Video: "Морские дьяволы. Рубежи родины". 13 серия (Kasım 2024)
Önümüzdeki yıl, genel bulut servis sağlayıcıları ve Hizmet Olarak Yazılım (SaaS) çözüm sağlayıcıları için önemli bir büyüme vaat ediyor. Birincisi, mikro hizmet dağıtımları ve blok zincirleme gibi yeni vakıf düzeyindeki teknolojiler, diğerleri arasında, yenilik için kullanılmayan yollar sunuyor. Ancak, belki de daha da önemlisi, en çok CIO tarafından belirtilen bulut benimseme engelleyicilerinden biri (yani, güvenlik ve veri güvenliği), özellikle işletmeler ve orta ölçekli işletmeler için nihayet arka plana ilerliyor gibi görünmektedir.
Analistler bugün, çoğu işletme - işletme ve orta ölçekli segmentler dahil - bazı bulut dağıtımlarının değişen derecelerde olduğu konusunda hemfikir olsalar da, daha büyük kuruluşların ana iş yüklerini buluta taşımak için yavaş olduklarını, birincil nedeni bulut güvenliği ve veri olarak kabul ettiklerini kabul ediyorlar. Emniyet. Bu müşteriler için önemli olan, yalnızca bu kuruluşların taşıyacağı büyük miktarda veri nedeniyle değil, aynı zamanda Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA) ve ISO 27001 gibi sıkı bir uyumluluk ve düzenleyici kontrollerin geçirilmesi onlar için kritik önem taşıyor. iş yapmak. Bu CIO'lar için güvenlik en üst düzeydedir ve yakın zamana kadar, bulutu geniş ölçekli bir şekilde benimsemeleri için yeterince sağlam değildi.
Ancak, 2017 yılı analist tahminlerine göre, bu tamamen değişmek üzere. Bulut güvenliği son on yılda çok uzun bir yol kat etti ve pek çok BT uzmanı ve CIO'su aynı fikirde görünüyor. Bu, analistlerin 2017 yılında işletme sektöründen bulut altyapısını ve hizmetlerini daha büyük bir şekilde ele geçireceğimizi tahmin edeceği anlamına geliyor.
Önümüzdeki yıl bulut güvenliği konusunda neyin değişip değişmediğini bulmak ve bu analistlerin öngörülerine katılıp katılmadığını görmek için tanınmış yönetilen bulut sağlayıcı Rackspace’deki Güvenlik Şefi Brian Kelly ile bir e-posta röportajı yaptım.
PCMag: Rackspace, veri güvenliği ve güvenliği söz konusu olduğunda, müşterilerinin BT personelinin rolüne karşı rolünü tam olarak nasıl görüyor?
Brian Kelly (BK): Müşterilerin buluta kaçmak yerine güvenlik nedeniyle buluta geldiklerine dair doğrudan kanıtlar görüyoruz. Birkaç istisna dışında, şirketler basitçe örgütlerini daha sofistike ve kalıcı tehditlere karşı etkin biçimde savunacak kaynak ve becerilere sahip değillerdir. Benzer şekilde, bulut sağlayıcıları, işletmelerimizin geleceğinin, etkili güvenlik uygulamaları aracılığıyla güven ve güven sağlamaya bağlı olduğunu kabul eder. Bulut sağlayıcıların güvenlik alanındaki artan yatırımlarına rağmen, kurumsal varlıkları korumak her zaman ortak bir sorumluluk olarak kalacaktır. Bulut sağlayıcısı tesislerin, veri merkezlerinin, ağların ve sanal altyapının korunmasından doğrudan sorumlu olsa da, tüketicilerin işletim sistemlerini, uygulamaları, verileri, erişimi ve kimlik bilgilerini koruma sorumluluğu da vardır.
