admin

Pilviturvallisuus on jaettu vastuu

Pilviturvallisuus on pilvipalveluntarjoajan ja asiakkaan yhteinen vastuu. Jaetun vastuun mallissa on periaatteessa kolme vastuuluokkaa: vastuut, jotka ovat aina palveluntarjoajan vastuulla, vastuut, jotka ovat aina asiakkaan vastuulla, ja vastuut, jotka vaihtelevat palvelumallin mukaan: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) tai Software as a Service (SaaS), kuten pilvisähköposti.

Turvallisuusvastuut, jotka ovat aina palveluntarjoajan vastuulla, liittyvät itse infrastruktuurin suojaamiseen sekä niiden fyysisten isäntien ja fyysisen verkon, joissa laskentainstanssit toimivat ja joissa tallennustilaa ja muita resursseja käytetään, käyttöoikeuksiin, korjauksiin ja konfigurointiin.

Käyttäjien ja heidän käyttöoikeuksiensa hallinta (identiteetin- ja käyttöoikeuksien hallinta), pilvitilien suojaaminen luvattomalta käytöltä, pilvipohjaisten tietovarantojen salaus ja suojaaminen sekä tietoturvatilanteen hallinta (vaatimustenmukaisuus) kuuluvat aina asiakkaalle kuuluviin tietoturvavastuisiin.

Seitsemän tärkeintä kehittynyttä pilvipalvelun tietoturvaan liittyvää haastetta

Koska julkisella pilvipalvelulla ei ole selkeitä raja-aitoja, se tarjoaa perustavanlaatuisesti erilaisen tietoturvatilanteen. Tämä muuttuu vielä haastavammaksi, kun otetaan käyttöön nykyaikaisia pilvilähestymistapoja, kuten automatisoidut jatkuvan integroinnin ja jatkuvan käyttöönoton (CI/CD) menetelmät, hajautetut palvelimettomat arkkitehtuurit ja efemeriset hyödykkeet, kuten Functions as a Service ja kontit.

Joitakin kehittyneitä pilvipohjaisia tietoturvahaasteita ja monikerroksisia riskejä, joita nykypäivän pilvipohjaiset organisaatiot kohtaavat, ovat muun muassa seuraavat:

  1. Lisääntynyt hyökkäyspinta

    Julkisesta pilvipalveluympäristöstä on tullut suuri ja erittäin houkutteleva hyökkäyspinta hakkereille, jotka käyttävät hyväkseen huonosti suojattuja pilvipalvelun sisääntuloväyliä päästäkseen käsiksi pilvessä oleviin työkuormituksiin ja tietoihin ja häiritä niitä. Haittaohjelmista, nollapäivistä, tilien haltuunotosta ja monista muista haitallisista uhkista on tullut jokapäiväistä todellisuutta.

  2. Näkyvyyden ja seurannan puute

    IaaS-mallissa pilvipalveluntarjoajilla on täysi määräysvalta infrastruktuurikerrokseen, eivätkä ne paljasta sitä asiakkailleen. Näkyvyyden ja valvonnan puute laajenee entisestään PaaS- ja SaaS-pilvipalvelumalleissa. Pilviasiakkaat eivät useinkaan pysty tehokkaasti tunnistamaan ja määrittämään pilvivarojaan tai visualisoimaan pilviympäristöjään.

  3. Jatkuvasti muuttuvat työmäärät

    Pilvivaroja otetaan käyttöön ja poistetaan käytöstä dynaamisesti – mittakaavassa ja nopeudella. Perinteiset tietoturvatyökalut eivät yksinkertaisesti kykene valvomaan suojauskäytäntöjä tällaisessa joustavassa ja dynaamisessa ympäristössä, jossa työkuormat muuttuvat jatkuvasti ja ovat lyhytaikaisia.

  4. DevOps, DevSecOps ja automatisointi

    Organisaatioiden, jotka ovat omaksuneet pitkälle automatisoidun DevOps-CI/CD-kulttuurin, on huolehdittava siitä, että asianmukaiset tietoturvakontrollit yksilöidään ja sulautetaan koodiin ja malleihin jo varhaisessa vaiheessa kehityssykliä. Tietoturvaan liittyvät muutokset, jotka on toteutettu sen jälkeen, kun työmäärä on otettu käyttöön tuotannossa, voivat heikentää organisaation tietoturva-asennetta sekä pidentää markkinoille tuloaikaa.

  5. Granulaaristen oikeuksien ja avainten hallinta

    Usein pilvipalvelun käyttäjäroolit on konfiguroitu hyvin löyhästi, ja ne myöntävät laajoja oikeuksia, jotka ylittävät aiotun tai vaaditun. Yksi yleinen esimerkki on tietokannan poisto- tai kirjoitusoikeuksien antaminen kouluttamattomille käyttäjille tai käyttäjille, joilla ei ole liiketoiminnallista tarvetta poistaa tai lisätä tietokantavarantoja. Sovellustasolla väärin määritetyt avaimet ja oikeudet altistavat istunnot tietoturvariskeille.

