Video: Kako s knjižnimi blogerji do več bralcev in kupcev? Dobre prakse pri nas in v tujini. (November 2024)
Prihodnje leto obeta veliko rast ponudnikom javnih storitev v oblaku in ponudnikom rešitev Software-as-a-Service (SaaS). Na primer, nove tehnologije na temeljih, kot so uvajanje mikroservisov in blockchain, med drugim ponujajo neizkoriščene možnosti za inovacije. Morda pa je še pomembneje, da se zdi, da se eden najpogostejših CIO zaviralcev oblakov (varnost in varnost podatkov) končno premakne v ozadje, zlasti za podjetja in srednje velika podjetja.
Medtem ko se analitiki strinjajo, da ima danes večina podjetij - vključno s podjetji in srednjimi segmenti - v različni meri nekaj uvajanja v oblak, se tudi strinjajo, da večje organizacije počasi premikajo večje obremenitve v oblak, glavni razlog pa sta varnost v oblaku in podatki varnost. Za te stranke je to pomembno ne le zaradi velikega števila podatkov, ki bi jih te organizacije selile, ampak tudi zaradi strogega preverjanja skladnosti in predpisov, kot sta Zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja (HIPAA) in ISO 27001, za njih ključnega pomena. poslovati. Varnost je za te CIO najbolj pomembna in do nedavnega preprosto ni bila dovolj robustna, da bi lahko oblak sprejela v velikem obsegu.
Toda po napovedih analitika za leto 2017 se je treba vse to spremeniti. Varnost v oblaku je v zadnjem pol desetletja prišla zelo daleč in zdi se, da se mnogi IT strokovnjaki in CIO strinjajo. To pomeni, da analitiki napovedujejo, da bomo v letu 2017 videli veliko večjo uporabo oblačne infrastrukture in storitev iz podjetniškega sektorja.
Izvedel sem e-poštni intervju z Brianom Kellyjem, glavnim varnostnim uradnikom pri dobro znanem upravljalcu oblakov Rackspace, da sem ugotovil, kaj se spreminja glede varnosti v oblaku v prihodnjem letu - in da vidim, ali se strinja s napovedmi teh analitikov.
PCMag: Kako Rackspace vidi svojo vlogo v primerjavi z IT- jevim osebjem svojih strank, ko gre za varnost in zaščito podatkov?
Brian Kelly (BK): Opažamo neposredne dokaze, da stranke prihajajo v oblak zaradi varnosti, ne pa da bežijo iz njega. Z nekaj izjemami podjetja preprosto nimajo sredstev in spretnosti, da bi učinkovito branile svoje organizacije pred bolj sofisticiranimi in trdovratnimi grožnjami. Podobno tudi ponudniki oblakov priznavajo, da je prihodnost naših podjetij odvisna od zagotavljanja zaupanja z učinkovitimi varnostnimi praksami. Kljub povečanim vlaganjem ponudnikov oblakov v varnost, bo varovanje organizacijskega premoženja vedno ostalo skupna odgovornost. Čeprav je ponudnik oblakov neposredno odgovoren za zaščito objektov, podatkovnih centrov, omrežij in virtualne infrastrukture, so potrošniki odgovorni tudi za varovanje operacijskih sistemov, aplikacij, podatkov, dostopa in poverilnic.
Forrester je skliceval na izraz "neenakomeren stisk roke" v zvezi s to deljeno odgovornostjo. Potrošniki v nekaterih pogledih verjamejo, da bremenijo varnost svojih podatkov. To je morda res že nekaj let nazaj; vendar smo priča uravnoteženju stiskanja rok. To pomeni, da lahko ponudniki oblakov naložijo in morajo narediti več, da potrošniki delijo odgovornost za varnost. To je lahko v obliki preprosto zagotavljanja večje prepoznavnosti in preglednosti gostovanja obdržanih delovnih mest, zagotavljanja dostopa do kontrolnih letal ali ponudbe upravljanih varnostnih storitev. Medtem ko potrošnikove varnostne odgovornosti ne bodo nikoli izginile, bodo ponudniki oblakov še naprej prevzeli večjo odgovornost in zagotavljali varnostne ponudbe z dodano vrednostjo, da bi zgradili zaupanje, potrebno za obe strani za varno delovanje v oblaku.
