Video: Računarstvo u oblaku (šesti i sedmi razred) (Prosinac 2024)
Nadolazeća godina obećava znatan rast za pružatelje javnih usluga u oblaku i dobavljače rješenja Software-as-a-Service (SaaS). Za jednu, nove tehnologije na razini temelja kao što su implementacija mikroservisa i blockchain, između ostalog, nude neiskorištene mogućnosti za inovacije. Ali što je još važnije, čini se da se jedan od najčešćih CIO blokatora usvajanja oblaka (naime, sigurnost i sigurnost podataka) konačno seli u pozadinu, posebno za poduzeća i srednje velika poduzeća.
Iako se analitičari slažu da danas većina tvrtki - uključujući segmente poduzeća i srednje veličine - ima nekoliko razmještanja u oblaku u različitom stupnju, oni se također slažu da veće organizacije polako premještaju velika radna opterećenja u oblak, a glavni razlog im je sigurnost u oblaku i podaci sigurnost. To je važno za ove kupce ne samo zbog ogromne količine podataka koje bi ove organizacije migrirale, već i zbog toga što je donošenje strogih provjera usklađenosti i propisa, kao što su Zakon o prenosivosti zdravstvenog osiguranja i odgovornosti (HIPAA) i ISO 27001, za njih kritično. poslovati. Sigurnost je za ove CIO-ove vrhunska svijest i do nedavno jednostavno nije bila dovoljno čvrsta da bi prihvatili oblak u velikom obimu.
Ali, prema predviđanjima analitičara za 2017., sve se to mora promijeniti. Sigurnost u oblaku u posljednjoj je polovini desetljeća prešla vrlo dug put i čini se da se mnogi IT stručnjaci i CIO-ovi slažu. To znači da analitičari predviđaju da ćemo u 2017. godini vidjeti znatno veće korištenje oblačne infrastrukture i usluga iz poslovnog sektora.
Obavio sam razgovor s e-poštom s Brianom Kellyjem, glavnim urednikom za sigurnost dobro poznatog upravitelja oblaka Rackspace, kako bih otkrio što se mijenja u sigurnosti oblaka u narednoj godini - i da vidim je li se složio s predviđanjima tih analitičara.
PCMag: Kako točno Rackspace gleda na svoju ulogu u odnosu na IT klijente svojih korisnika kada je u pitanju sigurnost i sigurnost podataka?
Brian Kelly (BK): Vidimo izravne dokaze da kupci dolaze u oblak zbog sigurnosti, a ne da bježe od njega. Uz nekoliko iznimaka, tvrtke jednostavno nemaju resurse i vještine da učinkovito brane svoje organizacije od sofisticiranijih i upornijih prijetnji. Slično tome, pružatelji usluga oblaka prepoznaju da budućnost našeg poslovanja ovisi o pružanju povjerenja i učinkovitih sigurnosnih praksi. Unatoč povećanim ulaganjima pružatelja usluga oblaka u sigurnost, zaštita organizacijske imovine uvijek će ostati zajednička odgovornost. Iako je pružatelj oblaka izravno odgovoran za zaštitu objekata, podatkovnih centara, mreža i virtualne infrastrukture, potrošači su također odgovorni za zaštitu operativnih sustava, aplikacija, podataka, pristupa i vjerodajnica.
Forrester je skovao pojam "neravnog stiskanja ruku" u odnosu na ovu podijeljenu odgovornost. Ponekad potrošači vjeruju da snose teret za sigurnost svojih podataka. To je možda bilo istina prije nekoliko godina; međutim, svjedoci smo uravnoteženja stiskanja ruku. To jest, pružatelji usluga oblaka mogu i trebaju učiniti više da potrošači podijele odgovornost za sigurnost. To može biti u obliku jednostavnog pružanja veće vidljivosti i transparentnosti u radnom opterećenju s hostom, pružanju pristupa upravljačkim avionima ili pružanju upravljanih sigurnosnih usluga. Iako potrošačke sigurnosne odgovornosti nikada neće nestati, pružatelji usluga oblaka i dalje će preuzimati više odgovornosti i isporučivati sigurnosne ponude s dodanom vrijednošću kako bi izgradili povjerenje koje je potrebno da obje strane sigurno rade u oblaku.
