۹ سوالی که باید در مورد امنیت ابری خود بپرسید

کسب و کارها اغلب بینش مهمی در مورد امنیت محیط ابری خود ندارند. در اینجا ۹ سؤالی وجود دارد که رهبران مشاغل باید بپرسند – و تیم های امنیت ابری باید به آنها پاسخ دهند.

برای اینکه متخصصان امنیت سایبری دانش مورد نیاز خود را برای خنثی کردن هکرهایی که دائماً زیرساخت‌ها و برنامه‌های ابری آن‌ها را هدف قرار می‌دهند به دست آورند، باید مانند ژنرال جورج پاتون (یا بهتر است بگوییم جورج سی اسکات، بازیگری که برنده جایزه شد) فکر کنند. اسکار بهترین بازیگر مرد برای ایفای نقش ژنرال در فیلم ۱۹۷۰ پاتون).

در یک صحنه اولیه، دوربین بر کتابی که پاتون در حال خواندن توسط ژنرال آلمانی اروین رومل است تمرکز می کند. نکته این است که نشان دهیم چگونه پاتون برای برنامه ریزی نبرد بعدی تنها به اطلاعات نظامی متکی نیست. او در یادگیری تا آنجا که می تواند در مورد نحوه تفکر و عملکرد دشمن خود فعال است. صحنه بعدی سربازان پاتون را در حال انجام یک حمله ویرانگر به تانک ها و پیاده نظام آلمانی نشان می دهد. پاتون با نگاه کردن به دوربین دوچشمی‌اش، لبخند می‌زند و فریاد می‌زند: «رومل، ای باشکوه (بی‌نقص)، من کتابت را خواندم!»

بنابراین رهبران تجاری و امنیتی نیز باید در به دست آوردن دانش هر چه بیشتر در مورد انگیزه ها و تاکتیک های هکرها فعال باشند. فقط به آنچه راه حل های امنیتی به شما می گویند تکیه نکنید زیرا این فقط احساس امنیت کاذب را به شما می دهد. هر روز، هکرها از محیط‌های امنیتی عبور می‌کنند، از مرزهای دلخواه عبور می‌کنند و از راه‌حل‌های امنیتی طفره می‌روند تا در نهایت به داده‌هایی که می‌خواهند بدون شناسایی دست یابند.

در این ویدیو، جاش استلا، معمار ارشد در Snyk< /a> و مدیر عامل موسس Fugue، یک شرکت توسعه دهنده امنیت ابری SaaS، توضیح می دهد که چرا مدیران باید از آنها بپرسند. تیم های امنیتی برای ارائه دانش در مورد محیط کار ابری و انتقال موثر آن به سایر مدیران برای توجیه سرمایه گذاری امنیتی در بین همه تیم ها.

دشمنان شما احتمالاً قصد ندارند درباره روش‌های خود کتاب بنویسند تا شما مطالعه کنید. بنابراین، در اینجا ۹ سوال وجود دارد که همه مدیران ارشد (CISOs، CIOs، CEOs) باید در مورد امنیت ابری خود بپرسند و تیم‌های امنیت ابری آنها باید همیشه پاسخ آنها را بدانند.

محیط ابری ما چقدر خارج از انطباق است؟

هیچ سازمان سازمانی که در فضای ابری فعالیت می‌کند محیطی ندارد که ۱۰۰% با سیاست‌های نظارتی و امنیتی مطابقت داشته باشد. اما کسانی که امنیت ابری را به درستی انجام می دهند دقیقاً می دانند که محیط آنها کجاست و با آن مطابقت ندارد. آنها اطمینان می‌دهند که استثناها دقیقاً همین هستند – استثناهایی از قانون – و یک برنامه اولویت‌بندی شده برای مطابقت دادن همه چیز دارند.

شما باید همیشه بدانید که در مورد امنیت و انطباق با محیط ابری خود کجا ایستاده اید. تیم امنیتی شما باید به طور منظم سیاست‌های امنیتی سازمانی داخلی را بررسی کند تا مطمئن شود که به‌اندازه کافی موارد استفاده شما و بردارهای حمله در حال ظهور را بررسی می‌کنند. فرآیندی را که تیم شما برای کشف زیرساخت‌های ابری خارج از انطباق استفاده می‌کند، فرآیند اصلاحی که در حال اجرا هستند و زمان لازم برای سازگار کردن یک محیط با آن را درک کنید.

