Видео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Ноябрь 2024)
Предстоящий год обещает существенный рост для поставщиков общедоступных облачных услуг и поставщиков решений для программного обеспечения как услуги (SaaS). С одной стороны, новые технологии базового уровня, такие как развертывание микросервисов и блокчейн, среди прочего, предоставляют неиспользованные возможности для инноваций. Но, возможно, еще важнее то, что один из наиболее часто упоминаемых CIO блокировщиков внедрения облачных вычислений (а именно, безопасность и безопасность данных), похоже, наконец отходит на задний план, особенно для предприятий и предприятий среднего бизнеса.
Хотя аналитики сходятся во мнении, что в настоящее время большинство предприятий, включая корпоративные и средние сегменты, имеют различные облачные развертывания в различной степени, они также соглашаются с тем, что крупные организации не спешат переносить основные рабочие нагрузки в облако, причем основной причиной являются облачная безопасность и данные. безопасность. Это важно для этих клиентов не только из-за огромных объемов данных, которые эти организации будут мигрировать, но также потому, что для них критически важны прохождение строгих проверок соответствия и нормативных проверок, таких как Закон о мобильности и ответственности медицинского страхования (HIPAA) и ISO 27001. вести бизнес. Безопасность является первостепенной задачей для этих ИТ-директоров, и до недавнего времени она просто не была достаточно надежной для того, чтобы масштабно внедрить облако.
Но, согласно прогнозам аналитиков на 2017 год, это все изменится. За последние полвека облачная безопасность прошла очень долгий путь, и многие ИТ-специалисты и ИТ-директора, похоже, с этим согласны. Это означает, что аналитики прогнозируют, что в 2017 году мы увидим гораздо более широкое распространение облачной инфраструктуры и сервисов в корпоративном секторе.
Я провел интервью по электронной почте с Брайаном Келли (Brian Kelly), руководителем службы безопасности известного провайдера управляемых облачных вычислений Rackspace, чтобы узнать, что изменится в облачной безопасности в будущем году, и выяснить, согласен ли он с прогнозами этих аналитиков.
PCMag: Как именно Rackspace оценивает свою роль по сравнению с ИТ-персоналом своих клиентов, когда речь заходит о безопасности данных?
Брайан Келли (BK): Мы видим прямые доказательства того, что клиенты приходят в облако из-за безопасности, а не убегают от нее. За некоторыми исключениями, компании просто не имеют ресурсов и навыков для эффективной защиты своих организаций от более сложных и постоянных угроз. Точно так же поставщики облачных услуг осознают, что будущее нашего бизнеса зависит от обеспечения доверия и уверенности посредством эффективных мер безопасности. Несмотря на рост инвестиций облачных провайдеров в безопасность, защита активов организации всегда будет оставаться общей ответственностью. Хотя поставщик облачных услуг несет прямую ответственность за защиту объектов, центров обработки данных, сетей и виртуальной инфраструктуры, потребители также несут ответственность за защиту операционных систем, приложений, данных, доступа и учетных данных.
Forrester ввел термин «неравное рукопожатие» в связи с этой общей ответственностью. В некоторых отношениях потребители считают, что они несут бремя безопасности своих данных. Это могло быть правдой несколько лет назад; Однако мы наблюдаем балансирование рукопожатия. То есть облачные провайдеры могут и должны делать больше для того, чтобы потребители разделяли ответственность за безопасность. Это может принять форму простого обеспечения большей наглядности и прозрачности размещенных рабочих нагрузок, предоставления доступа к плоскостям управления или предоставления управляемых служб безопасности. Несмотря на то что обязанности потребителя по обеспечению безопасности никогда не исчезнут, облачные провайдеры будут продолжать брать на себя больше ответственности и предлагать управляемые предложения по обеспечению безопасности с добавленной стоимостью для создания доверия, необходимого для обеих сторон для безопасной работы в облаке.
PCMag: Есть ли у вас какие-либо советы для ИТ-специалистов и корпоративных клиентов о том, что они могут сделать в дополнение к тому, что провайдер предоставляет, чтобы самим защитить свои облачные данные?
БК: Они должны продолжать внедрять лучшие методы обеспечения безопасности в своих анклавах. Им необходимо ответственно распределить рабочие нагрузки в анклаве, чтобы ограничить объем компромиссов, обеспечить надлежащую защиту и исправление сред рабочей нагрузки (операционных систем, контейнеров, виртуальных локальных сетей), использовать технологии обнаружения и реагирования на уровне конечных точек и сетей (IDS / IPS, обнаружение вредоносных программ и сдерживание), а также активно управлять учетными записями и доступом. Зачастую клиенты могут включать эти услуги и технологии в свои контракты на использование облака, но если нет, потребитель должен убедиться, что это происходит на их стороне.
