisuus ei ole toiminut, ja sopeutettava strategiaansa ja operaatioitaan tehokkaammaksi nykypäivän uhkamaisemassa - joka sisältää hienostuneempia ja pysyviä vastustajia. Rackspace-alueella tunnustimme tämän uhan muutoksen ja kehitimme uusia kykyjä niiden lieventämiseksi. Rackspace Managed Security on 24/7/365 edistynyt havaitsemis- ja reagointitoiminto. Se on suunniteltu paitsi suojaamaan yrityksiä hyökkäyksiltä, myös minimoimaan liiketoiminnan vaikutukset hyökkäyksissä, jopa ympäristön hyökkäyksen jälkeen.
Tämän saavuttamiseksi mukautimme strategiaamme kolmella tavalla:
Keskitymme tietoihin, ei kehään. Hyökkäyksiin tehokkaasti vastaamiseksi tavoitteena on oltava liiketoiminnan vaikutusten minimointi. Tämä vaatii kattavaa ymmärrystä yrityksen liiketoiminnasta sekä suojaamiemme tietojen ja järjestelmien kontekstista. Vasta sitten voimme ymmärtää, miltä normaali näyttää, ymmärtää hyökkäyksen ja reagoida tavalla, joka minimoi vaikutukset liiketoimintaan.
Oletetaan, että hyökkääjät ovat päässeet verkkoon ja käyttävät korkeasti koulutettuja analyytikoita metsästämään heitä alas. Verkossa ollessa hyökkäyksiä on vaikea tunnistaa työkaluilta, koska tietoturvatyökaluille edistyneet hyökkääjät näyttävät järjestelmänvalvojilta, jotka suorittavat normaalia liiketoimintatoimintaa. Analyytikomme etsivät aktiivisesti toimintamalleja, joista työkalut eivät pysty ilmoittamaan - nämä mallit ovat jalanjälkiä, jotka johtavat meidät hyökkääjän luo.
Tieto siitä, että olet hyökkäyksen alla, ei riitä. On kriittistä reagoida hyökkäyksiin, kun niitä tapahtuu. Asiakasturvallisuusoperaatiokeskuksemme käyttää salkkua "ennalta hyväksyttyjä toimia" reagoidaksesi hyökkäyksiin heti, kun he näkevät ne. Nämä ovat pohjimmiltaan ajettuja kirjoja, joita olemme kokeilleet ja testanneet onnistuneesti selviytymään hyökkäyksistä, kun ne tapahtuvat. Asiakkaamme näkevät nämä ajetut kirjat ja hyväksyvät analyytikomme suorittamaan ne suorituksen aikana ajoneuvoon asettamisen aikana. Tämän seurauksena analyytikot eivät ole enää passiivisia tarkkailijoita - he voivat sammuttaa hyökkääjän heti, kun he havaitaan, ja usein ennen pysyvyyden saavuttamista ja ennen kuin liiketoimintaan kohdistuu vaikutuksia. Tämä kyky vastata hyökkäyksiin on ainutlaatuinen Rackspacelle, koska hallitsemme myös infrastruktuuria, jota suojelemme asiakkaillemme.
Lisäksi havaitsemme, että vaatimustenmukaisuus on hyvin suoritetun turvallisuuden sivutuote. Meillä on joukkue, joka hyödyntää turvallisuusoperaation osana toteuttamaamme kurinalaisuutta ja parhaita käytäntöjä todistamalla ja raportoimalla vaatimustenmukaisuusvaatimuksista, joita autamme asiakkaidemme täyttämään.
PCMag: Rackspace on OpenStackin suuri kannattaja, todellakin arvostettu perustaja. Jotkut IT-lukijoistamme ovat kysyneet, onko tällaisen avoimen alustan tietoturvakehitys todella hitaampaa ja tehottomampaa kuin suljetun järjestelmän, kuten Amazon Web Services (AWS) tai Microsoft Azure, kehittämää, koska havaitaan "liian monta kokki" -dilemmaa, joka vaarantaa monia suuria avoimen lähdekoodin projekteja. Kuinka reagoit siihen?
BK: Avoimen lähdekoodin ohjelmistojen avulla "vikoja" löytyy avoimesta yhteisöstä ja korjataan avoimeen yhteisöön. Tietoturvaongelman laajuutta tai vaikutusta ei voida piilottaa. Omistettujen ohjelmistojen avulla olet ohjelmistotoimittajan armoilla korjataksesi haavoittuvuudet. Entä jos he eivät tee mitään haavoittuvuudesta kuuden kuukauden ajan? Entä jos he menettävät tutkijan raportin? Katsomme kaikkia niitä "liikaa kokkeja", joihin viitatte valtavana ohjelmistoturvan mahdollistajana. Sadat älykkäät insinöörit tarkastelevat usein jokaisen suuren avoimen lähdekoodin paketin, kuten OpenStack, kaikkia osia, mikä vaikeuttaa virheiden pääsyä halkeamien läpi. Virheen käsittely ja arviointi vaihtoehtojen korjaamiseksi tapahtuvat avoimesti. Yksityiset ohjelmistopaketit eivät voi koskaan vastaanottaa tällaista koodirivikohtaisia analyysejä, ja korjaukset eivät koskaan saa tällaista avointa tarkistusta.