PCMag: Imate li savjet IT stručnjacima i poslovnim kupcima o tome što mogu učiniti, osim onoga što pružatelj usluga, kako bi sami zaštitili svoje podatke temeljene na oblaku?
BK: Oni moraju nastaviti primjenjivati najbolje sigurnosne prakse u svojim enklavama. Moraju odgovorno segmentirati radna opterećenja u enklavi kako bi ograničili opseg kompromisa, osigurali da su radna okruženja (operativni sustavi, spremnici, virtualni LAN-ovi) ispravno osigurana i zakrpljena, te da utječu na tehnologije ispitivanja i odgovora na razini krajnje točke i mreže (IDS / IPS, otkrivanje i obustava zlonamjernog softvera) i aktivno upravljajte računima i pristupima. Korisnici često mogu uključivati te usluge i tehnologije u svoje ugovore o korištenju oblaka, ali ako nisu, potrošač mora osigurati da se to dogodi na njihovoj strani.
PCMag: Jedno od ključnih pitanja koje smo čitatelji postavili jest učinkovita obrana od masovnog napada Internet usluga (IoT), distribuiranog uskraćivanja usluge (DDoS), slično incidentu prošlog listopada, gdje je kineski dobavljač IoT-a nehotice dao veliki doprinos napad. Rade li takvi napadi s davateljima internetskih usluga uzvodno? I kako oni sprječavaju napad na jednog klijenta da ne dovede nikoga u objekat?
BK: Glavni cilj obrane DDoS-a je održavanje dostupnosti kada je napadnut. Mogućnosti IoT napada DDoS napada dobro su poznate i mogu se uspješno ublažiti primjenom najboljih sigurnosnih praksi i korištenjem inteligentnih sustava ublažavanja DDoS. Najveća prijetnja nije metoda napada IoT-a, nego ogroman broj ranjivih uređaja s internetskim mogućnostima. Mreže se moraju zaključati kako bi se ograničila izloženost prijetnjama na Internetu. Mrežni operatori moraju biti proaktivni u otkrivanju svih mogućih prijetnji i poznavati najučinkovitije tehnike ublažavanja istih, zadržavajući sposobnost analize i klasifikacije cjelokupnog mrežnog prometa.
Snažna strategija ublažavanja DDoS-a zahtijeva slojeviti, obrambeni pristup. Opsežni broj IoT uređaja otežava ublažavanje IoT napada teškim mrežama. Učinkovitost IoT napada je njegova fleksibilnost za generiranje različitih vektora napada i stvaranje ogromnog DDoS prometa velikog obima. Čak i najtvrdokornija mreža može se brzo svladati ogromnom količinom prometa koji IoT može stvoriti u rukama sposobnog napadača. Uzvodni davatelji internetskih usluga često su bolje opremljeni i osoblje za rješavanje ovih napada velikih razmjera koji bi brzo zasitili male mrežne veze. Nadalje, razmjera rada mreže i alati potrebni za ublažavanje takvih napada stavljaju učinkovito otkrivanje i reagiranje izvan dosega većine organizacija. Bolje rješenje je outsourcing takvih operacija uzvodnim ISP-ima pružatelja usluga oblaka koji već rade s ovom mrežnom mrežom.
Uzvodni davatelji internetskih usluga imaju brojne prednosti zahvaljujući jakoj raznolikosti internetskih pristupnih točaka preko kojih mogu preusmjeravati promet. Obično imaju i dovoljno velike podatkovne cijevi da u početku apsorbiraju puno DDoS prometa, dok se reakcijske aktivnosti preusmjeravanja prometa okreću. "Uzvodno" je dobar pojam, jer je pomalo analogan nizu brana uz rijeku. Tijekom poplave, kuće možete zaštititi nizvodno koristeći svaku nasip da biste u svako jezero stvoreni od brane progresivno ubacivali više vode i izmjerili protok kako biste spriječili poplavu nizvodno. Raznovrsnost propusne širine i pristupne točke za uzvodne pružatelje internetskih usluga pružaju istu vrstu otpornosti. Oni također imaju protokole dogovorene preko internetske zajednice kako bi se usmjerilo DDoS promet bliže izvorima koje mogu aktivirati.