چند آسیب پذیری را شناسایی و حذف کردیم؟

وضعیت امنیتی ابری شما ثابت نیست، و باید با گذشت زمان بهبود یابد زیرا تیم شما در شناسایی و رفع مشکلات بهتر می شود. شما باید اطلاعاتی در مورد تعداد آسیب‌پذیری‌های پیکربندی نادرست در محیط خود داشته باشید و روزانه چند آسیب‌پذیری اصلاح می‌شوند.

از آنجایی که این تلاش معمولاً شامل کارهای دستی زیادی شامل ابزارهای نظارت و سیستم‌های فروش بلیط است، می‌خواهید از اتوماسیون برای کمک به تیم خود برای رسیدگی به مقیاس پیچیدگی موجود در محیط‌های ابری مدرن سازمانی استفاده کنید. با متخصصان امنیت ابری با تخصص دامنه کار کنید تا بفهمید چگونه نقض‌های بزرگ ابری مدرن رخ می‌دهند و از این دانش برای ایجاد خط‌مشی به‌عنوان کد استفاده کنید. که می تواند به طور خودکار بررسی شود که آیا همان شرایط در زیرساخت ابری سازمان وجود دارد یا خیر. خط مشی به عنوان کد برای بررسی سایر کدها و محیط های در حال اجرا برای شرایط ناخواسته طراحی شده است. این به همه سهامداران ابری اجازه می دهد تا به طور ایمن بدون ابهام یا اختلاف نظر در قوانین و نحوه اعمال آنها در هر دو انتهای چرخه عمر توسعه نرم افزار عمل کنند.

از استقرار چند آسیب پذیری جلوگیری کردیم؟

دانستن اینکه تیم امنیتی شما کدام آسیب‌پذیری‌ها را در محیط ابری شما کشف و اصلاح می‌کند، تنها بخشی از پازل امنیتی کل‌نگر است. همچنین می‌خواهید بدانید که تیم امنیتی چه اقدامات پیشگیرانه‌ای را برای کاهش فراوانی پیکربندی‌های نادرست از استقرار انجام می‌دهد. عدم تغییر سمت چپ در امنیت ابر تضمین می‌کند که یک جریان بی‌وقفه آسیب‌پذیری‌های ابری به محیط شما وجود خواهد داشت – و یک تیم امنیتی یک بازی بی‌پایان whack-a-mole را انجام می‌دهد.

آیا تیم شما در خطوط لوله ادغام مستمر و تحویل مستمر (CI/CD) امنیت داخلی دارد؟ آیا تیم شما زیرساخت را به‌عنوان کد (وسیله‌ای برای ایجاد و استقرار زیرساخت‌های ابری به صورت برنامه‌ریزی شده) بررسی می‌کند تا پیکربندی‌های نادرست پیش از استقرار را پیدا کرده و رفع کند، در حالی که انجام این کار سریع‌تر، آسان‌تر و ایمن‌تر است؟ اگر پاسخ‌ها در اینجا «نه» است، ممکن است زیرساخت‌هایی به‌عنوان خطوط لوله کد و CI/CD اتخاذ نشده باشند. اما اگر آنها در حال استفاده هستند، حداقل باید برنامه ای برای ایجاد امنیت در این فرآیندها وجود داشته باشد.

آیا صفحه کنترل API ابری را ایمن می کنیم؟

همه رخنه‌های ابری از یک الگو پیروی می‌کنند: به خطر افتادن صفحه کنترل. رابط های برنامه نویسی کاربردی (API) محرک اصلی محاسبات ابری هستند. آنها را به عنوان «واسطه‌های نرم‌افزاری» در نظر بگیرید که به برنامه‌های مختلف اجازه تعامل با یکدیگر را می‌دهند. صفحه کنترل API مجموعه ای از APIهایی است که برای پیکربندی و عملکرد ابر استفاده می شود.

هکرها به دنبال تنظیمات نادرست هستند. متأسفانه، صنعت امنیت یک گام از هکرها عقب مانده است زیرا بسیاری از راه حل های فروشنده از مشتریان خود در برابر حملاتی که هواپیمای کنترل ابری را هدف قرار می دهند محافظت نمی کنند. صادقانه بگویم، بیشتر آنها روی چک باکس هایی تمرکز می کنند که باعث می شود مدیران ارشد و تیم های امنیتی احساس بهتری داشته باشند – تا زمانی که هک شوند. این یک صحنه امنیتی است که در تجارت ما بسیار رایج است.