PCMag: Ali imate kakšen nasvet za IT strokovnjake in poslovne stranke o tem, kaj lahko naredijo poleg tega, kaj ponuja ponudnik, da sami zaščitijo svoje podatke v oblaku?
BK: Še naprej morajo v svojih enklavah izvajati najboljše varnostne prakse. Delovne obremenitve v enklavi morajo odgovorno segmentirati, da omejijo obseg kompromisov, zagotovijo, da so delovna okolja (operacijski sistemi, zabojniki, virtualni LAN-ji) pravilno zavarovana in zakrpljena, da bi uporabili tehnologije zaznavanja in odziva na ravni omrežja in odzivnosti (IDS / IPS, odkrivanje in omejevanje zlonamerne programske opreme) ter aktivno upravljanje računov in dostopov. Stranke pogosto lahko te storitve in tehnologije vključijo v svoje pogodbe o uporabi v oblaku, če pa ne, mora potrošnik zagotoviti, da se to zgodi na njihovi strani.
PCMag: Eno ključnih vprašanj, ki smo jih zasledili bralci, je učinkovita obramba pred množičnimi napadi internetnega zapora (IoT), ki so pod nadzorom DDoS, podobno kot pri incidentu oktobra lani, kjer je kitajski prodajalec IoT nehote močno prispeval k napad. Ali takšni napadi delujejo z ponudniki internetnih storitev na višji stopnji? In kako preprečujejo napad na eno stranko, da bi vsakega odnesli v objekt?
BK: Glavni cilj obrambe DDoS je ohranjanje razpoložljivosti v napadu. Zmogljivosti IoT napadov DDoS so dobro znane in jih je mogoče uspešno omiliti z izvajanjem najboljših varnostnih praks in z uporabo inteligentnih sistemov za ublažitev DDoS. Največja grožnja ni metoda napadov IoT, temveč ogromno število ranljivih internetnih naprav. Omrežja morajo biti zaklenjena, da se omeji izpostavljenost grožnjam na internetu. Omrežni operaterji morajo biti dejavni pri odkrivanju vseh možnih groženj in poznati najučinkovitejše tehnike za njihovo ublažitev, obenem pa ohranjati sposobnost analize in razvrščanja vsega omrežnega prometa.
Močna strategija za ublažitev DDoS zahteva večplastni obrambni pristop. Obsežno število naprav IoT otežuje blažitve napadov IoT za majhna omrežja. Učinkovitost IoT napada je njegova prilagodljivost za generiranje različnih vektorjev napadov in ustvarjanje velikega DDoS prometa z veliko količino. Tudi najbolj utrjeno omrežje lahko hitro premaga ogromen obseg prometa, ki ga IoT lahko ustvari v rokah sposobnega napadalca. Vzhodni ponudniki internetnih storitev so pogosto bolje opremljeni in imajo osebje za spopadanje s temi obsežnimi napadi, ki bi hitro nasitili majhne omrežne povezave. Poleg tega obseg delovanja omrežja in orodja, potrebna za ublažitev takšnih napadov, učinkovito odkrivanje in odzivanje dosegajo izven dosega večine organizacij. Boljša rešitev je oddajanje takšnih operacij zunanjim ponudnikom storitev v oblaku, ki že delajo s tovrstno mrežo.
Nadpovprečni ponudniki internetnih storitev imajo številne prednosti z veliko raznolikostjo internetnih dostopnih točk, prek katerih lahko preusmerijo promet. Običajno imajo tudi dovolj velike podatkovne cevi, da sprva absorbirajo veliko DDoS prometa, medtem ko se odzivne dejavnosti preusmeritve prometa vrtijo. "Upstream" je dober izraz, saj je nekako analogen vrsti jezov ob neki reki. Med poplavo lahko hiše zaščitite navzdol z uporabo vsakega jezu, da zajamete postopno več vode v vsakem jezeru, ki ga ustvari jez in izmerite pretok, da preprečite poplavo navzdol. Različnost pasovne širine in dostopne točke za ponudnike internetnih storitev ponujajo isto vrsto odpornosti. Imajo tudi protokole, dogovorjene po internetni skupnosti, da preusmerijo DDoS promet bližje virom, ki jih lahko aktivirajo.