Forrester, bu ortak sorumluluğa atıfta bulunan "düzensiz el sıkışma" terimini kullandı. Bazı açılardan tüketiciler, verilerinin güvenliği için yükü omuzladıklarına inanmaktadır. Bu birkaç yıl önce doğru olmuş olabilir; Ancak, el sıkışmasının dengelenmesine tanık oluyoruz. Yani, bulut sağlayıcıları tüketicilerin güvenlik sorumluluğunu paylaşması için daha fazlasını yapabilir ve yapmalıdır. Bu, barındırılan iş yüklerinde daha fazla görünürlük ve şeffaflık sağlama, kontrol düzlemlerine erişim sağlama veya yönetilen güvenlik hizmetleri sunma biçimini alabilir. Bir tüketicinin güvenlik sorumlulukları hiçbir zaman kaybolmazken, bulut sağlayıcıları daha fazla sorumluluk almaya ve her iki tarafın da bulutta güvenli bir şekilde çalışması için gerekli güven oluşturmak için katma değerli yönetilen güvenlik teklifleri sunmaya devam edecektir.
PCMag: BT uzmanları ve işletme müşterileri için, bir sağlayıcının bulut tabanlı verilerinin korunmasına yardımcı olmak için sunduklarına ek olarak yapabilecekleri hakkında herhangi bir tavsiyeniz var mı?
BK: Güvenlik bölgelerinde güvenlikle ilgili en iyi uygulamaları uygulamaya devam etmeleri gerekiyor. İş yüklerinin kapsamını sınırlandırmak, iş yükü ortamlarının (işletim sistemleri, konteynerler, sanal LAN'lar) uygun şekilde sabitlenmesini ve yamalanmasını sağlamak, uç nokta ve ağ düzeyinde algılama ve yanıt teknolojilerinden (IDS / kaldıraç sağlamak) emin olmak için iş yüklerini enklavda sorumlu bir şekilde bölümlendirmeleri gerekir. IPS, kötü amaçlı yazılım algılama ve tutma) ve hesapları ve erişimleri etkin bir şekilde yönetin. Genellikle, müşteriler bu hizmetleri ve teknolojileri bulut kullanım sözleşmelerine dahil edebilirler, ancak olmasa da, tüketici kendi tarafında olmasını sağlamalıdır.
PCMag: Okuyucuların sorduğunu gördüğümüz önemli bir soru, bir Çinli IoT satıcısının istemeden büyük ölçüde katkıda bulunduğu geçen Ekim ayındaki olaya benzer şekilde, Nesnelerin İnterneti (IoT) destekli dağıtılmış hizmet reddi (DDoS) saldırılarına karşı etkili savunma hakkında saldırı. Bu tür saldırılar, yukarı yöndeki İnternet Servis Sağlayıcıları (ISS'ler) ile çalışır mı? Ve bir müşteriye yapılan bir saldırının tesisteki herkesi ele geçirmesini nasıl önlerler?
BK: DDoS savunmasının asıl amacı, saldırı sırasında kullanılabilirliği korumaktır. IoT'nin DDoS saldırı yetenekleri iyi bilinmektedir ve en iyi güvenlik uygulamalarını uygulayarak ve akıllı DDoS azaltma sistemlerini kullanarak başarıyla azaltılabilir. En büyük tehdit, IoT'ye yapılan saldırıların yöntemi değil, aynı zamanda çok sayıda savunmasız internet özellikli cihazdır. İnternetteki tehditlere maruz kalmayı sınırlandırmak için ağların kilitlenmesi gerekir. Ağ operatörlerinin tüm olası tehditleri tespit etmede ve tüm ağ trafiğini analiz etme ve sınıflandırma yeteneğini korurken, bunları azaltmak için en etkili teknikleri bilmede proaktif olmaları gerekir.
