- A felhőbiztonság közös felelősség
- A 7 legfontosabb fejlett felhőbiztonsági kihívás
- Növekedett támadási felület
- Láthatóság és nyomon követés hiánya
- Az örökké változó munkaterhelések
- DevOps, DevSecOps és automatizálás
- Granuláris jogosultság- és kulcskezelés
- Bonyolult környezetek
- Cloud Compliance and Governance
- Zero Trust and Why You Should Embrace It
- A robusztus felhőbiztonság 6 pillére
- Granuláris, házirendalapú IAM- és hitelesítési ellenőrzések komplex infrastruktúrákban
- A logikailag elszigetelt hálózatok és mikroszegmensek felhőhálózati biztonsági ellenőrzésének zéró bizalma
- A virtuális kiszolgálók védelmére vonatkozó irányelvek és folyamatok, például a változáskezelés és a szoftverfrissítések érvényesítése:
- Minden alkalmazás (és különösen a felhő-natív elosztott alkalmazások) védelme egy következő generációs webalkalmazás-tűzfallal
- Kibővített adatvédelem
- Fenyegetési intelligencia, amely valós időben észleli és orvosolja az ismert és ismeretlen fenyegetéseket
- Tudjon meg többet a Check Point CloudGuard megoldásairól
- Check Point Unified Cloud Security Solutions
A felhőbiztonság közös felelősség
A felhőbiztonság a felhőszolgáltató és az ügyfél közös felelőssége. A megosztott felelősség modellben alapvetően három felelősségi kategória létezik: olyan felelősség, amely mindig a szolgáltatóé, olyan felelősség, amely mindig az ügyfélé, és olyan felelősség, amely a szolgáltatási modelltől függően változik: Infrastruktúra mint szolgáltatás (IaaS), platform mint szolgáltatás (PaaS) vagy szoftver mint szolgáltatás (SaaS), mint például a felhőalapú e-mail.
A mindig a szolgáltatót terhelő biztonsági felelősségek magának az infrastruktúrának a védelmével, valamint a fizikai hosztokhoz és a fizikai hálózathoz való hozzáféréssel, azok javításával és konfigurálásával kapcsolatosak, amelyeken a számítási példányok futnak, és amelyeken a tároló és egyéb erőforrások találhatók.
A mindig az ügyfelet terhelő biztonsági feladatok közé tartozik a felhasználók és hozzáférési jogosultságaik kezelése (azonosság- és hozzáférés-kezelés), a felhőfiókok védelme az illetéktelen hozzáféréstől, a felhőalapú adatvagyon titkosítása és védelme, valamint a biztonsági helyzetének kezelése (megfelelőség).
A 7 legfontosabb fejlett felhőbiztonsági kihívás
Mivel a nyilvános felhő nem rendelkezik egyértelmű határokkal, alapvetően más biztonsági valóságot jelent. Ez még nagyobb kihívást jelent, ha olyan modern felhőalapú megközelítéseket alkalmazunk, mint az automatizált folyamatos integrációs és folyamatos telepítési (CI/CD) módszerek, az elosztott szerver nélküli architektúrák és az efemer eszközök, például a Functions as a Service és a konténerek.
A fejlett felhő-natív biztonsági kihívások és a többrétegű kockázat, amellyel a mai felhő-orientált szervezetek szembesülnek, a következők:
-
Növekedett támadási felület
A nyilvános felhőkörnyezet nagy és rendkívül vonzó támadási felületté vált a hackerek számára, akik kihasználják a rosszul védett felhő-bemeneti portokat, hogy hozzáférjenek a felhőben lévő munkaterhelésekhez és adatokhoz és megzavarják azokat. A malware, a Zero-Day, a fiókátvétel és számos más rosszindulatú fenyegetés mindennapos valósággá vált.
-
Láthatóság és nyomon követés hiánya
Az IaaS-modellben a felhőszolgáltatók teljes ellenőrzést gyakorolnak az infrastrukturális réteg felett, és nem tárják azt az ügyfeleik elé. A láthatóság és az ellenőrzés hiánya tovább bővül a PaaS és SaaS felhőmodellekben. A felhő-ügyfelek gyakran nem tudják hatékonyan azonosítani és számszerűsíteni felhő-eszközeiket, illetve vizualizálni felhőkörnyezetüket.
-
Az örökké változó munkaterhelések
A felhő-eszközöket dinamikusan – méretarányosan és sebességgel – helyezik üzembe és vonják le. A hagyományos biztonsági eszközök egyszerűen képtelenek a védelmi irányelvek érvényesítésére egy ilyen rugalmas és dinamikus környezetben, a folyamatosan változó és efemer munkaterhelésekkel.