Tako kot druge dejavnosti odzivanja na nesreče so tudi načrtovanje, priprava in praksa bistvenega pomena. Nobena dva napada nista povsem enaka, zato je ključno predvideti možnosti in okoliščine, ki jih nato načrtujete in izvajate. Za scenarije napadov IoT, ki vključuje skeniranje omrežja za ranljive naprave in popravne ukrepe. Prav tako morate biti prepričani, da preprečite skeniranje zunaj svojega omrežja za ranljive IoT naprave. Za pomoč pri izvedbi strogega nadzora dostopa in utrjevanja operacijskega sistema ter pri razvoju postopkov za krpanje različnih različic kode, omrežnih naprav in aplikacij.
Za celotno infografiko kliknite sliko. Kreditna slika: Twistlock
PCMag: Še eno vprašanje, ki nam ga postavljajo bralci, je glede varnosti vsebnikov. Ali vas skrbijo oboroženi zabojniki, ki bi lahko vsebovali zapletene sisteme napadov, ali menite, da arhitektura ščiti pred takšnimi eksploati?
BK: Varnost s katero koli novo poudarjeno tehnologijo je vedno povečana skrb - zabojniki v tem pogledu niso edinstveni. Vendar pa, tako kot pri mnogih varnostnih izzivih, obstajajo kompromisi. Čeprav je tveganje lahko večje, verjamemo tudi, da obstajajo učinkovite strategije za ublažitev tveganj, ki jih lahko obvladamo.
Vsebnik je v bistvu zelo prehodno in lahko, virtualizirano okolje operacijskega sistema. So navidezni stroji manj varni kot ločeni fizični strežniki? V večini primerov so. Vendar mnoga podjetja vidijo stroškovne koristi od virtualizacije (manj porabe, lažje upravljanje, stroji lahko enostavno namestijo), zato se odločijo, da bodo obvladovali čim večje tveganje. Intel je celo spoznal, da lahko sami pomagajo omiliti nekaj tveganj in od tod je prišel Intel VT.
Zabojniki še dodatno izboljšajo začetne prihranke pri stroških in prilagodljivost virtualizacije. so tudi bolj tvegani, saj je med vsako posodo in gostiteljskim operacijskim sistemom zelo tanka stena. Ne poznam nobene strojne podpore za izolacijo, zato je odvisno od tega, da bo vse jedro v redu. Podjetja morajo skupaj s temi tveganji tehtati stroškovne in fleksibilne prednosti te nove tehnologije.
Strokovnjaki za Linux so zaskrbljeni, ker ima vsak vsebnik gostiteljsko jedro, zaradi česar je površina izkoriščanja veliko večja od tradicionalnih tehnologij za virtualizacijo, kot sta KVM in Xen. Torej, obstaja potencial za nov napad, v katerem napadalec v enem vsebniku prekine privilegije, da bi lahko dostopal do njega ali vplival na pogoje znotraj njega.
Zaščitnih senzorjev, ki so specifični za zabojnike, še ni veliko. Po mojem mnenju mora to področje trga dozoreti. Poleg tega vsebniki ne morejo uporabljati varnostnih funkcij, vgrajenih v procesorje (na primer Intel VT), ki omogočajo izvajanje kode v različnih obročih, odvisno od stopnje privilegiranja.
Na koncu je na voljo veliko podvigov za fizične strežnike, virtualne stroje in zabojnike. Ves čas se pojavljajo novi. Izkoriščeni so celo stroji z zrakom. IT strokovnjake bi morali skrbeti za varnostne kompromise na vseh teh ravneh. Večina zaščitnih ukrepov je enaka za vse te vrste uvajanja, vendar ima vsaka svoje dodatne zaščite, ki jih je treba uporabiti.
Ponudnik gostovanja mora za izoliranje vsebnikov uporabljati varnostne module Linuxa (na primer SELinux ali AppArmor), sistem pa je treba natančno nadzorovati. Ključno je tudi, da gostiteljsko jedro posodabljate, da se izognete lokalnim izkoriščanjem privilegijev. Tudi izolacija edinstvenega ID-ja (UID) pomaga, saj preprečuje, da bi uporabnik korenike v vsebniku dejansko sam uporabil korenino na gostitelju.