PCMag: один ключевой вопрос, который мы видели у читателей, - это эффективная защита от массивных атак распределенного отказа в обслуживании (DDoS) с использованием Интернета вещей, аналогичная инциденту, произошедшему в прошлом октябре, когда китайский поставщик IoT непреднамеренно внес большой вклад в атака. Работают ли такие атаки с вышестоящими интернет-провайдерами (ISP)? И как они удерживают нападение на одного клиента, чтобы он не убивал всех на объекте?
БК: Основная цель защиты от DDoS - поддерживать доступность в случае атаки. Возможности DoS-атаки IoT хорошо известны и могут быть успешно смягчены путем внедрения передовых методов обеспечения безопасности и использования интеллектуальных систем предотвращения DDoS-атак. Самая большая угроза - это не метод атак со стороны IoT, а огромное количество уязвимых интернет-устройств. Сети должны быть заблокированы, чтобы ограничить подверженность угрозам в Интернете. Операторы сетей должны проявлять инициативу в обнаружении всех возможных угроз и в знании наиболее эффективных методов их устранения, сохраняя при этом возможность анализировать и классифицировать весь сетевой трафик.
Сильная стратегия смягчения последствий DDoS требует многоуровневого, оборонительного подхода. Большое количество устройств IoT затрудняет защиту от атак IoT для небольших сетей. Эффективность IoT-атаки заключается в ее гибкости для генерации различных векторов атак и создания большого объемного DDoS-трафика. Даже самая защищенная сеть может быть быстро перегружена огромным объемом трафика, который IoT может генерировать в руках способного злоумышленника. Восходящие интернет-провайдеры часто лучше оснащены и укомплектованы для борьбы с этими крупномасштабными атаками, которые быстро насытят небольшие сетевые соединения. Кроме того, масштабы эксплуатации сети и инструменты, необходимые для смягчения таких атак, делают эффективное обнаружение и реагирование недоступными для большинства организаций. Лучшим решением является передача таких операций сторонним провайдерам облачных провайдеров, которые уже работают с сетью такого масштаба.
У вышестоящих интернет-провайдеров есть много преимуществ благодаря большому разнообразию точек доступа в Интернет, через которые они могут перемещать трафик. Как правило, они также имеют достаточно большие каналы передачи данных для первоначального поглощения большого количества трафика DDoS, в то время как действия по перенаправлению трафика ускоряются. «Вверх по течению» - хороший термин, потому что он несколько аналогичен серии плотин вдоль реки. Во время наводнения вы можете защитить дома вниз по течению, используя каждую плотину, чтобы собирать все больше воды в каждом озере, создаваемом плотиной, и измерять поток для предотвращения затопления вниз по течению. Пропускная способность и разнесение точек доступа для восходящих интернет-провайдеров обеспечивают одинаковую устойчивость. У них также есть протоколы, согласованные через интернет-сообщество для шунтирования DDoS-трафика ближе к источникам, которые они могут активировать.
Как и в случае с другими действиями по реагированию на инциденты, планирование, подготовка и практика очень важны. Нет двух одинаковых атак, поэтому предугадывать варианты и обстоятельства, а затем планировать и отрабатывать их, крайне важно. Для сценариев IoT-атак это включает сканирование вашей сети на наличие уязвимых устройств и принятие корректирующих мер. Вы также должны запретить сканирование из-за пределов вашей сети уязвимых устройств IoT. Помочь реализовать строгий контроль доступа и повысить безопасность операционной системы, а также разработать процедуры исправления различных версий кода, сетевых устройств и приложений.
Нажмите на изображение для полной инфографики. Изображение предоставлено: Twistlock
PCMag: Еще один вопрос, который задают нам читатели, касается безопасности контейнеров. Вы беспокоитесь об оружейных контейнерах, которые могут содержать сложные системы атаки, или вы думаете, что архитектура защищает от подобных эксплойтов?
Б. К.: Безопасность с использованием любой новой технологии всегда вызывает повышенную озабоченность - контейнеры не являются уникальными в этом аспекте. Но, как и во многих проблемах безопасности, здесь есть компромиссы. Хотя риск может быть повышенным, мы также считаем, что существуют эффективные стратегии снижения рисков, которые мы можем контролировать.
Контейнер, по сути, представляет собой весьма переходную и легковесную виртуализированную среду операционной системы. Являются ли виртуальные машины менее безопасными, чем отдельные физические серверы? Они есть, в большинстве случаев. Однако многие компании видят преимущества от виртуализации в затратах (меньше затрат, легче управлять, могут легко переназначать машины) и предпочитают использовать их, одновременно снижая как можно больше рисков. Intel даже поняла, что может помочь снизить некоторые риски, и именно отсюда появился Intel VT.