ارزیابی خطر شعاع انفجار هر رویداد نفوذ احتمالی به دلیل پیکربندی نادرست، آسیب‌پذیری‌های برنامه، کلیدهای API در کد منبع و غیره، نیازمند تخصص در معماری امنیت ابری برای شناسایی و جلوگیری از نقص‌های طراحی است. مهاجمان هر روز سوء استفاده می کنند. امنیت ابری مربوط به دانش است و هنگامی که مدافعان اطلاعات کاملی از محیط خود نداشته باشند و نتوانند مهاجمان را از کشف آن دانش محروم کنند، رخنه‌ها رخ می‌دهد.

چقدر بر بهره وری امنیت ایجاد می کند؟

کلاد در مورد سرعت نوآوری است و امنیت عامل شماره یک محدود کننده نرخ برای سرعت تیم ها و موفقیت موفقیت آمیز تحول دیجیتال است. آیا توسعه دهندگان اپلیکیشن منتظر زیرساختی هستند که باید آن را مستقر کنند؟ آیا تیم‌های DevOps منتظر امنیت برای بررسی و تأیید زیرساخت‌های خود هستند؟ آیا مهندسان ابری شما ساعت‌های زیادی را روی کارهای وقت‌گیر امنیت و انطباق دستی سرمایه‌گذاری می‌کنند در حالی که می‌توانند ارزش بیشتری برای شرکت و مشتریان شما ایجاد کنند؟

اندازه‌گیری منظم توان عملیاتی توسعه‌دهنده و DevOps به شناسایی تاخیرهای ناشی از فرآیندهای امنیتی ناکافی که باعث کاهش بهره‌وری و روحیه می‌شود، کمک می‌کند.

ما چگونه سیاست های امنیتی را بیان می کنیم؟

دو پاسخ برای این سوال وجود دارد: خط‌مشی‌های امنیتی شما به زبان انسانی نوشته شده و توسط انسان بررسی می‌شود، یا اینکه از خط‌مشی به‌عنوان کد استفاده می‌کنید. اگر پاسخ اولی است، محیط های ابری شما نمی توانند به اندازه کافی ایمن باشند. بررسی دستی خط‌مشی‌ها و اجرای آن‌ها در محیط شما زمان می‌برد، در زمانی که اجرای رخنه‌های ابری چند دقیقه طول می‌کشد. و خطرات خطای انسانی و تفاوت در تفسیر همیشه وجود دارد.

با خط‌مشی به‌عنوان کد، ماشین‌ها هر بار در زمان واقعی، یک خط‌مشی را به‌طور یکسان تفسیر می‌کنند، به این معنی که می‌توانید به‌طور پیوسته زیرساخت‌های ابری بسیار بیشتری از آنچه که هر ارتشی از انسان‌ها می‌توانستند انجام دهند، ارزیابی کنند. اگر کاربرد سیاست امنیتی نیاز به تغییر از یک استقرار به دیگری است، می توانید این استثناها را به صورت کد بیان کنید تا همه چیز به خوبی مستند شود. وقتی اتوماسیون امنیتی را با استفاده از خط‌مشی به‌عنوان کد پیاده‌سازی می‌کنید، می‌توان مشکلات را در توسعه یا استقرار قبل از رسیدن به تولید پیدا کرد و برطرف کرد.

چقدر می توانیم به رویدادهای روز صفر پاسخ دهیم؟

 نقص Log4j در اوایل سال جاری، تیم‌های امنیتی را به همه جا فرستاد که در تلاش برای پاسخگویی باشند. این نوع رویدادهای «روز صفر» به تیم‌ها نیاز دارد که به سرعت و با دقت مکان‌های آسیب‌پذیری و شدت آن‌ها را ارزیابی کنند تا پاسخ و تلاش‌های اصلاحی شما را در اولویت قرار دهند. واکنش به چنین اکسپلویت‌های روز صفر برنامه مستلزم آن است که تیم‌ها عمیق‌تر از آنچه معمولاً انجام می‌دهند پیشروی کنند، زیرا آسیب‌پذیری‌های برنامه اغلب برای نفوذ به محیط زیرساخت ابری استفاده می‌شوند—و در نهایت سطح کنترل ابر را به خطر می‌اندازند.