PCMag: Eden od razlogov, da PCMag.com ni opravil obsežne primerjave upravljanih ponudnikov varnostnih storitev (MSSP), ker v industriji obstajajo zmede glede tega, kaj točno ta izraz pomeni in kaj lahko ta razred ponudnika ponuja in mora ponuditi. Ali lahko razbijete upravljano varnostno storitev Rackspacea? Kaj se dogaja, kako se to razlikuje od drugih ponudnikov in kam vidite, da bodo bralci dobili dobro predstavo o tem, na kaj se prijavijo, ko zaposlijo takšno storitev?
BK: MSSP morajo sprejeti, da varnost ne deluje in prilagoditi svojo strategijo in operacije, da bi bile učinkovitejše v današnji pokrajini groženj - ki vsebuje bolj zapletene in vztrajne nasprotnike. V Rackspaceu smo priznali to spremembo grožnje in razvili nove zmogljivosti, potrebne za njihovo ublažitev. Varnost z upravljanjem Rackspace je napredna operacija za zaznavanje in odzivanje 24/7/365. Zasnovan je ne samo za zaščito podjetij pred napadi, ampak za zmanjšanje učinka poslovanja, ko se napadi zgodijo, tudi potem, ko je uspešno vdrto okolje.
Da bi to dosegli, smo strategijo prilagodili na tri načine:
Osredotočimo se na podatke, ne na obod. Za učinkovito odzivanje na napade mora biti cilj čim manjši vpliv na podjetja. To zahteva celovito razumevanje poslovanja podjetja in konteksta podatkov in sistemov, ki jih ščitimo. Šele potem lahko razumemo, kako izgleda normalno, razumemo napad in se odzovemo na način, ki zmanjšuje vpliv na posel.
Domnevamo, da so napadalci vstopili v omrežje in za lov nanje uporabljajo visoko usposobljene analitike. Ko so napadi enkrat v omrežju, je orodje težko prepoznati, saj so za varnostna orodja napredni napadalci videti kot skrbniki, ki opravljajo običajne poslovne funkcije. Naši analitiki aktivno iščejo vzorce dejavnosti, na katere orodja ne morejo opozoriti - ti vzorci so sled, ki nas vodi do napadalca.
Vedeti, da ste napadli, ni dovolj. Ključnega pomena je, da se odzovejo na napade, ko se ti zgodijo. Naš operativni center za varnost kupcev uporablja paleto "vnaprej odobrenih dejanj", da se na napade odzove takoj, ko jih zagleda. To so v bistvu vodene knjige, ki smo jih preizkusili in uspešno odpravili napade, ko se ti zgodijo. Naše stranke vidijo te vodiče in odobrijo naše analitike, da jih izvajajo med postopkom na krovu. Kot rezultat tega analitiki niso več pasivni opazovalci - napadalca lahko aktivno izključijo takoj, ko ga odkrijejo, pogosto pa preden dosežejo vztrajnost in preden vplivajo na poslovanje. Ta sposobnost odzivanja na napade je edinstvena za Rackspace, saj prav tako upravljamo infrastrukturo, ki jo ščitimo za naše stranke.
Poleg tega ugotavljamo, da je skladnost stranski proizvod varnosti, ki je dobro opravljen. Imamo ekipo, ki izkorišča strogost in najboljše prakse, ki jih izvajamo v okviru varnostne operacije, tako da dokažemo in poročamo o zahtevah skladnosti, s katerimi pomagamo našim strankam pri izpolnjevanju.
PCMag: Rackspace je velik zagovornik, pravzaprav zasluženi ustanovitelj, OpenStack. Nekateri naši bralci IT-jev so vprašali, ali je razvoj varnosti za tako odprto platformo dejansko počasnejši in manj učinkovit od tistega v zaprtem sistemu, kot sta Amazon Web Services (AWS) ali Microsoft Azure zaradi zaznane dileme "preveč kuharjev", ki se muči veliko velikih odprtokodnih projektov. Kako se odzovete na to?