Контейнеры обеспечивают дополнительную экономию средств и гибкость виртуализации. они также более опасны, поскольку между каждым контейнером и операционной системой хоста очень тонкая стенка. Я не знаю никакой аппаратной поддержки для изоляции, поэтому ядро должно держать всех в очереди. Компании должны взвесить стоимость и гибкость этой новой технологии вместе с этими рисками.
Эксперты по Linux обеспокоены тем, что каждый контейнер разделяет ядро хоста, что делает область эксплойтов намного больше, чем традиционные технологии виртуализации, такие как KVM и Xen. Таким образом, существует вероятность новой атаки, когда злоумышленник взламывает привилегии в одном контейнере, чтобы получить доступ или повлиять на условия внутри другого контейнера.
У нас пока нет особого подхода к использованию внутриконтейнерных датчиков безопасности. Эта область рынка должна созреть, по моему мнению. Кроме того, контейнеры не могут использовать встроенные в процессоры функции безопасности (например, Intel VT), которые позволяют выполнять код в разных кольцах в зависимости от уровня его привилегий.
В конце концов, существует множество эксплойтов для физических серверов, виртуальных машин и контейнеров. Новые возникают все время. Даже машины с воздушным зазором эксплуатируются. ИТ-специалисты должны беспокоиться о компрометациях безопасности на всех этих уровнях. Большая часть защиты одинакова для всех этих типов развертывания, но у каждого есть свои дополнительные средства защиты, которые необходимо применять.
Хостинг-провайдер должен использовать модули безопасности Linux (такие как SELinux или AppArmor) для изоляции контейнеров, и эта система должна тщательно контролироваться. Также важно поддерживать ядро хоста обновленным, чтобы избежать эксплойтов локальных привилегий. Также помогает изоляция по уникальному идентификатору (UID), поскольку она не позволяет пользователю root в контейнере фактически быть пользователем root на хосте.
PCMag. Одна из причин, по которой PCMag.com не провел широкомасштабное сравнение поставщиков услуг управляемой безопасности (MSSP), заключается в том, что в отрасли существует путаница относительно того, что именно означает этот термин и что этот класс поставщиков может и должен предоставлять. Можете ли вы сломать управляемую службу безопасности Rackspace? Что это делает, чем это отличается от других провайдеров, и где вы видите, что происходит, чтобы читатели могли получить хорошее представление о том, на что они подписываются, когда они используют такую услугу?
BK: MSSP должны признать, что безопасность не работает, и скорректировать свою стратегию и операции, чтобы быть более эффективными в современной среде угроз, которая содержит более изощренных и постоянных противников. В Rackspace мы признали это изменение угрозы и разработали новые возможности, необходимые для их устранения. Rackspace Managed Security - это расширенная операция обнаружения и ответа 24/7/365. Он был разработан не только для защиты компаний от атак, но и для минимизации воздействия на бизнес, когда атаки происходят даже после успешного взлома среды.
Чтобы добиться этого, мы скорректировали нашу стратегию тремя способами:
Мы ориентируемся на данные, а не на периметр. Чтобы эффективно реагировать на атаки, цель должна состоять в том, чтобы минимизировать влияние на бизнес. Это требует полного понимания бизнеса компании и контекста данных и систем, которые мы защищаем. Только тогда мы сможем понять, как обычно выглядит, понять атаку и ответить так, чтобы минимизировать влияние на бизнес.
Мы предполагаем, что злоумышленники получили доступ к сети и используют высококвалифицированных аналитиков, чтобы выследить их. Находясь в сети, инструменты трудно идентифицировать, поскольку для инструментов безопасности опытные злоумышленники выглядят как администраторы, выполняющие обычные бизнес-функции. Наши аналитики активно ищут шаблоны действий, о которых инструменты не могут предупредить - эти шаблоны являются следами, которые ведут нас к атакующему.
Знать, что вы находитесь под атакой, недостаточно. Очень важно реагировать на атаки, когда они происходят. Наш Центр обеспечения безопасности клиентов использует портфель «предварительно утвержденных действий» для реагирования на атаки, как только они их увидят. По сути, это учебники, которые мы попробовали и протестировали, чтобы успешно справляться с атаками, когда они происходят. Наши клиенты видят эти ведомости и утверждают наших аналитиков, чтобы они выполнялись во время процесса адаптации. В результате аналитики больше не являются пассивными наблюдателями - они могут активно отключать злоумышленника, как только его обнаруживают, и часто до достижения настойчивости и до воздействия на бизнес. Эта способность реагировать на атаки является уникальной для Rackspace, поскольку мы также управляем инфраструктурой, которую защищаем для наших клиентов.