Güçlü bir DDoS azaltma stratejisi katmanlı ve savunmacı bir yaklaşım gerektiriyor. Çok sayıda IoT cihazı, küçük ölçekli ağlar için IoT saldırılarını azaltmayı zorlaştırıyor. IoT saldırısının etkinliği, farklı saldırı vektörleri üretme ve büyük, yüksek hacimli DDoS trafiği üretme esnekliğidir. En sertleşmiş ağlar bile, IoT'nin yetenekli bir saldırganın ellerinde üretebileceği devasa trafik yoğunluğu yüzünden hızla boğulabilir. Yukarı akış ISS'leri, genellikle küçük ağ bağlantılarını hızla doyuracak olan bu büyük çaplı saldırılarla başa çıkmak için daha donanımlı ve personele sahiptir. Ayrıca, bir ağın işletme ölçeği ve bu tür saldırıları hafifletmek için gereken araçlar, çoğu kuruluşun erişemeyeceği yerlerde etkili bir algılama ve yanıt verilmesini sağlar. Daha iyi bir çözüm, bu tür operasyonları, zaten bu ağ ölçeğinde çalışan bulut sağlayıcılarının yukarı akış ISS'lerine dış kaynak olarak sunmaktır.
Giriş yukarı ISS'ler, trafiği değiştirebilecekleri güçlü İnternet erişim noktalarının çeşitliliği sayesinde birçok avantaja sahiptir. Bunlar ayrıca genellikle başlangıçta birçok DDoS trafiğini absorbe edecek kadar büyük veri borularına sahipken, yeniden yönlendirme trafiğinin yanıt faaliyetleri artmaktadır. "Yukarı akış" iyi bir terimdir, çünkü bir nehir boyunca bir dizi barajın benzeridir. Bir su baskını sırasında, barajın oluşturduğu her gölde aşamalı olarak daha fazla su yakalamak için aşağı havzadaki evleri koruyabilir ve aşağı havza taşmasını önlemek için debiyi ölçebilirsiniz. Yukarı akış ISS'ler için bant genişliği ve erişim noktası çeşitliliği aynı esnekliği sağlar. Ayrıca, DDoS trafiğini etkinleştirmek için kullanabilecekleri kaynaklara yaklaştırmak için internet topluluğu genelinde müzakere edilen protokollere sahiptirler.
Diğer olay müdahale faaliyetlerinde olduğu gibi, planlama, hazırlık ve uygulama esastır. Hiçbir iki saldırı tam olarak aynı değildir, bu nedenle seçenekleri ve koşulları önceden tahmin edip, onlar için planlama ve uygulama yapmak çok önemlidir. IoT saldırı senaryoları için, ağınızı güvenlik açığı bulunan cihazlar için taramayı ve düzeltici önlem almayı içerir. Güvenlik açığı bulunan IoT cihazları için ağınızın dışından taramayı da engellediğinizden emin olmalısınız. Yardım etmek, sıkı erişim kontrolü ve işletim sistemi sertleştirmesi uygulamak ve farklı kod sürümlerini, ağa bağlı cihazları ve uygulamaları yamalamak için prosedürler geliştirmek.
Tam Infographic için resme tıklayınız. Resim kredisi: Twistlock
PCMag: Bir başka soru okuyucusu da bize konteyner güvenliği ile ilgili soruyor. Karmaşık saldırı sistemleri içerebilecek silahlı konteynerler için endişeleniyor musunuz, yoksa mimarinin böyle bir istismara karşı koruduğunu mu düşünüyorsunuz?
BK: Yeni üzerinde durulan herhangi bir teknolojiye sahip güvenlik her zaman artan bir sorundur - kaplar bu açıdan benzersiz değildir. Ancak, birçok güvenlik sorununda olduğu gibi, takaslar da var. Risk artmış olsa da, kontrol edebileceğimiz riskler için etkili azaltma stratejileri olduğuna inanıyoruz.
Bir konteyner, esasen, son derece geçici ve hafif, sanallaştırılmış bir işletim sistemi ortamıdır. Sanal makineler ayrı fiziksel sunuculardan daha mı az güvenlidir? Çoğu durumda bunlar. Bununla birlikte, birçok işletme sanallaştırmanın maliyet avantajlarını görüyor (daha az harcama, yönetimi kolay, makineleri kolayca yeniden amaçlandırabilir) ve olabildiğince çok riski azaltıyorken bunları artırmayı seçiyorlar. Intel, risklerin bir kısmının azaltılmasına yardımcı olabileceklerini ve Intel VT'nin geldiği yeri bile fark etti.