  6. Kompleksiset ympäristöt

    Turvan johdonmukainen hallinta yritysten nykyään suosimissa hybridi- ja monipilviympäristöissä edellyttää menetelmiä ja työkaluja, jotka toimivat saumattomasti julkisten pilvipalveluntarjoajien, yksityisten pilvipalveluntarjoajien ja paikan päällä olevien käyttöönottojen välillä – mukaan luettuna sivutoimipisteiden reuna-asemien suojaus maantieteellisesti hajautetuille organisaatioille.

  7. Cloud Compliance and Governance

    Kaikki johtavat pilvipalveluntarjoajat ovat liittyneet useimpiin tunnettuihin akkreditointiohjelmiin, kuten PCI 3.2, NIST 800-53, HIPAA ja GDPR. Asiakkaat ovat kuitenkin vastuussa siitä, että heidän työmääränsä ja tietoprosessinsa ovat vaatimustenmukaisia. Kun otetaan huomioon pilviympäristön heikko näkyvyys sekä dynamiikka, vaatimustenmukaisuuden tarkastusprosessista tulee lähes mahdoton tehtävä, ellei käytetä työkaluja, joiden avulla voidaan tehdä jatkuvia vaatimustenmukaisuuden tarkastuksia ja antaa reaaliaikaisia hälytyksiä virheellisistä konfiguraatioista.

Zero Trust and Why You Should Embrace It

Termi Zero Trust esiteltiin ensimmäisen kerran vuonna 2010, ja sen esitelmöitsi John Kindervag, joka oli tuohon aikaan vanhempi Forresterin tutkimusyhtiön (Forrester Research) analyytikko. Zero Trustin perusperiaate pilvipalvelun tietoturvassa on, ettei luota automaattisesti kehenkään tai mihinkään verkon sisällä tai sen ulkopuolella – ja tarkistaa (eli valtuuttaa, tarkastaa ja suojata) kaikki.

Zero Trust edistää esimerkiksi vähiten etuoikeuksia sisältävää hallintastrategiaa, jossa käyttäjille annetaan pääsy vain niihin resursseihin, joita he tarvitsevat tehtäviensä suorittamiseen. Vastaavasti se kehottaa kehittäjiä varmistamaan, että web-sovellukset on suojattu asianmukaisesti. Jos kehittäjä ei esimerkiksi ole estänyt portteja johdonmukaisesti tai toteuttanut käyttöoikeuksia ”tarpeen mukaan”, sovelluksen haltuunsa ottavalla hakkerilla on oikeudet hakea ja muokata tietoja tietokannasta.

Zero-luottamusverkoissa hyödynnetään lisäksi mikrosegmentointia, jonka avulla pilviverkon tietoturvasta tehdään paljon rakeisempaa. Mikrosegmentointi luo turvallisia vyöhykkeitä datakeskuksiin ja pilvipalveluihin, jolloin työmäärät segmentoidaan toisistaan, kaikki vyöhykkeen sisällä oleva suojataan ja vyöhykkeiden välisen liikenteen turvaamiseksi sovelletaan käytäntöjä.

Vankan pilviturvallisuuden 6 pilaria

Kaikkakin pilvipalveluntarjoajat, kuten Amazon Web Services (AWS), Microsoft Azure (Azure) ja Google Cloud Platform (GCP), tarjoavat monia pilvipalvelun natiiveja tietoturvaominaisuuksia ja -palveluita, täydentävät kolmannen osapuolen ratkaisut ovat välttämättömiä, jos halutaan saavuttaa yritystason pilvipalvelun työtehtävien suojaus tietoturvaloukkauksilta, tietovuodoilta ja kohdennetuilta hyökkäyksiltä pilvipalvelinympäristössä. Vain integroitu pilvinatiivinen/kolmannen osapuolen tietoturvapino tarjoaa keskitetyn näkyvyyden ja käytäntöihin perustuvan rakeisen hallinnan, jota tarvitaan seuraavien alan parhaiden käytäntöjen toteuttamiseen:

  1. Granulaarinen, käytäntöihin perustuva IAM- ja todennusvalvonta monimutkaisissa infrastruktuureissa

    Työskentele mieluummin ryhmien ja roolien kuin yksittäisen yksilön IAM-tason kanssa, jotta IAM-määrittelyjen päivittäminen on helpompaa liiketoimintatarpeiden muuttuessa. Myönnä vain minimaaliset käyttöoikeudet resursseihin ja sovellusrajapintoihin, jotka ovat välttämättömiä, jotta ryhmä tai rooli voi suorittaa tehtävänsä. Mitä laajemmat oikeudet, sitä korkeammat todennustasot. Äläkä laiminlyö hyvää IAM-hygieniaa, vahvojen salasanakäytäntöjen noudattamista, käyttöoikeuksien aikakatkaisuja ja niin edelleen.