Avoimen lähdekoodin ohjelmisto sallii myös lieventämisen ohjelmistopinon ulkopuolella. Esimerkiksi, jos OpenStack-tietoturvaongelma ilmenee, mutta pilvipalveluntarjoaja ei voi päivittää tai korjata haavoittuvuutta heti, muut muutokset voidaan tehdä. Toiminto voidaan väliaikaisesti poistaa käytöstä tai käyttäjät voidaan estää käyttämästä sitä käytäntötiedostojen kautta. Hyökkäystä voitaisiin hillitä tehokkaasti, kunnes pitkäaikaista korjausta sovelletaan. Suljetun lähdekoodin ohjelmistot eivät usein salli tätä, koska on vaikea nähdä, mitä on lievennettävä.
Lisäksi avoimen lähdekoodin yhteisöt levittivät nopeasti tietoa näistä turvallisuushaavoista. Kysymys "Kuinka estämme tämän tapahtumasta myöhemmin?" kysytään nopeasti, ja keskustelu tapahtuu yhteistyössä ja avoimesti.
PCMag: Päätämme tämän haastattelun alkuperäisen kysymyksen: Oletko samaa mieltä analyytikoiden kanssa siitä, että vuosi 2017 on "pilkkominen" vuosi yrityspilvien käyttöönoton kannalta, lähinnä tai ainakin osittain johtuen siitä, että yritykset hyväksyvät pilvipalveluntarjoajien tietoturvan?
BK: Astukaamme hetkeksi taaksepäin keskustelemaan pilviympäristöistä. Suurin osa kysymyksestäsi osoittaa julkisille pilvimarkkinoille. Kuten edellä mainitsin, Forresterin tutkijat ovat huomanneet "epätasaisen kädenpuristuksen" pilvipalveluntarjoajien ja kuluttajien välillä siinä mielessä, että pilvipalveluntarjoajat tarjoavat joukon palveluita, mutta pilvipalveluntarjoajat olettavat usein vastaanottavansa paljon enemmän turvallisuuden, varmuuskopion, joustavuuden, jne. Olen kannattanut liittyessään Rackspaceen, että pilvipalveluntarjoajien on tasoitettava tämä kättely olemalla avoimempi kuluttajien kanssa. Kädenpuristus ei ole missään vaiheessa vielä epätasaista, vielä tänäänkin kuin julkisissa pilviympäristöissä.
Yksityiset pilviympäristöt ja etenkin kuluttajan omaan käyttöön tarkoitetut pilviympäristöt eivät kuitenkaan kärsi niin paljon näistä illuusioista. Kuluttajat ovat paljon selkeämpiä siitä, mitä he ostavat ja mitä palveluntarjoajat heille tarjoavat. Silti, kun kuluttajat ovat herättäneet odotuksia ostoprosessissa ja pilvipalveluntarjoajat ovat tehostaneet pelejämme tarjotaksemme täydellisempiä palveluita ja läpinäkyvyyttä, emotionaaliset ja riskeihin liittyvät esteet siirtäessä työkuormia perinteisestä tietokeskuksesta julkiseen pilviympäristöön vähenevät nopeasti.
Mutta en usko, että tämä luo kiihkoa kohti pilveä vuonna 2017. Työmäärien ja koko tietokeskuksen siirtäminen merkitsee merkittävää suunnittelua ja organisaation muutosta. Se eroaa kaukana tietokeskuksen laitteiston päivittämisestä. Kannustan lukijoita tutkimaan Netflix-siirtymää; he muuttivat liiketoimintaansa siirtymällä pilveen, mutta se vaati heiltä seitsemän vuotta kovaa työtä. Yhden osalta he tekivät uudelleen ja kirjoittivat suurimman osan sovelluksistaan, jotta ne olisivat tehokkaampia ja paremmin sopeutuneet pilveen.
Näemme myös, että monet kuluttajat käyttävät yksityisiä pilviä tietokeskuksissaan käyttämällä lähtökohtana hybridipilviarkkitehtuuria. Nämä näyttävät kiihtyvän. Uskon, että adoptiokäyrä näkee kyynärpään vuonna 2017, mutta paisunnan rakentaminen vie muutama vuosi.