-
DevOps, DevSecOps és automatizálás
A magasan automatizált DevOps CI/CD kultúrát alkalmazó szervezeteknek biztosítaniuk kell, hogy a megfelelő biztonsági ellenőrzéseket már a fejlesztési ciklus elején azonosítják és beépítik a kódba és a sablonokba. A munkaterhelés termelésbe való bevezetése után végrehajtott, biztonsággal kapcsolatos változtatások alááshatják a szervezet biztonsági helyzetét, valamint meghosszabbíthatják a piacra jutási időt.
-
Granuláris jogosultság- és kulcskezelés
A felhő felhasználói szerepköröket gyakran nagyon lazán konfigurálják, és a tervezettnél vagy szükségesnél szélesebb körű jogosultságokat biztosítanak. Egy gyakori példa erre az adatbázis törlési vagy írási jogosultságok megadása képzetlen felhasználóknak vagy olyan felhasználóknak, akiknek nincs üzleti szükségük az adatbázis-eszközök törlésére vagy hozzáadására. Alkalmazási szinten a nem megfelelően konfigurált kulcsok és jogosultságok biztonsági kockázatoknak teszik ki a munkameneteket.
-
Bonyolult környezetek
A vállalkozások által manapság kedvelt hibrid és több felhőből álló környezetekben a biztonság egységes módon történő kezelése olyan módszereket és eszközöket igényel, amelyek zökkenőmentesen működnek a nyilvános felhőszolgáltatók, a magánfelhőszolgáltatók és a helyben telepített telepítések között – beleértve a földrajzilag elosztott szervezetek fiókirodai szélső védelmét is.
-
Cloud Compliance and Governance
A vezető felhőszolgáltatók mindegyike csatlakozott a legtöbb ismert akkreditációs programhoz, mint például a PCI 3.2, a NIST 800-53, a HIPAA és a GDPR. Azonban az ügyfelek felelősek azért, hogy munkaterhelésük és adatfolyamataik megfeleljenek a követelményeknek. Tekintettel a felhőkörnyezet gyenge átláthatóságára, valamint dinamikájára, a megfelelőségi ellenőrzési folyamat szinte lehetetlenné válik, hacsak nem használnak olyan eszközöket, amelyekkel folyamatos megfelelőségi ellenőrzéseket végeznek, és valós idejű figyelmeztetéseket adnak ki a hibás konfigurációkról.
Zero Trust and Why You Should Embrace It
A Zero Trust kifejezést először 2010-ben John Kindervag vezette be, aki akkoriban a Forrester Research vezető elemzője volt. A Zero Trust alapelve a felhőbiztonságban az, hogy ne bízzunk meg automatikusan senkiben vagy semmiben a hálózaton belül vagy kívül – és mindent ellenőrizzünk (azaz engedélyezzünk, vizsgáljunk és biztosítsunk).
A Zero Trust például a legkisebb jogosultságú irányítási stratégiát támogatja, amely szerint a felhasználók csak olyan erőforrásokhoz kapnak hozzáférést, amelyekre a feladataik ellátásához szükségük van. Hasonlóképpen felszólítja a fejlesztőket, hogy gondoskodjanak a webes alkalmazások megfelelő biztosításáról. Ha például a fejlesztő nem blokkolja következetesen a portokat, vagy nem valósítja meg a jogosultságokat “szükség szerint”, akkor egy hacker, aki átveszi az alkalmazás irányítását, jogosultsággal rendelkezik majd az adatok adatbázisból való lekérdezésére és módosítására.
A Zero Trust hálózatok emellett mikroszegmentációt használnak, hogy a felhőhálózatok biztonságát sokkal részletesebbé tegyék. A mikroszegmentálás biztonságos zónákat hoz létre az adatközpontokban és a felhő telepítésekben, ezáltal szegmentálva a munkaterheket egymástól, biztosítva mindent a zónán belül, és házirendeket alkalmazva a zónák közötti forgalom biztosítására.
A robusztus felhőbiztonság 6 pillére
Míg a felhőszolgáltatók, például az Amazon Web Services (AWS), a Microsoft Azure (Azure) és a Google Cloud Platform (GCP) számos felhőalapú natív biztonsági funkciót és szolgáltatást kínálnak, a felhőkörnyezetben a vállalati szintű felhőalapú munkaterhelés-védelem eléréséhez a jogsértések, adatszivárgások és célzott támadások ellen elengedhetetlenek a kiegészítő, harmadik féltől származó megoldások. Csak egy integrált felhő-natív/harmadik féltől származó biztonsági stack biztosítja a következő iparági legjobb gyakorlatok megvalósításához szükséges központi átláthatóságot és házirendalapú granuláris ellenőrzést:
-
Granuláris, házirendalapú IAM- és hitelesítési ellenőrzések komplex infrastruktúrákban
Egyéni IAM-szint helyett csoportokkal és szerepkörökkel dolgozik, hogy az üzleti követelmények változásával könnyebben frissíthetők legyenek az IAM-definíciók. Csak a minimális hozzáférési jogosultságokat adja meg az eszközökhöz és API-khoz, amelyek elengedhetetlenek egy csoport vagy szerepkör számára a feladatai elvégzéséhez. Minél kiterjedtebbek a jogosultságok, annál magasabb szintű hitelesítésre van szükség. És ne hanyagolja el a jó IAM-higiéniát, az erős jelszószabályzatok, a jogosultsági időkorlátok stb. érvényesítését.
