Videó: Az ipari forradalom második szakaszának feltalálói és találmányai (November 2024)
A következő év jelentős növekedést ígér a nyilvános felhőalapú szolgáltatók és a szoftver-szolgáltatásként (SaaS) megoldás-szállítók számára. Egyrészt az új alapszintű technológiák, mint például a mikrotiszolgálók telepítése és a blockchain, többek között kiaknázatlan utakhoz vezetnek. De talán még ennél is fontosabbnak tűnik, hogy a CIO által leginkább hivatkozott felhőbefogadási blokkolók (nevezetesen a biztonság és az adatbiztonság) végül a háttérben mozognak, különösen a vállalkozások és a közepes méretű vállalkozások esetében.
Míg az elemzők egyetértenek abban, hogy manapság a legtöbb vállalkozás - beleértve a vállalati és a közepes méretű szegmenseket is - különböző mértékben rendelkezik felhőkiosztásokkal, ugyanakkor egyetértenek abban is, hogy a nagyobb szervezetek lassan hajtják végre a nagyobb munkaterhelést a felhőbe, elsődleges oka a felhőbiztonság és az adatok. biztonság. Ez fontos ezeknek az ügyfeleknek, nem csak azért, mert a szervezetek nagy mennyiségű adat vándorolnak, hanem azért is, mert a szigorú megfelelési és hatósági ellenőrzések - például az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvény (HIPAA) és az ISO 27001 - átadása kritikus számukra. üzletelni. A biztonság a legfontosabb szempont ezeknek a CIO-knak, és a közelmúltig egyszerűen nem volt elég robusztus ahhoz, hogy nagyobbak legyenek a felhőben.
A 2017. évi elemzők előrejelzései szerint azonban mindez megváltozik. A felhővédelem nagyon hosszú utat tett az elmúlt fél évtizedben, és úgy tűnik, hogy sok informatikai szakember és a CIO-k egyetértenek egymással. Ez azt jelenti, hogy az elemzők azt jósolják, hogy 2017-ben sokkal nagyobb mértékben veszik figyelembe a felhő infrastruktúráját és szolgáltatásait a vállalati szektorból.
E-mail interjút készítettem Brian Kelly-vel, a jól ismert menedzselt felhő-szolgáltató, a Rackspace biztonsági igazgatójával, hogy kiderítsék, mi változik a felhőbiztonságban az elkövetkező évben - és megtudtam, egyetért-e ezek az elemzők előrejelzései.
PCMag: Pontosan hogyan látja a Rackspace az ügyfelek informatikai személyzetének szerepét az adatbiztonsággal szemben?
Brian Kelly (BK): Közvetlen bizonyítékokat látunk arról, hogy az ügyfelek a biztonság miatt inkább a felhő felé érkeznek, nem pedig elmenekülnek tőle. Néhány kivételtől eltekintve, a vállalatoknak egyszerűen nincs erőforrásaik és képességeik ahhoz, hogy hatékonyan megvédjék szervezeteiket a kifinomultabb és tartósabb veszélyekkel szemben. Hasonlóképpen, a felhőszolgáltatók felismerik, hogy vállalkozásunk jövője a bizalom megteremtésétől függ a hatékony biztonsági gyakorlatok révén. Annak ellenére, hogy a felhőszolgáltatók fokozott biztonsági beruházásokat hajtanak végre, a szervezeti eszközök védelme továbbra is megosztott felelősség. Míg a felhő-szolgáltató közvetlenül felel a létesítmények, adatközpontok, hálózatok és virtuális infrastruktúra védelméről, a fogyasztók felelőssége az operációs rendszerek, alkalmazások, adatok, hozzáférés és hitelesítő adatok védelme is.