BK: Pri odprtokodni programski opremi se v odprti skupnosti najdejo "napake" in jih odpravi. Obsega ali vpliva varnostnega vprašanja ni mogoče skriti. Z lastniško programsko opremo ste ponudnik programske opreme na volju, da odpravite ranljivosti. Kaj če šest mesecev ne storijo ničesar glede ranljivosti? Kaj pa, če zamudijo poročilo raziskovalca? Vsi tisti "preveč kuharji", ki jih označujete kot velik programski varnostni program, vidimo. Na stotine pametnih inženirjev pogosto pogleda na vsak del velikega odprtokodnega paketa, kot je OpenStack, zaradi česar resnično težko pride do pomanjkljivosti skozi razpoke. Razprava o pomanjkljivosti in ocena možnosti za njeno odpravo se dogaja na prostem. Zasebni programski paketi nikoli ne morejo prejemati tovrstnih analiz na ravni kode in popravki ne bodo nikoli dobili tako odprtega preverjanja.
Odprta programska oprema omogoča tudi zmanjševanje zunaj programske opreme. Na primer, če se pojavi težava z varnostjo OpenStack, vendar ponudnik oblakov ne more takoj nadgraditi ali popraviti ranljivosti, bi lahko bile izvedene druge spremembe. Funkcijo je mogoče začasno onemogočiti ali uporabnikom preprečiti njeno uporabo prek datotek pravilnikov. Napad bi lahko učinkovito ublažili, dokler se ne uporabi dolgoročna odprava. Programska oprema z zaprtim virom pogosto tega ne omogoča, saj je težko razumeti, kaj je treba omiliti.
Tudi odprtokodne skupnosti hitro širijo znanje o teh varnostnih ranljivostih. Vprašanje "Kako preprečimo, da se to zgodi kasneje?" se hitro vpraša in razpravljanje poteka v sodelovanju in na prostem.
PCMag: Zaključimo s prvotnim vprašanjem za ta intervju: Ali se strinjate z analitiki, da bo leto 2017 "prelomno" leto v smislu sprejemanja oblaka v podjetju, predvsem ali vsaj delno, ker bo podjetje sprejelo varnost ponudnika oblakov?
BK: Naj se za trenutek odmaknemo, da razpravljamo o različnih okoljih oblakov. Večina vaših vprašanj kaže na javni trg v oblaku. Kot sem že omenil, so raziskovalci Forresterja opazili "neenakomerno stisk roke" med ponudniki oblakov in potrošniki, ker ponudniki oblakov zagotavljajo niz storitev, vendar porabniki v oblaku pogosto domnevajo, da prejemajo veliko več v smislu varnosti, varnostne kopije, odpornosti, ipd., odkar sem se pridružil Rackspaceu, zagovarjam, da bi morali ponudniki oblakov to stisko premagati tako, da bodo bolj transparentni do naših potrošnikov. Nikjer ni stisk roke še tako enakomeren kot danes v javnih oblačnih okoljih.
Zasebna oblačna okolja, še posebej pa tista, ki se izvajajo v potrošnikovem, ne trpijo zaradi takšnih iluzij. Potrošnikom je veliko bolj jasno, kaj kupujejo in kaj jim ponujajo ponudniki. Kljub temu, da so potrošniki povečali pričakovanja v postopku nakupa in so ponudniki oblakov povečali naše igre za zagotavljanje celovitejših storitev in preglednosti, čustvene ovire in ovire, povezane s tveganjem pri prenosu delovnih obremenitev iz tradicionalnega podatkovnega centra v javno okolje v oblaku, hitro padajo.
Mislim pa, da to ne bo povzročilo ostrenja v oblaku leta 2017. Premik delovnih obremenitev in celotnih podatkovnih centrov pomeni znatne načrtovalne in organizacijske spremembe. Daleč se razlikuje od nadgradnje strojne opreme v podatkovnem centru. Spodbujam vaše bralce, da preučijo prehod Netflix; preoblikovali so svoje poslovanje s selitvijo v oblak, vendar jim je bilo potrebnih sedem let trdega dela. Za večino so večino aplikacij znova ustvarili in znova napisali, da bi bili učinkovitejši in bolje prilagojeni na oblak.
Prav tako vidimo veliko potrošnikov, ki v svojih podatkovnih centrih sprejemajo zasebne oblake, ki za svoje izhodišče uporabljajo hibridno oblačno arhitekturo. Zdi se, da se pospešujejo. Verjamem, da se bo na krivulji posvojitve v letu 2017 lahko videl komolček, vendar bo trajalo nekaj let, da se bo oteklina resnično povečala.
