Hvad er cloud-sikkerhed?

Cloud-sikkerhed er et fælles ansvar

Cloud-sikkerhed er et ansvar, der deles mellem cloud-udbyderen og kunden. Der er grundlæggende tre kategorier af ansvar i modellen med delt ansvar: ansvar, der altid er udbyderens, ansvar, der altid er kundens, og ansvar, der varierer afhængigt af servicemodellen: Infrastruktur som en tjeneste (IaaS), Platform som en tjeneste (PaaS) eller Software som en tjeneste (SaaS), f.eks. cloud e-mail.

Sikkerhedsansvaret, som altid er leverandørens, vedrører beskyttelsen af selve infrastrukturen samt adgang til, patching og konfiguration af de fysiske værter og det fysiske netværk, som computerinstanserne kører på, og hvor storage og andre ressourcer befinder sig.

Det sikkerhedsansvar, der altid er kundens, omfatter forvaltning af brugere og deres adgangsprivilegier (identitets- og adgangsstyring), sikring af cloud-konti mod uautoriseret adgang, kryptering og beskyttelse af cloud-baserede dataaktiver og forvaltning af dens sikkerhedstilstand (overholdelse).

De 7 største avancerede cloud-sikkerhedsudfordringer

Da den offentlige cloud ikke har klare perimeter, udgør den en fundamentalt anderledes sikkerhedsrealitet. Dette bliver endnu mere udfordrende, når man anvender moderne cloud-tilgange som automatiserede CI/CD-metoder (Continuous Integration and Continuous Deployment), distribuerede serverløse arkitekturer og flygtige aktiver som f.eks. funktioner som en tjeneste og containere.

Nogle af de avancerede cloud-native sikkerhedsudfordringer og de mange lag af risici, som nutidens cloud-orienterede organisationer står over for, omfatter:

1. Øget angrebsflade

   Det offentlige cloud-miljø er blevet en stor og meget attraktiv angrebsflade for hackere, der udnytter dårligt sikrede cloud-indgangsporte for at få adgang til og forstyrre arbejdsbyrder og data i skyen. Malware, Zero-Day, Account Takeover og mange andre ondsindede trusler er blevet en daglig realitet.

2. Mangel på synlighed og sporing

   I I IaaS-modellen har cloud-udbyderne fuld kontrol over infrastrukturlaget og eksponerer det ikke over for deres kunder. Manglen på synlighed og kontrol udvides yderligere i PaaS og SaaS cloud-modellerne. Cloud-kunder kan ofte ikke effektivt identificere og kvantificere deres cloud-aktiver eller visualisere deres cloud-miljøer.

3. Ever-Changing Workloads

   Cloud-aktiver tilvejebringes og afvikles dynamisk – i stor skala og med høj hastighed. Traditionelle sikkerhedsværktøjer er ganske enkelt ikke i stand til at håndhæve beskyttelsespolitikker i et så fleksibelt og dynamisk miljø med konstant skiftende og flygtige arbejdsbelastninger.

4. DevOps, DevSecOps og automatisering

   Organisationer, der har taget den stærkt automatiserede DevOps CI/CD-kultur til sig, skal sikre, at passende sikkerhedskontroller identificeres og indlejres i kode og skabeloner tidligt i udviklingscyklussen. Sikkerhedsrelaterede ændringer, der implementeres, efter at en arbejdsbyrde er blevet implementeret i produktionen, kan underminere organisationens sikkerhedsposition samt forlænge tiden til markedet.

5. Granulær privilegie- og nøglehåndtering

   Ofte er cloud-brugerroller konfigureret meget løst og giver omfattende privilegier ud over det, der er tilsigtet eller påkrævet. Et almindeligt eksempel er at give slette- eller skrivetilladelser til databaser til uuddannede brugere eller brugere, som ikke har noget forretningsmæssigt behov for at slette eller tilføje databaseaktiver. På applikationsniveau udsætter ukorrekt konfigurerede nøgler og privilegier sessioner for sikkerhedsrisici.

6. Komplekse miljøer

   Håndtering af sikkerhed på en ensartet måde i de hybride og multicloud-miljøer, som virksomhederne foretrækker i dag, kræver metoder og værktøjer, der fungerer problemfrit på tværs af offentlige cloud-udbydere, private cloud-udbydere og lokale implementeringer – herunder beskyttelse af filialer i geografisk spredte organisationer.

7. Cloud compliance og governance

   Alle førende cloud-udbydere har tilpasset sig de fleste af de velkendte akkrediteringsprogrammer som PCI 3.2, NIST 800-53, HIPAA og GDPR. Det er dog kunderne, der er ansvarlige for at sikre, at deres arbejdsbyrde og dataprocesser er i overensstemmelse med reglerne. I betragtning af den ringe synlighed samt dynamikken i cloud-miljøet bliver overensstemmelsesrevisionsprocessen tæt på umulig, medmindre der anvendes værktøjer til at opnå løbende overensstemmelseskontrol og udstede advarsler i realtid om fejlkonfigurationer.

Zero Trust og hvorfor du bør omfavne det

Tegningen Zero Trust blev første gang introduceret i 2010 af John Kindervag, der på det tidspunkt var seniorforsker hos Forrester Research. Det grundlæggende princip for Zero Trust i cloud-sikkerhed er ikke automatisk at stole på nogen eller noget inden for eller uden for netværket – og at verificere (dvs. autorisere, inspicere og sikre) alt.

Zero Trust fremmer f.eks. en styringsstrategi med færrest privilegier, hvor brugerne kun får adgang til de ressourcer, de har brug for til at udføre deres opgaver. På samme måde opfordres udviklerne til at sikre, at web-vendte applikationer er ordentligt sikret. Hvis udvikleren f.eks. ikke konsekvent har blokeret porte eller ikke har implementeret tilladelser “efter behov”, vil en hacker, der overtager applikationen, have rettigheder til at hente og ændre data fra databasen.