-
A logikailag elszigetelt hálózatok és mikroszegmensek felhőhálózati biztonsági ellenőrzésének zéró bizalma
Az üzleti szempontból kritikus erőforrásokat és alkalmazásokat a szolgáltató felhőhálózatának logikailag elszigetelt szakaszaiban, például virtuális magánfelhőkben (AWS és Google) vagy vNET-ben (Azure) telepítse. Használjon alhálózatokat a munkaterhelések egymástól való mikroszegmentálására, az alhálózati átjáróknál granuláris biztonsági házirendekkel. Dedikált WAN-kapcsolatok használata hibrid architektúrákban, és statikus, felhasználó által meghatározott útválasztási konfigurációk használata a virtuális eszközökhöz, virtuális hálózatokhoz és átjáróikhoz, valamint nyilvános IP-címekhez való hozzáférés testreszabásához.
-
A virtuális kiszolgálók védelmére vonatkozó irányelvek és folyamatok, például a változáskezelés és a szoftverfrissítések érvényesítése:
A felhőbiztonsági szolgáltatók megbízható felhőbiztonsági helyzetkezelést biztosítanak, következetesen alkalmazzák az irányítási és megfelelőségi szabályokat és sablonokat a virtuális kiszolgálók rendelkezésre bocsátásakor, auditálják a konfigurációs eltéréseket, és ahol lehetséges, automatikusan orvosolják azokat.
-
Minden alkalmazás (és különösen a felhő-natív elosztott alkalmazások) védelme egy következő generációs webalkalmazás-tűzfallal
Ez granulárisan vizsgálja és ellenőrzi a webalkalmazás-kiszolgálók felé irányuló és onnan induló forgalmat, automatikusan frissíti a WAF-szabályokat a forgalom viselkedésének változásaira reagálva, és közelebb telepítik a munkaterhelést végző mikroszolgáltatásokhoz.
-
Kibővített adatvédelem
Kibővített adatvédelem az összes szállítási réteg titkosításával, biztonságos fájlmegosztások és kommunikáció, folyamatos megfelelőségi kockázatkezelés, valamint a megfelelő adattárolási erőforrás-higiénia fenntartása, például a rosszul konfigurált vödrök észlelése és az árva erőforrások megszüntetése.
-
Fenyegetési intelligencia, amely valós időben észleli és orvosolja az ismert és ismeretlen fenyegetéseket
A felhőalapú felhőbiztonsági szolgáltatók kontextust adnak a felhőalapú naplók nagy és változatos adatfolyamaihoz azáltal, hogy az aggregált naplóadatokat intelligens módon kereszthivatkozásokkal látják el belső adatokkal, például eszköz- és konfigurációkezelő rendszerek, sebezhetőségi szkennerek stb. és külső adatokkal, például nyilvános fenyegetési intelligenciaadatokkal, geolokációs adatbázisokkal stb. Olyan eszközöket is biztosítanak, amelyek segítenek a fenyegetések vizualizálásában és lekérdezésében, és elősegítik a gyorsabb incidensreakciót. A mesterséges intelligencia alapú anomália-felismerő algoritmusokat alkalmaznak az ismeretlen fenyegetések felderítésére, amelyeket aztán törvényszéki elemzésnek vetnek alá a kockázati profiljuk meghatározása érdekében. A behatolásokról és a házirendek megsértéséről szóló valós idejű riasztások lerövidítik a helyreállításhoz szükséges időt, sőt néha automatikus helyreállítási munkafolyamatokat is indítanak.
Tudjon meg többet a Check Point CloudGuard megoldásairól
A Check Point egységes CloudGuard felhőbiztonsági platformja zökkenőmentesen integrálódik a szolgáltatók felhő-natív biztonsági szolgáltatásaival, hogy a felhőfelhasználók betartsák a megosztott felelősség modellből rájuk eső részt, és a felhőbiztonság minden pillérén – hozzáférés-szabályozás, hálózati biztonság, virtuális szerver megfelelőség, munkaterhelés- és adatvédelem, valamint fenyegetéselemzés – zéró bizalmi irányelveket tartsanak fenn.
Check Point Unified Cloud Security Solutions
- Cloud Native Cloud Security Solutions
- Cloud Security Posture Management
- Cloud Workload Protection
- Cloud Intelligence. és fenyegetésvadászat
- Cloud Network Security
- Serverless Security
- Container Security
- AWS Security
- Azure Security
- GCP Security
- Branch Cloud Security