Konteynerler ilk maliyet tasarrufunu ve sanallaştırmanın esnekliğini daha da ileri götürür. ayrıca, her konteyner ve ana bilgisayar işletim sistemi arasında çok ince bir duvar olduğundan, daha risklidir. Yalıtım için herhangi bir donanım desteğinin farkında değilim, bu yüzden herkesi aynı hizada tutmak için çekirdeğe bağlı. Şirketler, bu yeni teknolojinin maliyet ve esneklik faydalarını bu risklerle birlikte tartmalıdır.
Linux uzmanları endişe duyuyor, çünkü her kapsayıcı ana bilgisayarın çekirdeğini paylaşıyor; bu da KVM ve Xen gibi geleneksel sanallaştırma teknolojilerinden çok daha büyük bir faydalanma alanı sağlıyor. Bu nedenle, saldırganın başka bir kaptaki koşullara erişmek veya onları etkilemek için bir kapta ayrıcalıkları hakettiği yeni bir saldırı potansiyeli var.
Henüz konteynere özel güvenlik sensörleri konusunda henüz bir şeyimiz yok. Bence pazarın o bölgesi olgunlaşmalı. Ayrıca, kapsayıcılar, ayrıcalık seviyesine bağlı olarak kodun farklı halkalarda çalıştırılmasını sağlayan CPU'larda (Intel VT gibi) yerleşik güvenlik özelliklerini kullanamaz.
Sonunda, fiziksel sunucular, sanal makineler ve konteynerler için tonlarca yararlanma var. Yeniler her zaman ekini yapar. Hava boşluklu makineler bile kullanıldı. BT uzmanları, bu düzeylerin tamamındaki güvenlikle ilgili ödün vermeyle ilgili endişelenmelidir. Savunmaların çoğu bu dağıtım türlerinin tümü için aynıdır, ancak her birinin uygulanması gereken kendi ekstra güvenlik savunmaları vardır.
Barındırma sağlayıcısı, konteynerleri izole etmek için Linux Güvenlik Modüllerini (SELinux veya AppArmor gibi) kullanmalı ve bu sistem yakından izlenmelidir. Yerel ayrıcalık artış istismarlarından kaçınmak için ev sahibi çekirdeğini güncel tutmak da önemlidir. Benzersiz Kimlik (UID) yalıtımı ayrıca, kaptaki bir kök kullanıcının aslında ana bilgisayarda kök olmasını önlediği için de yardımcı olur.
PCMag: PCMag.com'un, Yönetilen Güvenlik Servis Sağlayıcıları (MSSP'ler) ile ilgili geniş çaplı bir karşılaştırma yapmamasının bir nedeni, sektörde bu terimin tam olarak ne anlama geldiği ve hangi sağlayıcı sınıfının ne sağlayabileceği ve ne vermesi gerektiği konusunda kafa karışıklığı yaratmasıdır. Rackspace'in yönetilen güvenlik servisini bozabilir misiniz? Ne işe yarıyor, bunun diğer sağlayıcılardan farklı olması ve okuyucunun böyle bir hizmeti işe alırken ne için imza attıkları hakkında iyi bir fikir edinebilmeleri için nereye gittiğini görüyor musunuz?
BK: MSSP'lerin, güvenliğin çalışmadığını kabul etmeleri ve stratejilerini ve operasyonlarını günümüzün tehdit ortamında daha etkili ve kalıcı düşmanları içeren daha etkili olacak şekilde ayarlamaları gerekiyor. Rackspace'de, bu tehdit değişikliğini kabul ettik ve onları hafifletmek için gereken yeni yetenekler geliştirdik. Rackspace Managed Security, 24/7/365 gelişmiş bir Algılama ve Yanıtlama işlemidir. Yalnızca şirketleri saldırılara karşı korumak için değil, aynı zamanda bir ortam başarıyla saldırıya uğradıktan sonra bile saldırılar olduğunda ticari etkiyi en aza indirmek için tasarlanmıştır.
