Разликата между управлението на киберсигурността в локални и облачни среди не е по-различна от играта на традиционен и триизмерен шах. Въпреки че тактиката е сходна и целите са едни и същи – намаляване на риска, защита на поверителните данни, спазване на изискванията за съответствие и други подобни – облакът добавя сложност, която напълно променя динамиката. Архитектурата на облака, липсата на контрол върху промените и фините и не толкова фини разлики в основния дизайн и операции на различните облачни платформи правят сигурността в облака по-сложна.
Макар че миграцията към инфраструктура като услуга (IaaS), платформа като услуга (PaaS), софтуер като услуга (SaaS) и безсървърни изчисления е добре позната, някои технически и управленски кадри, които са били обучени в локални среди, все още пренасят тази оперативна пристрастност в управлението на облаци. Естеството на облачните среди обаче означава, че екипите по сигурността и техническите екипи се нуждаят от различен начин на мислене, за да разберат и управляват тяхната нова повърхност за атаки.
Организациите често използват облаци на няколко доставчици, независимо дали за да отговорят на специфични оперативни нужди, да оптимизират цената и производителността или да получат достъп до специализирани възможности. Повечето средни и големи организации използват два или повече облака (което ги прави многооблачни) в съчетание с локални сървъри и инфраструктура (наричани хибриден облак).
Microsoft Azure е популярен избор, ако използвате Windows за вътрешните си приложения. Съществува естествена гравитация към преминаване към Azure, след като вече няма смисъл да разполагате с повече стелажи във вашия център за данни. Ако разгръщате мащабни уеб приложения, естественият афинитет е към Amazon Web Services (AWS), въпреки че Google Cloud Platform (GCP) също е привлекателна за тези случаи на използване. GCP е известна и с възможностите си за анализ (BigQuery), така че някои организации я използват изключително като езеро за данни с разширен анализ.
За да защитят ефективно всяка среда в облака, екипите по киберсигурност трябва да бъдат експерти по сигурността за всяка от тях. Съществува обаче разминаване между това колко допълнителна работа трябва да се свърши за два или три облака и каква е тя в действителност, тъй като повърхността на атака на всеки облак е различна. Така че разделянето на работните натоварвания в два облака почти удвоява необходимите знания и работа в сравнение с работата с всички работни натоварвания в един облак.
Друга разлика е, че локалният център за данни има добре дефинирана демилитаризирана зона (DMZ) за защита на услугите, насочени към външни потребители, докато облачните среди в повечето случаи нямат такава.
Физическият център за данни има ясна (често физическа) DMZ, в която са въведени множество контроли за сигурност и мониторинг. Има ясни пътища към и от центъра за данни, които каналът за командване и контрол и трафикът за ексфилтрация на противника би трябвало да преминат.
В облака DMZ е по-скоро логическа конструкция и често реалността на DMZ не съответства на менталния модел на организацията. Не е необичайно сканирането да открие неочаквани дупки, излагащи организационните данни извън средата. Преследването и управлението на вашата DMZ изисква специализиран опит, който архитектите по сигурността, фокусирани върху локалните мрежи, може да не притежават.
Атакуващите могат да използват много многофункционални облачни услуги, за да комуникират във и извън облачната среда по начин, който заобикаля мрежата на наемателя. Класически пример е, когато нападател проникне в среда на AWS и разшири достъпа (от интернет или друг наемател на AWS) до кофа в S3. Не можете да наблюдавате как атакуващият чете 10 GB съдържание от кофата S3 в мрежата на наемателя; тъй като това се случва в задната част на мрежата на доставчика на облачни услуги, то е на практика невидимо за наемателя. Ако същите 10 GB съдържание бъдат ексфилтрирани от локална мрежа, това вероятно ще бъде отбелязано и екипът по сигурността ще бъде уведомен.
Ако ставаше въпрос само за наличието на правилните контроли за услугите за съхранение в облак, това можеше да изглежда като управляем проблем. Но всяка услуга в облака има свои собствени функции и контроли, а някои от тях могат да позволят скрита външна комуникация. Вашият екип по киберсигурност трябва да може да открие всички тях (а не само тези, които възнамерявате да използвате) и да разполага с необходимите контроли и мониторинг.
Доставчиците на облачни услуги правят редовни актуализации, като например добавят нови услуги, подобряват възможностите на съществуващите или променят настройките по подразбиране на дадена услуга. Дори услугите, които не възнамерявате да използвате, могат да ви изложат на риск, тъй като атакуващите, които са проникнали във вашата среда, могат да използват пропусклива услуга, за да установят външни комуникации. Или доставчикът може да промени конфигурацията по подразбиране на услугата от рестриктивни към разрешаващи политики, като по този начин сляпо ви изложи на риск. Това не са само теоретични сценарии – нападателите вече използват тези възможности.
Сравнете това с локален център за данни, където вие контролирате софтуерните актуализации. Не бихте инсталирали софтуер, който не възнамерявате да използвате, тъй като това би ви изложило на по-голям риск и повече работа. В локалните центрове за данни обикновено има обратен проблем: известните уязвимости не се поправят достатъчно бързо. Може да похарчите много време и пари, за да решите кои софтуерни кръпки са критични, така че да намалите в най-голяма степен повърхността на атака с минималния възможен брой софтуерни актуализации.
Разбирането на структурните и оперативните разлики между локалните и облачните операции е от съществено значение. Като начало, макар че може да изглежда бизнес ориентирано да се позволи на всяко бизнес звено да избере предпочитаната от него облачна платформа, всеки нов облак е свързан със значителна допълнителна работа по неговата защита.
Пренебрегването на рисковете, включително приоритетите за обучение и персонал, ще ви изложи на заплахи, когато много напреднали атакуващи се фокусират върху вашия облачен отпечатък. Днешните иновативни облачни атаки ще бъдат утрешните обикновени нарушения.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.