Kao i kod drugih aktivnosti reagiranja na incident, planiranje, priprema i praksa su od ključne važnosti. Nijedna dva napada nisu potpuno ista, stoga je presudno predvidjeti mogućnosti i okolnosti, a zatim planirati i vježbati za njih. Za scenarije napada IoT, koji uključuju skeniranje vaše mreže na ranjive uređaje i poduzimanje korektivnih mjera. Također biste trebali biti sigurni da će onemogućiti skeniranje ranjivih IoT uređaja izvan vaše mreže. Da biste pomogli, implementirati strogu kontrolu pristupa i otvrdnjavanje operacijskog sustava, te razviti postupke zakrpa različitih verzija koda, umreženih uređaja i aplikacija.
Kliknite sliku za potpunu infografiku. Kreditna slika: Twistlock
PCMag: Još jedno pitanje koje nam čitatelji postavljaju je o sigurnosti spremnika. Brinete li o oružanim kontejnerima koji bi mogli sadržavati složene sustave napada ili mislite da arhitektura štiti od takvih eksploatacija?
BK: Sigurnost s bilo kojom novonastalom tehnologijom uvijek je pojačana briga - kontejneri nisu jedinstveni u ovom aspektu. Ali, kao i kod mnogih sigurnosnih izazova, postoje i kompromisi. Iako postoji povećan rizik, također vjerujemo da postoje učinkovite strategije ublažavanja rizika koje možemo kontrolirati.
Kontejner je, u osnovi, vrlo prolazno i lagano, virtualizirano okruženje operacijskog sustava. Jesu li virtualni strojevi manje sigurni od zasebnih fizičkih poslužitelja? Oni su u većini slučajeva. Međutim, mnoge tvrtke vide isplativost od virtualizacije (manje troše, lakše je upravljati, strojeve mogu jednostavno namjeriti) i odlučuju ih iskoristiti istodobno smanjujući što više rizika. Intel je čak shvatio da bi mogli sami smanjiti neke rizike i odatle je i potekao Intel VT.
Kontejneri dodatno povećavaju početnu uštedu troškova i fleksibilnost virtualizacije. Oni su također rizičniji jer postoji vrlo tanak zid između svakog spremnika i glavnog operativnog sustava. Nisam svjestan nijedne hardverske podrške za izolaciju, tako da je od jezgre da svi drže u liniji. Tvrtke moraju ocijeniti troškove i fleksibilnost prednosti ove nove tehnologije zajedno s tim rizicima.
Linux stručnjaci su zabrinuti jer svaki spremnik dijeli domaćino jezgro, što površinu za izrade čini mnogo većom od tradicionalnih tehnologija virtualizacije, poput KVM-a i Xen-a. Dakle, postoji potencijal za novi napad u kojem napadač hakira privilegije u jednom spremniku da bi pristupio ili utjecao na uvjete unutar drugog spremnika.
Još uvijek nemamo puno na putu unutar sigurnosnih senzora koji se odnose na kontejnere. Po mom mišljenju to područje tržišta mora sazrijevati. Uz to, spremnici ne mogu koristiti sigurnosne značajke ugrađene u CPU (poput Intel VT) koje omogućuju izvršavanje koda u različitim kolutovima, ovisno o njegovoj privilegiranoj razini.
Na kraju, postoje tona iskorištavanja za fizičke servere, virtualne strojeve i spremnike. Novi se obrušavaju cijelo vrijeme. Iskorištavaju se čak i strojevi sa zrakom. IT profesionalci trebali bi biti zabrinuti zbog sigurnosnih kompromisa na svim ovim razinama. Velik dio obrane isti je za sve ove vrste raspoređivanja, ali svaka ima svoje dodatne sigurnosne obrane koje se moraju primijeniti.
Davatelj hostinga mora koristiti Linux sigurnosne module (kao što su SELinux ili AppArmor) za izoliranje spremnika i taj sustav se mora pomno nadzirati. Također je ključno ažurirati jezgru domaćina kako bi se izbjegla lokalna iskorištavanja eskalacija privilegija. Također pomaže izolacija jedinstvenog ID-a (UID) jer sprječava da korijenski korisnik u spremniku zapravo ne bude korijen na hostu.