Bunu başarmak için stratejimizi üç şekilde ayarladık:
Çevreye değil verilere odaklanıyoruz. Saldırılara etkin bir şekilde müdahale etmek için amaç, işletme etkisini en aza indirmek olmalıdır. Bu, şirketin işinin ve koruduğumuz veri ve sistemlerin içeriğinin kapsamlı bir şekilde anlaşılmasını gerektirir. Ancak o zaman normalin nasıl göründüğünü anlayabilir, bir saldırıyı anlayabilir ve iş üzerindeki etkiyi en aza indirecek şekilde yanıt verebiliriz.
Saldırganların ağa girdiğini ve onları bulmak için oldukça yetenekli analistler kullandığını varsayıyoruz. Ağa geçtikten sonra, saldırıları belirlemek zor araçlardır çünkü güvenlik araçlarına göre, gelişmiş saldırganlar normal iş işlevlerini yürüten yöneticilere benzemektedir. Analistlerimiz, araçların tetikleyemediği etkinlik kalıplarını aktif olarak arar; bu kalıplar bizi saldırgana yönlendiren ayak izleridir.
Saldırı altında olduğunu bilmek yeterli değil. Saldırılara gerçekleştiğinde yanıt vermek kritik önem taşır. Müşteri Güvenlik Operasyon Merkezi'miz, saldırılara gördüklerinde en kısa sürede yanıt vermek için "onaylanmış eylemler" portföyünü kullanıyor. Bunlar, esasen, meydana geldiklerinde gerçekleşen saldırılarla başarılı bir şekilde baş etmek için denediğimiz ve test ettiğimiz kitaplardır. Müşterilerimiz bu yayın kitaplarını görmekte ve analistlerimizi onboarding süreci boyunca yürütmeleri için onaylamaktadır. Sonuç olarak, analistler artık pasif bir gözlemci değillerdir - tespit edildikleri anda ve çoğu zaman sebat edilmeden ve iş etkilenmeden önce bir saldırganı aktif olarak kapatabilirler. Saldırılara cevap verme yeteneği, Rackspace'e özgüdür çünkü müşterilerimiz için koruduğumuz altyapıyı da yönetiriz.
Ek olarak, uyumluluğun iyi yapılan bir güvenlik yan ürünü olduğunu görüyoruz. Güvenlik operasyonunun bir parçası olarak uyguladığımız titizlik ve en iyi uygulamalardan yararlanan, müşterilerimizin uyum sağlama gereksinimlerini kanıtlayarak ve raporlayarak bir ekibimiz var.
PCMag: Rackspace, OpenStack'ın güvenilir bir kurucusu, büyük bir savunucusudur. BT okurlarımızdan bazıları, böyle açık bir platform için güvenlik geliştirmenin, rahatsız edici algılanan "çok fazla aşçı" ikilemi nedeniyle Amazon Web Hizmetleri (AWS) veya Microsoft Azure gibi kapalı bir sistemden daha yavaş ve daha az etkili olup olmadığını sordular. birçok büyük açık kaynaklı proje. Buna nasıl cevap veriyorsunuz?
BK: Açık kaynaklı yazılımlarla, açık toplulukta "hatalar" bulundu ve açık toplulukta düzeltildi. Güvenlik sorununun kapsamını veya etkisini gizlemenin bir yolu yoktur. Özel yazılımlarla, güvenlik açıklarını gidermek için yazılım sağlayıcısının insansınız. Ya altı ay boyunca güvenlik açığı hakkında hiçbir şey yapmazlarsa? Ya bir araştırmacıdan gelen bir raporu kaçırırlarsa? Büyük bir yazılım güvenlik aracı olarak adlandırdığınız tüm bu "çok fazla aşçıyı" görüyoruz. Yüzlerce akıllı mühendis genellikle OpenStack gibi büyük bir açık kaynaklı paketin her bir bölümüne bakar ve bu da kusurların çatlaklardan kaymasını gerçekten zorlaştırır. Kusurun tartışılması ve onarım için seçeneklerin değerlendirilmesi açık alanda gerçekleşir. Özel yazılım paketleri bu tür kod başına seviye analizlerini hiçbir zaman alamaz ve düzeltmeler hiçbir zaman böyle açık bir sorgulamaya sahip olmaz.