Forrester a megosztott felelősségre hivatkozva megalkotta az "egyenetlen kézfogás" kifejezést. Néhány tekintetben a fogyasztók úgy vélik, hogy adattervezésük terheit terhelik. Ez valószínűleg igaz volt néhány évvel ezelőtt; mindazonáltal a kézfogás egyensúlyának tanúi vagyunk. Vagyis a felhőszolgáltatók többet tehetnek és meg kell tenniük a fogyasztók számára a biztonságért vállalt felelősség megosztása érdekében. Ennek formája lehet az, hogy egyszerűbben nagyobb láthatóságot és átláthatóságot biztosít az üzemeltetett munkaterhelésekben, hozzáférést biztosít az irányító repülőgépekhez vagy irányított biztonsági szolgáltatásokat kínál. Miközben a fogyasztók biztonsági felelőssége soha nem tűnik el, a felhőszolgáltatók továbbra is nagyobb felelősséget vállalnak és hozzáadott értéket képviselő felügyelt biztonsági ajánlatokat szállítanak, hogy megteremtsék a bizalmat, amely mindkét fél biztonságos működéséhez szükséges a felhőben.
PCMag: Van-e tanácsadása az informatikai szakembereknek és a vállalkozások üzleti ügyfeleinek azzal kapcsolatban, hogy mit tehetnek, azon túlmenően, amit a szolgáltató nyújt a felhőalapú adatok maguk védelme érdekében?
BK: Folytatniuk kell a biztonsági bevált gyakorlatok beépítését saját enkláveikon belül. A kompromisszumok terjedelmének korlátozása érdekében, a kompromisszumok terjedelmének felelősségteljesen kell elosztaniuk a borítékban lévő munkaterheléseket, biztosítaniuk kell a munkaterhelési környezetek (operációs rendszerek, tárolók, virtuális LAN-ok) megfelelő biztonságát és javítását, valamint a végpont- és hálózati szintű érzékelési és választechnológiákat (IDS / IPS, rosszindulatú programok észlelése és korlátozása), és aktívan kezeli a fiókokat és a hozzáféréseket. Az ügyfelek gyakran bevonják ezeket a szolgáltatásokat és technológiákat a felhőhasználati szerződéseikbe, de ha nem, akkor a fogyasztónak gondoskodnia kell arról, hogy az oldalukra is megtörténjen.
PCMag: Az egyik kulcskérdés, amelyet az olvasók megkérdezettek, a hatékony védelemről szól a hatalmas tárgyak internete (IoT) által vezérelt elosztott szolgáltatásmegtagadási (DDoS) támadásokkal szemben, hasonlóan az október múltbeli eseményhez, ahol egy kínai tárgyak internete szállítója véletlenül nagymértékben hozzájárult a a támadás. Működnek-e az ilyen támadások az upstream internetszolgáltatókkal (ISP)? És hogyan tartanak támadást az egyik ügyféllel szemben, hogy mindenkit leszerezzenek egy létesítményben?
BK: A DDoS védelem fő célja a rendelkezésre állás fenntartása támadás alatt. Az IoT DDoS támadási képességei közismertek, és a biztonsági bevált gyakorlatok bevezetésével és intelligens DDoS enyhítő rendszerek alkalmazásával sikeresen csökkenthetők. A legnagyobb veszélyt nem az IoT támadásainak módja jelenti, hanem a sebezhető, internet-alapú eszközök óriási száma. A hálózatokat le kell zárni az Internet fenyegetéseinek való kitettség korlátozása érdekében. A hálózatüzemeltetőknek proaktívnak kell lenniük az összes lehetséges fenyegetés felderítésében és a leghatékonyabb módszerek ismeretében azok csökkentésére, miközben meg kell őrizniük az összes hálózati forgalom elemzésének és osztályozásának a képességét.