  2. Nollaluottamus pilviverkon tietoturvakontrollit loogisesti eristetyissä verkoissa ja mikrosegmenteissä

    Käyttäkää liiketoimintakriittisiä resursseja ja sovelluksia palveluntarjoajan pilviverkon loogisesti eristetyissä osioissa, kuten virtuaalisissa yksityisissä pilvipalvelimissa (AWS:ssä ja Googlen palvelimissa) tai virtuaalisissa pilviverkkoissa (vNET:ssä) (Azure). Käytä aliverkkoja työkuormien mikrosegmentointiin toisistaan, ja aliverkkojen yhdyskäytävillä on rakeiset tietoturvakäytännöt. Käytä dedikoituja WAN-linkkejä hybridiarkkitehtuureissa ja käytä staattisia käyttäjän määrittelemiä reititysmäärityksiä, joilla voidaan mukauttaa pääsyä virtuaalilaitteisiin, virtuaaliverkkoihin ja niiden yhdyskäytäviin sekä julkisiin IP-osoitteisiin.

  3. Virtuaalipalvelinten suojauskäytäntöjen ja -prosessien, kuten muutosten hallinnan ja ohjelmistopäivitysten, toimeenpano:

    Pilviturvatoimittajat tarjoavat vankan Cloud Security Posture Management -toiminnon, joka soveltaa johdonmukaisesti hallinto- ja vaatimustenmukaisuussääntöjä ja -malleja virtuaalipalvelimia käyttöönotettaessa, auditoi konfiguraatiopoikkeamat ja korjaa korjaukset automaattisesti mahdollisuuksien mukaan.

  4. Kaikkien sovellusten (ja erityisesti pilvipohjaisten hajautettujen sovellusten) suojaaminen seuraavan sukupolven web-sovelluspalomuurilla

    Tämä tarkastaa ja valvoo verkkosovelluspalvelimille ja -palvelimilta tulevaa ja sieltä lähtevää liikennettä hienojakoisesti, päivittää WAF-sääntöjä automaattisesti vastauksena liikennekäyttäytymisen muutoksiin, ja se otetaan käyttöön lähemmäs mikropalveluja, jotka suorittavat työtehtäviä.

  5. Vahvistettu tietosuoja

    Vahvistettu tietosuoja salauksella kaikilla siirtokerroksilla, suojatuilla tiedostojen jakamisilla ja tietoliikenteellä, jatkuvalla vaatimustenmukaisuusriskien hallinnalla ja hyvän tietovarastoresurssihygienian ylläpitämisellä, kuten väärin konfiguroitujen ämpäreiden havaitsemisella ja orpojen resurssien lopettamisella.

  6. Uhkatiedustelu, joka havaitsee ja korjaa tunnetut ja tuntemattomat uhat reaaliajassa

    Kolmannen osapuolen pilviturvatoimittajat lisäävät kontekstia pilvipohjaisten lokien suuriin ja moninaisiin virtoihin vertaamalla älykkäästi aggregoituja lokitietoja sisäisiin tietoihin, kuten resurssien- ja konfiguraatioidenhallintajärjestelmiin, haavoittuvuusskannereihin jne. ja ulkoisiin tietoihin, kuten julkisiin uhkakuvaustietoisiin tietoihin, maantieteellisiin tietokantoihin jne. Ne tarjoavat myös työkaluja, jotka auttavat uhkakuvien visualisoinnissa ja kyselyissä ja nopeuttavat tapahtumiin reagointiaikoja. Tekoälyyn perustuvia poikkeamien havaitsemisalgoritmeja sovelletaan tuntemattomien uhkien havaitsemiseen, minkä jälkeen niille tehdään rikostekninen analyysi niiden riskiprofiilin määrittämiseksi. Reaaliaikaiset hälytykset tunkeutumisista ja käytäntöjen rikkomuksista lyhentävät korjaamiseen kuluvaa aikaa, ja joskus ne jopa käynnistävät automaattisen korjaustyönkulun.

Learn More About Check Point CloudGuard Solutions

Check Pointin yhtenäinen CloudGuard-pilvitietoturva-alusta integroituu saumattomasti palveluntarjoajien pilvipohjaisiin tietoturvapalveluihin varmistaakseen, että pilvipalvelunkäyttäjät ylläpitävät omaa osuuttaan jaetun vastuun mallista ja ylläpitävät nollaluottamusperiaatteita pilviturvallisuuden kaikissa pilvipilareissa: pääsynvalvonnassa, verkon tietoturvassa, virtuaalisten palvelinten vaatimustenmukaisuudessa, työkuormitusten- ja tietosuojassa sekä uhkakuvauksen tiedustelemisessa.

Check Point Unified Cloud Security Solutions

  • Cloud Native Cloud Security Solutions
  • Cloud Security Posture Management
  • Cloud Workload Protection
  • Cloud Intelligence and Threat Hunting
  • Cloud Network Security
  • Serverless Security
  • Container Security
  • AWS Security
  • Azure Security
  • GCP Security
  • Branch Cloud Security

admin

Vastaa

Sähköpostiosoitettasi ei julkaista.

lg