Açık kaynaklı yazılım, aynı zamanda, yazılım yığını dışındaki hafifletmelere izin verir. Örneğin, bir OpenStack güvenlik sorunu belirir ancak bir bulut sağlayıcı bu güvenlik açığını hemen yükseltemez veya ekleyemezse, başka değişiklikler de yapılabilir. İşlev geçici olarak devre dışı bırakılabilir veya kullanıcıların politika dosyaları aracılığıyla kullanması engellenebilir. Uzun vadeli bir düzeltme uygulanana kadar saldırı etkili bir şekilde hafifletilebilir. Kapalı kaynaklı yazılımlar genellikle buna izin vermez, çünkü neyin azaltılması gerektiğini görmek zor.
Ayrıca, açık kaynaklı topluluklar bu güvenlik açıkları hakkındaki bilgileri hızla yaymaktadır. "Bunun daha sonra olmasını nasıl önleyebiliriz?" Sorusu. hızlıca sorulur ve müzakere işbirliği içinde ve açık olarak yürütülür.
PCMag: Bu röportaj için asıl soruya son verelim: Analistlerin, özellikle veya en azından kısmen bulut sağlayıcı güvenliğinin kurumsal olarak kabul edilmesi nedeniyle kurumsal bulut benimsemesi açısından "bir koparma" yılı olacağı konusunda hemfikir misiniz?
BK: Farklı bulut ortamlarını tartışmak için bir an geri çekilelim. Sorunuzun çoğu, genel bulut pazarına işaret ediyor. Yukarıda da belirttiğim gibi, Forrester araştırmacıları, bulut sağlayıcıları ile bir dizi hizmet sağladıkları için bulut sağlayıcıları ve tüketiciler arasındaki "düzensiz el sıkışma" olduğuna dikkat çekti, ancak bulut tüketicileri genellikle güvenlik, yedekleme, esneklik açısından çok daha fazlasını aldıklarını düşünüyor. vb. Rackspace'e katıldığından beri, bulut sağlayıcılarının, tüketicilerimizle daha şeffaf hale gelerek bu anlaşmayı bile yapmaları gerektiğini savundum. El sıkışma hiçbir yerde, genel bulut ortamlarında olduğundan bugün hala daha az bile olsa yoktur.
Bununla birlikte, özel bulut ortamları ve özellikle tüketicinin kendi içinde uyguladığı ortamlar, bu tür yanılsamalara maruz kalmaz. Tüketiciler ne aldıkları ve sağlayıcıların onlara ne verdiği konusunda çok daha net. Yine de, tüketiciler satın alma sürecinde beklentileri artırdıkça ve bulut sağlayıcılar daha eksiksiz hizmetler ve şeffaflık sağlamak için oyunlarımızı hızlandırdıkça, iş yüklerini geleneksel veri merkezlerinden genel bulut ortamına taşıma konusundaki duygusal ve riskle ilgili engeller hızla düşüyor .
Ancak bunun 2017'de buluta doğru bir damga oluşturacağını sanmıyorum. İş yüklerini ve tüm veri merkezlerini taşımak önemli planlama ve organizasyonel değişim gerektiriyor. Bir veri merkezindeki donanımı yükseltmekten çok farklıdır. Okuyucularınızı Netflix geçişini incelemeye teşvik ediyorum; işlerini buluta taşıyarak dönüştürdüler, ancak yedi yıl süren sıkı çalışmalarını aldı. Birincisi, daha verimli ve buluta daha iyi adapte olmaları için uygulamalarının çoğunu yeniden faktörlendirdi ve yeniden yazdılar.
Ayrıca birçok tüketicinin hibrit bir bulut mimarisini başlangıç noktası olarak kullanan, veri merkezlerinde özel bulutları benimsediğini görüyoruz. Bunlar hızlanıyor gibi görünüyor. Evlat edinme eğrisinin 2017'de bir dirsek görebileceğine inanıyorum, ancak kabuğun gerçekten inşa etmesi birkaç yıl alacaktır.