Az erős DDoS-enyhítő stratégia rétegezett, védekező megközelítést igényel. Az IoT-eszközök nagy száma megkönnyíti az IoT-támadások enyhítését kisüzemi hálózatok esetében. Az IoT támadás hatékonysága annak rugalmassága, hogy különböző támadási vektorokat generáljon, és hatalmas, nagy volumenű DDoS forgalmat generáljon. Még a legkeményebb hálózatot is gyorsan elboríthatja az a hatalmas forgalom, amelyet az IoT képes generálni egy alkalmas támadó kezében. Az upstream internetszolgáltatók gyakran jobban felszereltek és rendelkeznek személyzettel ahhoz, hogy kezeljék ezeket a nagyszabású támadásokat, amelyek gyorsan telítenék a kis hálózati kapcsolatokat. Ezenkívül a hálózat üzemeltetésének mértéke és az ilyen támadások enyhítéséhez szükséges eszközök a hatékony észlelést és a reagálást a legtöbb szervezet számára elérhetővé tették. Jobb megoldás az ilyen műveletek kiszervezése a felhőszolgáltatók upstream internetszolgáltatói felé, akik már dolgoznak ezzel a hálózattal.
Az upstream internetszolgáltatók számos előnnyel rendelkeznek az internetes hozzáférési pontok robosztus sokféleségén keresztül, amelyeken át tudják mozgatni a forgalmat. Általában elég nagy adatcsövekkel rendelkeznek ahhoz, hogy kezdetben sok DDoS forgalmat elnyeljenek, miközben a forgalom átirányításának reakciói felfutnak. Az "Upstream" jó kifejezés, mert kissé analóg a folyó mentén található gátsorozatokkal. Az árvíz alatt megvédheti a házokat a folyóktól az egyes gátak felhasználásával, hogy fokozatosan több vizet vegyen fel a gát által létrehozott minden tóba, és megmérje az áramlást, hogy megakadályozzák a folyó vízléptetését. A sávszélesség és a hozzáférési pont sokfélesége az upstream internetszolgáltatók számára ugyanolyan rugalmasságot biztosít. Vannak olyan protokollok is, amelyekről az interneten keresztül tárgyaltak, hogy a DDoS forgalmat a forrásokhoz közelebb kerüljék, amelyeket aktiválni lehet.
Mint a többi baleset-elhárítási tevékenységnél, a tervezés, az előkészítés és a gyakorlat elengedhetetlen. Nincs két támadás pontosan ugyanaz, ezért döntő fontosságú a lehetőségek és körülmények előrelátása, majd a számukra történő tervezés és gyakorlás. IoT támadási forgatókönyvek esetén, ideértve a hálózat sérülékeny eszközök ellenőrzését és a korrekciós intézkedések végrehajtását. Gondoskodjon arról is, hogy megakadályozza a sérülékeny tárgyak internete eszközének a hálózaton kívüli beolvasását. A szigorú hozzáférés-vezérlés és az operációs rendszer edzésének végrehajtása, valamint a különféle kódverziók, hálózati eszközök és alkalmazások javításának eljárásai kidolgozása.
Kattintson a képre a teljes infographic eléréséhez. Kép jóváírása: Twistlock
PCMag: Az olvasók által feltett másik kérdés a konténer biztonságáról szól. Aggódik a fegyveres konténerek miatt, amelyek összetett támadási rendszereket tartalmazhatnak, vagy gondol-e az építészet az ilyen kizsákmányolások ellen?
BK: A biztonság az újonnan hangsúlyozott technológiákkal mindig fokozott aggodalomra ad okot - a konténerek ebben a tekintetben nem különösek. De, mint sok biztonsági kihívás esetén, vannak kompromisszumok is. Noha fokozódhat a kockázat, úgy véljük, hogy vannak hatékony csökkentési stratégiák a kockázatokra, amelyeket ellenőrizni tudunk.
A tároló lényegében egy nagyon átmeneti és könnyű, virtualizált operációs rendszer környezet. A virtuális gépek kevésbé biztonságosak, mint a különálló fizikai szerverek? A legtöbb esetben ezek. Számos vállalkozás azonban látja a virtualizáció költség-hasznait (kevesebb ráfordítás, könnyebben kezelhető, könnyen újrafelhasználható gépek), és úgy dönt, hogy ezeket kihasználja, miközben enyhíti a lehetséges kockázatokat. Az Intel még rájött, hogy maguk is segíthetnek enyhíteni a kockázatokat, és innen származik az Intel VT.