PCMag: Jedan od razloga što PCMag.com nije pokrenuo opsežnu usporedbu pružatelja usluga upravljanih sigurnosnih usluga (MSSP) zato što u industriji postoji zbrka oko toga što taj pojam znači i što ta klasa pružatelja usluga može i treba isporučiti. Možete li pokvariti sigurnosnu uslugu upravljanja Rackspaceom? Što se to događa, kako se to razlikuje od drugih davatelja usluga i gdje gledate kako to ide tako da čitatelji mogu steći dobru predstavu o onome za što se prijavljuju kad koriste takvu uslugu?
BK: MSSP-ovi moraju prihvatiti da sigurnost ne radi i prilagoditi svoju strategiju i operacije da bi bili učinkovitiji u današnjem okruženju prijetnji - koji sadrži sofisticirane i upornije protivnike. U tvrtki Rackspace prepoznali smo ovu promjenu prijetnji i razvili nove mogućnosti potrebne za njihovo ublažavanje. Rackspace Managed Security je napredna operacija otkrivanja i odziva 24/7/365. Zamišljen je ne samo da zaštiti kompanije od napada, već i za smanjenje učinka na poslovanje kad se napadi dogode, čak i nakon što se uspješno hakira okruženje.
Da bismo to postigli, prilagodili smo svoju strategiju na tri načina:
Usredotočimo se na podatke, a ne na perimetar. Da bi se učinkovito moglo reagirati na napade, cilj mora biti umanjivanje učinka na poslovanje. To zahtijeva sveobuhvatno razumijevanje poslovanja tvrtke i konteksta podataka i sustava koje štitimo. Tek tada možemo shvatiti kako izgleda normalno, razumjeti napad i odgovoriti na način koji minimizira utjecaj na posao.
Pretpostavljamo da su napadači dobili ulazak u mrežu i koriste visoko kvalificirane analitičare u potrazi za njima. Jednom kada su na mreži, alate je teško prepoznati jer, prema sigurnosnim alatima, napredni napadači izgledaju kao administratori koji obavljaju uobičajene poslovne funkcije. Naši analitičari aktivno traže obrasce aktivnosti na koje alati ne mogu upozoriti - ti su obrasci tragovi koji nas vode prema napadaču.
Znanje da ste pod napadom nije dovoljno. Presudno je odgovoriti na napade kada se dogode. Naš Centar za sigurnost kupaca koristi portfelj "unaprijed odobrenih radnji" kako bi reagirao na napade čim ih ugledaju. To su u suštini knjige koje smo pokušali i testirali da se uspješno nose s napadima kada se dogode. Naši kupci vide ove priručnike i odobravaju naše analitičare da ih izvrše tijekom procesa ukrcavanja. Kao rezultat, analitičari više nisu pasivni promatrači - mogu aktivno isključiti napadača čim ga otkrije, često prije nego što se postigne upornost i prije nego što na posao dođe. Ova sposobnost reagiranja na napade jedinstvena je za Rackspace jer upravljamo i infrastrukturom koju štitimo za svoje kupce.
Uz to, otkrivamo da je poštivanje nusproizvoda sigurnosti dobro učinjeno. Imamo tim koji koristi strogost i najbolje prakse koje implementiramo u sklopu sigurnosne operacije, dokazujući i izvještavajući o zahtjevima usklađenosti koje pomažemo našim kupcima u ispunjavanju.
PCMag: Rackspace je veliki zagovornik, doista zaslužni osnivač, OpenStack-a. Neki od naših čitatelja informatike pitali su se je li razvoj sigurnosti za tako otvorenu platformu zapravo sporiji i manje učinkovit od onog zatvorenog sustava poput Amazon Web Services (AWS) ili Microsoft Azure zbog percipirane "previše kuharice" dileme koja zapljuskiva. mnogo velikih projekata otvorenog koda. Kako reagirate na to?