Кроме того, мы считаем, что соблюдение требований является побочным продуктом обеспечения безопасности. У нас есть команда, которая извлекает выгоду из строгости и лучших практик, которые мы внедряем в рамках операций по обеспечению безопасности, путем выявления и отчетности о требованиях соответствия, которые мы помогаем нашим клиентам выполнить.
PCMag: Rackspace - большой сторонник, действительно заслуженный основатель OpenStack. Некоторые из наших ИТ-читателей спрашивают, является ли разработка безопасности для такой открытой платформы медленнее и менее эффективной, чем разработка закрытой системы, такой как Amazon Web Services (AWS) или Microsoft Azure, из-за предполагаемой дилеммы "слишком много поваров", которая преследует меня много крупных проектов с открытым исходным кодом. Как вы реагируете на это?
БК: В программном обеспечении с открытым исходным кодом «ошибки» обнаруживаются в открытом сообществе и исправляются в открытом сообществе. Нет способа скрыть степень или влияние проблемы безопасности. С проприетарным программным обеспечением вы зависите от поставщика программного обеспечения для устранения уязвимостей. Что делать, если они ничего не делают с уязвимостью в течение шести месяцев? Что если они пропустят отчет от исследователя? Мы рассматриваем все эти «слишком много поваров», которых вы называете огромным средством обеспечения безопасности программного обеспечения. Сотни умных инженеров часто смотрят на каждую часть основного пакета с открытым исходным кодом, такого как OpenStack, что очень затрудняет проскальзывание недостатков. Обсуждение недостатка и оценка вариантов его устранения происходят под открытым небом. Частные программные пакеты никогда не смогут получить такой анализ на уровне строки кода, а исправления никогда не получат такую открытую проверку.
Программное обеспечение с открытым исходным кодом также позволяет снизить риски за пределами программного стека. Например, если возникает проблема безопасности OpenStack, но облачный провайдер не может немедленно обновить или исправить уязвимость, могут быть внесены другие изменения. Эта функция может быть временно отключена или пользователи не смогут использовать ее через файлы политики. Атака может быть эффективно смягчена, пока не будет применено долгосрочное исправление. Программное обеспечение с закрытым исходным кодом часто не позволяет этого, так как трудно понять, что нужно смягчить.
Кроме того, сообщества с открытым исходным кодом быстро распространяют знания об этих уязвимостях безопасности. Вопрос «Как мы можем предотвратить это позже?» получает быстрый ответ, и обсуждение проводится совместно и открыто.
PCMag: Давайте закончим на исходном вопросе для этого интервью: согласны ли вы с аналитиками, что 2017 год будет «прорывным» с точки зрения внедрения корпоративного облака, в основном или хотя бы частично из-за принятия предприятием безопасности облачного провайдера?
БК: Давайте на секунду отступим, чтобы обсудить различные облачные среды. Большая часть вашего вопроса касается рынка публичных облаков. Как я уже упоминал выше, исследователи Forrester отметили «неравномерное рукопожатие» между облачными провайдерами и потребителями в том, что облачные провайдеры предоставляют набор услуг, но пользователи облачных вычислений часто предполагают, что они получают гораздо больше с точки зрения безопасности, резервного копирования, отказоустойчивости, и т. д. С тех пор, как я присоединился к Rackspace, я выступал за то, чтобы облачные провайдеры должны выровнять это рукопожатие, чтобы быть более прозрачными с нашими потребителями. Сегодня нигде рукопожатие не менее ровно, чем в общедоступных облачных средах.
Однако частные облачные среды, и особенно те, что реализованы самими потребителями, не сильно страдают от таких иллюзий. Потребители гораздо лучше понимают, что они покупают и что дают им поставщики. Тем не менее, поскольку потребители повысили ожидания в процессе покупки и облачные провайдеры активизировали наши игры для предоставления более полных услуг и прозрачности, эмоциональные барьеры и барьеры, связанные с риском, для перемещения рабочих нагрузок из традиционного центра обработки данных в среду публичного облака быстро снижаются., Но я не думаю, что это создаст паническое бегство к облаку в 2017 году. Перемещение рабочих нагрузок и целых центров обработки данных влечет за собой значительные изменения в планировании и организации. Это сильно отличается от обновления оборудования в центре обработки данных. Я призываю ваших читателей изучить переход Netflix; они преобразовали свой бизнес, перейдя в облако, но им потребовалось семь лет напряженной работы. С одной стороны, они переработали и переписали большинство своих приложений, чтобы сделать их более эффективными и лучше адаптированными к облаку.
Мы также видим, что многие потребители внедряют частные облака в своих центрах обработки данных, используя в качестве отправной точки гибридную облачную архитектуру. Кажется, они ускоряются. Я полагаю, что кривая усыновления может вылиться в локоть в 2017 году, но это займет несколько лет, чтобы волну действительно построили.