A konténerek tovább veszik a kezdeti költségmegtakarítást és a virtualizáció rugalmasságát. ők is kockázatosabbak, mivel az egyes tárolók és a gazda operációs rendszer között nagyon vékony fal van. Nem ismerek az izolálás hardver támogatását, ezért a kernel feladata, hogy mindenkit egy sorban tartson. A vállalatoknak mérlegelniük kell az új technológia költségeit és rugalmasságát, ezen kockázatokkal együtt.
A Linux szakértőit azért aggasztja, mert minden egyes tároló megosztja a gazdagép kernelét, ami sokkal nagyobb kihasználási területet eredményez, mint a hagyományos virtualizációs technológiák, például a KVM és a Xen. Tehát lehetséges egy új támadás, ahol a támadó egy tárolóban kiváltja a jogosultságokat, hogy hozzáférjen egy másik tárolóhoz, vagy annak hatásait befolyásolja.
Még nincs sok módunk a konténer-specifikus biztonsági érzékelők számára. Véleményem szerint a piac e területének érettnek kell lennie. Ezenkívül a tárolók nem használhatják a CPU-kba (például az Intel VT-be) beépített biztonsági funkciókat, amelyek lehetővé teszik a kód végrehajtását különböző gyűrűkben, a jogosultság szintjétől függően.
Végül rengeteg kiaknázás létezik fizikai szerverek, virtuális gépek és konténerek számára. Az újak állandóan felbukkannak. Még a légrésű gépeket is kihasználják. Az informatikai szakembereknek aggódniuk kell a biztonsági kompromisszumok miatt e szinteken. A védekezés nagy része ugyanaz az összes telepítési típus esetében, de mindegyiknek megvannak a saját kiegészítő biztonsági védekezői, amelyeket alkalmazni kell.
A tárhelyszolgáltatónak Linux biztonsági modulokat (például SELinux vagy AppArmor) kell használni a tárolók elkülönítésére, és ezt a rendszert szorosan figyelemmel kell kísérni. Szintén kritikus fontosságú a host kernel frissítése, hogy elkerüljük a helyi privilégiumok eszkalációjának kihasználását. Az egyedi azonosító (UID) elkülönítése szintén segít, mivel megakadályozza, hogy a tárolóban lévő gyökér felhasználó ténylegesen gyökér legyen a gazdagépen.
PCMag: Az egyik ok, amiért a PCMag.com nem hajtotta végre a felügyelt biztonsági szolgáltatók széles körű összehasonlítását, az az, hogy az iparban zavart okozza, hogy pontosan mit jelent ez a kifejezés, és hogy mit tud és mit kell nyújtani az adott szolgáltatói osztály. Le tudja bontani a Rackspace kezelt biztonsági szolgálatát? Mit csinál, hogyan különbözik a többi szolgáltatótól, és hol látja, hogy ez megy, hogy az olvasók jó képet kapjanak arról, hogy miért iratkoznak fel, amikor ilyen szolgáltatást alkalmaznak?
BK: Az MSSP-knek el kell fogadniuk, hogy a biztonság nem működött, és hozzá kell igazítaniuk stratégiájukat és műveleteiket annak érdekében, hogy hatékonyabbak legyenek a mai fenyegetési környezetben - amely kifinomultabb és kitartóbb ellenségeket tartalmaz. A Rackspace-nál elismertük ezt a fenyegetésváltozást, és új képességeket fejlesztettünk ki az enyhítésükhöz. A Rackspace által kezelt biztonság 24/7/365 speciális észlelés és válasz művelet. Úgy tervezték, hogy nemcsak a vállalatokat védi a támadásoktól, hanem minimalizálja az üzleti hatásokat, ha támadások történnek, még akkor is, ha egy környezetet sikeresen feltörnek.