تیم‌ها نه تنها باید بتوانند آسیب‌پذیری‌های برنامه را به سرعت شناسایی کنند، بلکه باید شعاع انفجار بالقوه‌ای را که هر نمونه از آسیب‌پذیری ارائه می‌دهد، ارزیابی کنند تا شدت آن را تعیین کرده و اصلاح را بر این اساس اولویت بندی کنند.

آیا همه تیم ها آنچه را که برای موفقیت نیاز دارند دارند؟

در امنیت سازمانی مدرن هیچ سیلو وجود ندارد. امنیت به یک رویکرد یکپارچه نیاز دارد که تیم ها و مراکز هزینه را کاهش می دهد، که برای درست کردن نیاز به رهبری اجرایی و حمایت مالی دارد. به عنوان مثال، تغییر رویکرد به سمت چپ برای امنیت، به توسعه‌دهندگان و DevOps نیاز دارد که مسئولیت پیدا کردن و رفع مشکلات را در اوایل چرخه عمر توسعه نرم‌افزار بر عهده بگیرند. اما اگر سرمایه گذاری امنیتی منعکس کننده این اولویت های جدید نباشد، اصطکاک وجود خواهد داشت که تلاش را به خطر می اندازد.

موفقیت امنیت در گرو حمایت مالی اجرایی با سرمایه گذاری کافی از لحاظ بودجه و زمان است.

شکست چگونه خواهد بود؟

فراتر از CISOها، من می بینم که تعداد کمی از مدیران این سوال را از خود می پرسند. تصورش سخت نیست—نفوذ ابری را در نظر بگیرید که به Imperva، یک شرکت بزرگ محصولات امنیتی، ضربه زد که در نهایت منجر به کناره گیری مدیرعامل شد. سپس نقض Capital One وجود دارد، که هنوز هم یکی از بزرگترین مواردی است که تا به حال به یک موسسه مالی بزرگ ضربه زده است. و نقض توییچ در اوایل سال جاری، که نه تنها توییچ بلکه آمازون والدین را تحت تاثیر قرار داد. برخلاف شکست ژنرال پاتون از ژنرال رومل، هیچ پیروزی برای رهبران کسب و کار وجود نخواهد داشت، فقط تلاش دائمی برای جلوگیری از شکست.

امنیت ابری یک تعهد ابدی است، مانند پیوستن به یک باشگاه ورزشی و سخت گیری در مورد استفاده مداوم از آن عضویت برای به دست آوردن و حفظ تناسب اندام. شما باید سیاستی را اجرا کنید که مستلزم گزارش دهی مداوم در مورد وضعیت امنیت ابری سازمان شما باشد. شما نمی‌خواهید با سؤالاتی در مورد اینکه برای شناسایی و اصلاح آسیب‌پذیری‌ها انجام می‌شود دست و پنجه نرم کنید، تعداد آسیب‌پذیری‌ها در هفته گذشته یا ماه گذشته حذف شده‌اند، و کجا ممکن است در معرض آسیب‌پذیری جدیدی قرار بگیرید که تیتر خبرها می‌شود—شما پاسخ می‌خواهید. p>

جاش استلا معمار ارشد در Snyk و یک مرجع فنی در مورد امنیت ابر. جاش ۲۵ سال تخصص در فناوری اطلاعات و امنیت را به عنوان مدیرعامل موسس در Fugue، معمار اصلی راه حل ها در خدمات وب آمازون، و مشاور جامعه اطلاعاتی ایالات متحده. ماموریت شخصی جاش این است که به سازمان‌ها کمک کند تا بفهمند که چگونه پیکربندی ابری سطح حمله جدید است و چگونه شرکت‌ها برای ایمن کردن زیرساخت ابری خود باید از حالت دفاعی به حالت پیشگیرانه حرکت کنند. او اولین کتاب را در مورد «زیرساخت تغییرناپذیر» نوشت (منتشر شده توسط O’Reilly)، دارای پتنت‌های متعدد فناوری امنیت ابری و میزبان یک سری کلاس آموزشی Cloud Security Masterclass است. با جاش در LinkedIn ارتباط برقرار کنید ، و برای اطلاعات بیشتر در مورد Fugue، اولین شرکت توسعه دهنده امنیت ابری SaaS، از دیدن کنید. www.fugue.co، GitHub، LinkedIn< /a>، و توئیتر.< /em>