بسیاری از ما تهدیدات امنیتی ابری را بازیگرانی بد در برخی از کشورهای متخاصم تصور می کنیم. بیشتر اوقات، این شما و همکارانتان هستید.
در مورد امنیت ابری صحبت کنید و احتمالاً در مورد مسائل متمرکز بر ارائهدهنده بحث خواهید کرد: امنیت کافی، حسابرسی کافی، برنامهریزی کافی. با این حال، بزرگترین خطرات امنیتی ابر همچنان افرادی هستند که در راهروها در کنار شما راه می روند. بر اساس آخرین گزارش “Top Threats برای Cloud Computing” توسط اتحاد امنیت ابری در مورد HealthITSecurity، تماس های ترسناک از داخل خانه می آیند.
بر اساس نظرسنجی از بیش از ۷۰۰ متخصص امنیت سایبری، این گزارش نشان داد که ۱۱ تهدید اصلی برای امنیت ابری شامل رابطها و APIهای ناامن، پیکربندیهای نادرست، فقدان معماری و استراتژی امنیت ابر و همچنین افشای تصادفی ابر است. تهدیدهای واقعی بازیگران بدی نیستند که در یک انبار متروکه نشسته اند. این مری در حسابداری، رابرت در IT موجودی، حتی سوزان در امنیت فناوری اطلاعات است.
محققان خاطرنشان کردند که دیدگاه فعلی در مورد امنیت ابری مسئولیت را از ارائه دهندگان به پذیرندگان منتقل کرده است. اگر از ارائه دهندگانی بپرسید که همیشه یک مدل “مسئولیت مشترک” را ترویج می کنند، آنها همیشه از پذیرندگان خواسته اند که مسئولیت امنیت را در سمت معادله خود بر عهده بگیرند. با این حال، اگر کارمندان فناوری اطلاعات و کاربران رتبهبندی شده را بررسی کنید، مطمئن هستم که آنها به ارائهدهندگان ابری بهعنوان پایههای اصلی امنیت ابری خوب اشاره میکنند.
همچنین جالب است که ببینید آسیبپذیریهای فناوری مشترک، مانند انکار سرویس، از دست دادن دادههای ارائهدهندگان خدمات ارتباطی، و سایر مسائل امنیتی سنتی ابری نسبت به مطالعات قبلی در رتبههای پایینتری قرار دارند. بله، آنها همچنان یک تهدید هستند، اما پس از مرگ نقضها نشان میدهد که آسیبپذیریهای فناوری مشترک در فهرست نگرانیهای ما بسیار پایینتر هستند.
پیام اصلی این است که آسیبپذیریهای واقعی آنقدر که فکر میکردیم هیجانانگیز نیستند. در عوض، فقدان استراتژی امنیتی و معماری امنیتی اکنون در صدر فهرست امنیت ابری “نه-نه” قرار دارد. در رتبه دوم، فقدان آموزش، فرآیندها و بررسیها برای جلوگیری از پیکربندی نادرست بود، که من اغلب آن را علت اصلی بیشتر نقضهای امنیتی میدانم. البته این مشکلات ارتباط مستقیم دارند. فقدان برنامه ریزی امنیتی و معماری امنیتی بخشی از دلایلی است که در وهله اول تنظیمات نادرست رخ می دهد.
در قلب موضوع کمبود منابع است. مسائل امنیتی ابر زمانی به وجود می آیند که شرکت ها مایل یا قادر به خرج کردن پول مورد نیاز برای یک طرح امنیتی مناسب نباشند. همچنین، به همان اندازه مهم، سازمانها باید به طور مداوم افراد را در مورد رویههای امنیتی مناسب راهنمایی کنند تا زمانی که ماهیت دوم باشد. این باید ادامه داشته باشد و با تغییر فرهنگ از یک ذهنیت امنیتی “بیشتر اعتماد” به “اعتماد صفر” همراه شود.
کارکنان فناوری اطلاعات همچنان یادداشتهای چسبناک با شناسههای کاربری و گذرواژهها را در سراسر سازمان پیدا میکنند و اغلب متوجه میشوند که منابع ابری به روشهای غیرمجاز مورد استفاده قرار میگیرند. بیهوده به نظر می رسد، اما من مواردی را می شناسم که ذخیره سازی ابری عمومی و سیستم های محاسباتی توسط فرزندان رهبران فناوری اطلاعات برای تکمیل تکالیف خانه مورد استفاده قرار می گرفتند – من این اتفاق را بیش از یک بار در بیش از چند شرکت مشاهده کردم. کاش شوخی میکردم
خوشبختانه، تعریف راهحلهای مشکلات امنیتی سیستم آسان است: منابع بیشتر و تمرکز بیشتر بر امنیت ابر. با این اوصاف، شما نمیتوانید فقط فناوری را روی مشکل بیاندازید. رفع نیاز به یک برنامه امنیتی مناسب دارد که مشخص می کند در طول حداقل پنج سال آینده چه کاری باید انجام شود تا سیستم شما ایمن شود.
تعریف چگونگی تغییر فرهنگ و سپس اجرای تغییرات اغلب دشوارتر است. اگر با فرهنگ بیعلاقگی سر و کار داشته باشید، تمام آموزشهای دنیا فایده چندانی نخواهد داشت.
همیشه خوب است که دیگران را به خاطر نقص سیستم سرزنش کنیم. این بار امکان پذیر نیست و در آینده نیز چنین نخواهد بود. وقت آن رسیده است که با نگاه کردن به آینه، مشکلات امنیتی خود را حل کنید.
پست های مرتبط
خطرات امنیت ابری همچنان بسیار انسانی است
خطرات امنیت ابری همچنان بسیار انسانی است
خطرات امنیت ابری همچنان بسیار انسانی است