Ennek elérése érdekében háromféleképpen módosítottuk stratégiánkat:
Az adatokra összpontosítunk, nem a kerületre. A támadásokra való hatékony reagáláshoz a célnak az üzleti hatás minimalizálása kell, hogy legyen. Ehhez a vállalat üzleti tevékenységének, valamint az általunk védett adatok és rendszereknek az átfogó megértése szükséges. Csak akkor tudjuk megérteni, hogy néz ki a normál, megérthetjük a támadást, és olyan módon tudunk reagálni, hogy az minimalizálja az üzleti életre gyakorolt hatást.
Feltételezzük, hogy a támadók bekerültek a hálózatba, és magasan képzett elemzőkkel vadásznak rájuk. A hálózaton belüli támadások nehezen azonosíthatók az eszközök számára, mivel a biztonsági eszközök számára a haladó támadók úgy néznek ki, mint a rendszergazda, amely normál üzleti funkciókat hajt végre. Elemzőink aktívan keresnek olyan tevékenységi mintákat, amelyekre az eszközök nem tudnak figyelmeztetni - ezek a minták azok a lábnyomok, amelyek a támadóhoz vezetnek.
Nem elég tudni, hogy támadás alatt áll. Fontos a támadásokra való reagálás, amikor azok bekövetkeznek. Ügyfélbiztonsági üzemeltetési központunk egy "előre jóváhagyott műveletek" portfólióját használja a támadásokra való reagáláshoz, amint látják őket. Ezek alapvetően futtatott könyvek, amelyeket kipróbáltunk és teszteltünk a támadások sikeres kezelésére, amikor azok bekövetkeznek. Ügyfeleink látják ezeket a futó könyveket, és felhatalmazzák elemzőinket, hogy hajtsák végre azokat a fedélzeti beépítés során. Ennek eredményeként az elemzők már nem passzív megfigyelők - aktívan leállíthatnak egy támadót, mihelyt felfedezik őket, és gyakran még a kitartás elérése előtt, és még mielőtt az üzlet befolyásolná. Ez a támadásokra való reagálás egyedülálló a Rackspace számára, mivel az infrastruktúrát is kezeljük, amelyet ügyfeleink számára védünk.
Ezenkívül azt találjuk, hogy a megfelelés a biztonság jól elkészített mellékterméke. Van egy olyan csapatunk, amely kihasználja a szigor és a bevált gyakorlatok végrehajtását, amelyet a biztonsági művelet részeként hajtunk végre, azáltal, hogy bizonyítja és jelentést készít arról, hogy megfelelési követelményeket teljesítünk ügyfeleink számára.
PCMag: A Rackspace az OpenStack nagy támogatója, valóban elismert alapítója. Néhány informatikai olvasónk megkérdezte, hogy egy ilyen nyitott platformon a biztonsági fejlesztés valóban lassabb és kevésbé hatékony-e, mint egy olyan zárt rendszernél, mint például az Amazon Web Services (AWS) vagy a Microsoft Azure, mert az észlelt "túl sok szakács" dilemmája sújtja sok nagy nyílt forrású projekt. Hogyan reagál erre?
BK: A nyílt forrású szoftverekkel "hibákat" találnak a nyílt közösségben, és rögzítik a nyílt közösségben. A biztonsági kérdés mértékét vagy hatását nem lehet elrejteni. A szabadalmaztatott szoftverrel Ön a szoftver szolgáltatójának kegyelme alatt áll, hogy kijavítsa a sebezhetőségeket. Mi lenne, ha hat hónapig semmit sem csinálnának a sebezhetőséggel kapcsolatban? Mi van, ha hiányzik egy kutató jelentése? Azokat a "túl sok szakácsot" tekintjük, amelyekre hatalmas szoftverbiztonsági engedélyezõként hivatkoznak. Okos mérnökök százai gyakran vizsgálják meg az olyan nagyszabású nyílt forráskódú csomagok egyes részeit, mint az OpenStack, ami valóban megnehezíti a hibák számára a repedések átcsúszását. A hiba megbeszélése és a kijavításának lehetőségeinek kiértékelése nyíltan zajlik. A magánszoftverek soha nem kaphatják meg ilyen soronkénti kódszintű elemzést, és a javítások soha nem fognak ilyen nyílt ellenőrzést végezni.