BK: Sa softverom otvorenog koda "greške" se nalaze u otvorenoj zajednici i popravljaju se u otvorenoj zajednici. Ni na koji način se ne može sakriti opseg ili utjecaj sigurnosnog pitanja. S vlasničkim softverom, na slobodi ste davatelja softvera da riješi ranjivosti. Što ako šest mjeseci ne učine ništa u vezi s ugroženošću? Što ako propusti izvještaj istraživača? Smatramo sve one "previše kuhara" koje nazivate velikim softverskim alatom za sigurnost. Stotine pametnih inženjera često promatra svaki dio velikog paketa otvorenog koda poput OpenStack-a, zbog čega nedostaci zaista mogu teško proći kroz pukotine. Rasprava o nedostatku i procjena mogućnosti za njezino popravljanje događaju se na otvorenom. Privatni softverski paketi nikada ne mogu primiti ovu vrstu analize po razini koda i ispravci nikada neće dobiti takva otvorena provjera.
Softver s otvorenim kodom omogućuje i ublažavanje izvan snopa softvera. Na primjer, ako se pojavi sigurnosni problem OpenStack-a, ali pružatelj usluga oblaka ne može odmah nadograditi ili zakrpati ranjivost, mogu se izvršiti druge promjene. Funkcija se može privremeno onemogućiti ili se korisnici mogu spriječiti da je koriste putem datoteka s pravilima. Napad bi se mogao učinkovito ublažiti dok se ne primijeni dugoročno popravljanje. Softver s zatvorenim izvorom to često ne dopušta jer je teško vidjeti što treba ublažiti.
Također, zajednice otvorenog koda brzo šire znanje o tim sigurnosnim ranjivima. Pitanje "Kako spriječiti da se to kasnije ne dogodi?" pita se brzo, a promišljanje se provodi kolaborativno i na otvorenom.
PCMag: Završimo prvobitnim pitanjem za ovaj intervju: Slažete li se s analitičarima da će 2017. godina biti "prijelomna" godina u smislu usvajanja poslovnog oblaka, uglavnom ili barem djelomično zbog prihvaćanja od strane pružatelja usluga oblaka sigurnosti?
BK: Odmaknimo se na trenutak da razgovaramo o različitim oblacima oblaka. Većina vaših pitanja upućuje na javno tržište oblaka. Kao što sam gore spomenuo, Forresterovi istraživači primijetili su "neujednačeno stiskanje ruku" između pružatelja usluga oblaka i potrošača na način da pružatelji usluga oblaka pružaju niz usluga, ali korisnici oblaka često pretpostavljaju da primaju mnogo više u smislu sigurnosti, sigurnosne kopije, otpornosti, itd. Zalažem se od pridruživanja Rackspaceu da pružatelji usluga oblaka moraju čak i ispružiti taj stisak tako što budemo transparentniji prema našim potrošačima. Nigdje nije još ni jedno stiskanje ruku, nego u javnim oblacima.
Međutim, privatno okruženje u oblaku, a posebice ono koje se primjenjuje u potrošačevom, ne trpi toliko iluzija. Potrošačima je mnogo jasnije što kupuju i što im pružatelji usluga pružaju. Ipak, kako su potrošači povisili očekivanja u procesu kupnje, a pružatelji usluga oblaka pojačali naše igre kako bi pružili cjelovitije usluge i transparentnost, emocionalne i rizike povezane s rizikom premještanja radnog opterećenja iz tradicionalnog podatkovnog centra u javno oblačno okruženje brzo padaju, Ali mislim da se time neće stvoriti stampedo prema oblaku u 2017. Premještanje radnog opterećenja i čitavih podatkovnih centara povlači za sobom značajne planske i organizacijske promjene. Daleko se razlikuje od nadogradnje hardvera u podatkovnom centru. Potičem vaše čitatelje da prouče Netflixov prijelaz; preobrazili su posao prelaskom u oblak, ali trebalo im je sedam godina napornog rada. Za prvo su većinu svojih aplikacija ponovo preradili i napisali kako bi ih učinili učinkovitijima i boljom prilagođenom oblaku.
Također vidimo da mnogi potrošači usvajaju privatne oblake u svojim podatkovnim centrima koristeći hibridnu oblačnu arhitekturu kao svoje polazište. Čini se da se oni ubrzavaju. Vjerujem da bi krivulja usvajanja mogla vidjeti lakat u 2017. godini, ali trebat će nekoliko godina da se natezanje stvarno izgradi.