Dertil kommer, at Zero Trust-netværk anvender mikrosegmentering for at gøre sikkerheden i cloud-netværk langt mere granuleret. Mikro-segmentering skaber sikre zoner i datacentre og cloud-implementeringer og segmenterer derved arbejdsbelastninger fra hinanden, sikrer alt inden for zonen og anvender politikker til at sikre trafikken mellem zonerne.

De 6 søjler i robust cloud-sikkerhed

Selv om cloud-udbydere som Amazon Web Services (AWS), Microsoft Azure (Azure) og Google Cloud Platform (GCP) tilbyder mange cloud-native sikkerhedsfunktioner og -tjenester, er supplerende løsninger fra tredjeparter afgørende for at opnå beskyttelse af cloud-workloads i virksomhedsklasse mod brud, datalækager og målrettede angreb i cloud-miljøet. Kun en integreret cloud-nativ/tredjepartssikkerhedstack giver den centraliserede synlighed og politikbaserede granulære kontrol, der er nødvendig for at levere følgende bedste praksis i branchen:

1. Granulære, politikbaserede IAM- og godkendelseskontroller på tværs af komplekse infrastrukturer

   Arbejd med grupper og roller i stedet for på det individuelle IAM-niveau for at gøre det lettere at opdatere IAM-definitioner, efterhånden som forretningskravene ændres. Giv kun de minimale adgangsprivilegier til aktiver og API’er, som er afgørende for, at en gruppe eller rolle kan udføre sine opgaver. Jo mere omfattende privilegier, jo højere niveauer af autentificering. Og forsøm ikke god IAM-hygiejne, idet du håndhæver stærke adgangskodepolitikker, time-outs for tilladelser osv.

2. Nul-troværdige cloud-netværkssikkerhedskontroller på tværs af logisk isolerede netværk og mikrosegmenter

   Deployér forretningskritiske ressourcer og apps i logisk isolerede sektioner af udbyderens cloud-netværk, f.eks. Virtual Private Clouds (AWS og Google) eller vNET (Azure). Brug undernet til at mikro-segmentere arbejdsbelastninger fra hinanden med granulære sikkerhedspolitikker ved undernet-gateways. Brug dedikerede WAN-forbindelser i hybridarkitekturer, og brug statiske brugerdefinerede routingkonfigurationer til at tilpasse adgangen til virtuelle enheder, virtuelle netværk og deres gateways samt offentlige IP-adresser.

3. Håndhævelse af politikker og processer til beskyttelse af virtuelle servere, f.eks. ændringsstyring og softwareopdateringer:

   Cloud-sikkerhedsleverandører leverer robust Cloud Security Posture Management, der konsekvent anvender styrings- og overensstemmelsesregler og skabeloner ved tilrådighedsstillelse af virtuelle servere, reviderer for konfigurationsafvigelser og afhjælper automatisk, hvor det er muligt.

4. Sikring af alle applikationer (og især cloud-native distribuerede apps) med en næste generations webapplikationsfirewall

   Denne vil granulært inspicere og kontrollere trafik til og fra webapplikationsservere, automatisk opdatere WAF-regler som reaktion på ændringer i trafikadfærd og udrulles tættere på mikroservices, der kører arbejdsbyrder.

5. Forbedret databeskyttelse

   Forbedret databeskyttelse med kryptering på alle transportlag, sikre fildele og kommunikation, kontinuerlig risikostyring af overholdelse og opretholdelse af god hygiejne for datalagringsressourcer, f.eks. ved at opdage fejlkonfigurerede buckets og afslutte forældreløse ressourcer.

6. Trusselsinformation, der registrerer og afhjælper kendte og ukendte trusler i realtid

   Tredjepartsleverandører af cloud-sikkerhed tilføjer kontekst til de store og forskelligartede strømme af cloud-native logs ved intelligent at krydsreferere aggregerede logdata med interne data såsom asset- og konfigurationsstyringssystemer, sårbarhedsscannere osv. og eksterne data såsom offentlige trusselsinformation-feeds, geolokaliseringsdatabaser osv. De leverer også værktøjer, der hjælper med at visualisere og forespørge i trusselslandskabet og fremmer hurtigere responstider ved hændelser. AI-baserede algoritmer til detektering af anomalier anvendes til at fange ukendte trusler, som derefter underkastes en kriminalteknisk analyse for at bestemme deres risikoprofil. Advarsler i realtid om indbrud og overtrædelser af politikker forkorter tiden til afhjælpning og udløser nogle gange endda automatiske afhjælpningsworkflows.

Lær mere om Check Point CloudGuard-løsninger

Check Points forenede CloudGuard cloud-sikkerhedsplatform integreres problemfrit med udbydernes cloud-native sikkerhedstjenester for at sikre, at cloud-brugere overholder deres del af Shared Responsibility Model og opretholder Zero Trust-politikker på tværs af alle søjlerne i cloud-sikkerhed: adgangskontrol, netværkssikkerhed, overholdelse af virtuelle servere, beskyttelse af arbejdsbyrder og data samt trusselsinformation.

Check Point Unified Cloud Security Solutions

• Cloud Native Cloud Security Solutions
• Cloud Security Posture Management
• Cloud Security Posture Management
• Cloud Workload Protection
• Cloud Intelligence og trusselsjagt
• Cloud-netværkssikkerhed
• Serverløs sikkerhed
• Containersikkerhed
• AWS-sikkerhed
• Azure-sikkerhed
• GCP-sikkerhed
• Branch Cloud-sikkerhed