A nyílt forráskódú szoftver enyhíti a szoftvercsomagon kívüli enyhítéseket is. Például, ha megjelenik egy OpenStack biztonsági probléma, de egy felhőszolgáltató nem tudja azonnal frissíteni vagy javítani a biztonsági rést, más módosítások is végrehajthatók. A funkció átmenetileg letiltható, vagy megakadályozható a felhasználók számára, hogy házirendfájlok segítségével használják. A támadást hatékonyan lehet enyhíteni, amíg egy hosszú távú javítást nem alkalmaznak. A zárt forrású szoftver gyakran ezt nem teszi lehetővé, mivel nehéz látni, hogy mit kell enyhíteni.
Ezenkívül a nyílt forráskódú közösségek gyorsan terjesztik ezeket a biztonsági réseket. A kérdés: "Hogyan akadályozzuk meg ezt később?" gyorsan megkérdezik, és a megbeszélésekre együttműködésben és nyíltan kerül sor.
PCMag: Végezzük el az interjú eredeti kérdését: Egyetért-e az elemzőkkel abban, hogy 2017 „kitörési” év lesz a vállalati felhő bevezetése szempontjából, főként vagy legalább részben annak köszönhető, hogy a vállalkozás elfogadja a felhő szolgáltató biztonságát?
BK: Lépjünk egy pillanatra hátra, hogy megvitassuk a különböző felhőkörnyezeteket. A legtöbb kérdése a nyilvános felhőpiacra mutat. Mint fentebb említettem, a Forrester kutatói megfigyelték a felhő-szolgáltatók és a fogyasztók közötti "egyenetlen kézfogást", mivel a felhő-szolgáltatók egy sor szolgáltatást nyújtanak, de a felhő-fogyasztók gyakran azt feltételezik, hogy sokkal többet kapnak a biztonság, a biztonsági mentés, a rugalmasság, stb. A Rackspace-hez való csatlakozás óta támogattam, hogy a felhőszolgáltatóknak ki kell egyenlíteni ezt a kézfogást azáltal, hogy átláthatóbbá válnak a fogyasztóinkkal. A kézfogás még ma sem egyenletesebb, mint a nyilvános felhőkörnyezetekben.
A magánfelhő-környezetek azonban, és különösen azok, amelyeket a saját fogyasztó valósít meg, nem szenvednek annyira az ilyen illúzióktól. A fogyasztók sokkal világosabbá teszik, hogy mit vásárolnak, és mit nyújtanak nekik a szolgáltatók. Mégis, mivel a fogyasztók felvetették a vásárlási folyamatok elvárásait, és a felhőszolgáltatók fokozta a játékunkat, hogy teljesebb szolgáltatásokat és átláthatóságot biztosítsunk, az érzelmi és kockázatokkal összefüggő akadályok a munkaterhelés áthelyezésekor a hagyományos adatközpontról a nyilvános felhőkörnyezetre gyorsan csökkennek..
De nem hiszem, hogy ez 2017-ben meghökkent a felhő felé. A munkaterhelés és a teljes adatközpontok mozgatása jelentős tervezést és szervezeti változásokat von maga után. Ez messze különbözik a hardver frissítésétől az adatközponton. Arra biztatom az olvasóit, hogy tanulmányozzák a Netflix átmenetet; átalakították üzleti tevékenységüket a felhőbe költözéssel, de hét évig tartó kemény munka tette őket. Egyrészt átdolgozták és átírták alkalmazásuk nagy részét, hogy hatékonyabbak és jobban alkalmazkodjanak a felhőhöz.
Azt is látjuk, hogy sok fogyasztó magánfelhőket alkalmaz adatközpontjaiban, hibrid felhő architektúrát használva kiindulási pontként. Úgy tűnik, hogy ezek gyorsulnak. Úgy gondolom, hogy az elfogadási görbe 2017-ben könyök felfelé mutathat, de néhány évbe telik, amíg a duzzanat valóban felépül.
