Molnsäkerhet är ett delat ansvar

Molnsäkerhet är ett ansvar som delas mellan molnleverantören och kunden. Det finns i princip tre kategorier av ansvar i modellen för delat ansvar: ansvar som alltid är leverantörens, ansvar som alltid är kundens och ansvar som varierar beroende på tjänstemodellen: Infrastruktur som tjänst (IaaS), plattform som tjänst (PaaS) eller mjukvara som tjänst (SaaS), t.ex. e-post i molnet.

Säkerhetsansvaret som alltid åligger leverantören är relaterat till skyddet av själva infrastrukturen samt åtkomst till, patchning och konfiguration av de fysiska värdarna och det fysiska nätverket där beräkningsinstanserna körs och lagringsutrymmena och andra resurser finns.

Det säkerhetsansvar som alltid är kundens omfattar hantering av användare och deras åtkomstprivilegier (identitets- och åtkomsthantering), skydd av molnkonton från obehörig åtkomst, kryptering och skydd av molnbaserade datatillgångar samt hantering av dess säkerhetsställning (efterlevnad).

De sju största utmaningarna för avancerad säkerhet i molnet

Då det offentliga molnet inte har några tydliga gränser, innebär det en helt annan säkerhetsverklighet. Detta blir ännu mer utmanande när man inför moderna molnmetoder som automatiserade CI/CD-metoder (Continuous Integration and Continuous Deployment), distribuerade serverlösa arkitekturer och flyktiga tillgångar som funktioner som en tjänst och containrar.

Några av de avancerade säkerhetsutmaningarna för molnbaserad säkerhet och de flera risklager som dagens molnorienterade organisationer står inför är bland annat:

  1. Ökat antal angreppsytor

    Den offentliga molnmiljön har blivit en stor och mycket attraktiv angreppsyta för hackare som utnyttjar dåligt säkrade ingångsportar i molnet för att få tillgång till och störa arbetsbelastningar och data i molnet. Malware, Zero-Day, Account Takeover och många andra skadliga hot har blivit en daglig verklighet.

  2. Misslyckande med synlighet och spårning

    I I IaaS-modellen har molnleverantörerna full kontroll över infrastrukturlagret och exponerar det inte för sina kunder. Bristen på synlighet och kontroll utökas ytterligare i PaaS- och SaaS-molnmodellerna. Molnkunder kan ofta inte effektivt identifiera och kvantifiera sina molntillgångar eller visualisera sina molnmiljöer.

  3. Ever-Changing Workloads

    Molntillgångar tillhandahålls och avvecklas dynamiskt – i stor skala och med hög hastighet. Traditionella säkerhetsverktyg är helt enkelt oförmögna att upprätthålla skyddspolicyer i en sådan flexibel och dynamisk miljö med ständigt föränderliga och flyktiga arbetsbelastningar.

  4. DevOps, DevSecOps och automatisering

    Organisationer som har anammat den starkt automatiserade DevOps CI/CD-kulturen måste se till att lämpliga säkerhetskontroller identifieras och integreras i kod och mallar tidigt i utvecklingscykeln. Säkerhetsrelaterade ändringar som genomförs efter att en arbetsbelastning har distribuerats i produktion kan undergräva organisationens säkerhetsställning samt förlänga tiden till marknaden.

  5. Granulär privilegie- och nyckelhantering

    Ofta är molnanvändarroller konfigurerade mycket löst, vilket ger omfattande privilegier utöver vad som är avsett eller krävs. Ett vanligt exempel är att ge rättigheter för radering eller skrivning av databaser till otränade användare eller användare som inte har något affärsmässigt behov av att radera eller lägga till databastillgångar. På applikationsnivå utsätter felaktigt konfigurerade nycklar och privilegier sessioner för säkerhetsrisker.

  6. Komplexa miljöer

    För att hantera säkerheten på ett konsekvent sätt i de hybrid- och flermolnsmiljöer som företag föredrar i dag krävs metoder och verktyg som fungerar sömlöst mellan leverantörer av offentliga moln, privata moln och lokala installationer – inklusive skydd av filialer för geografiskt spridda organisationer.

  7. Cloud Compliance and Governance

    Alla ledande molnleverantörer har anpassat sig till de flesta välkända ackrediteringsprogram som PCI 3.2, NIST 800-53, HIPAA och GDPR. Det är dock kunderna som ansvarar för att se till att deras arbetsbelastning och dataprocesser uppfyller kraven. Med tanke på den dåliga synligheten och dynamiken i molnmiljön blir granskningsprocessen för efterlevnad nästan omöjlig om inte verktyg används för att uppnå kontinuerliga kontroller av efterlevnaden och utfärda varningar i realtid om felkonfigurationer.

Zero Trust och varför du bör omfamna det

Termen Zero Trust introducerades för första gången 2010 av John Kindervag, som då var en senior Forrester Research-analytiker. Den grundläggande principen för Zero Trust inom molnsäkerhet är att inte automatiskt lita på någon eller något inom eller utanför nätverket och att verifiera (dvs. auktorisera, inspektera och säkra) allting.

Zero Trust främjar till exempel en strategi för styrning av minsta möjliga privilegier där användarna endast får tillgång till de resurser de behöver för att utföra sina arbetsuppgifter. På samma sätt uppmanas utvecklare att se till att webbaserade tillämpningar är ordentligt säkrade. Om utvecklaren till exempel inte har blockerat portar på ett konsekvent sätt eller inte har infört behörigheter efter behov, kommer en hackare som tar över programmet att ha privilegier att hämta och ändra data från databasen.

När Zero Trust-nätverken använder sig dessutom av mikrosegmentering för att göra säkerheten i molnnätverken mycket mer granulerad. Mikrosegmentering skapar säkra zoner i datacenter och molninstallationer och segmenterar därmed arbetsbelastningar från varandra, säkrar allt inom zonen och tillämpar policyer för att säkra trafiken mellan zonerna.

De sex pelarna i robust molnsäkerhet

Men även om molnleverantörer som Amazon Web Services (AWS), Microsoft Azure (Azure) och Google Cloud Platform (GCP) erbjuder många molnspecifika säkerhetsfunktioner och -tjänster, är det viktigt att komplettera med tredjepartslösningar för att uppnå ett skydd för molnarbetsbelastningar av företagsklass mot intrång, dataläckage och riktade attacker i molnmiljön. Endast en integrerad säkerhetsstack av molnnativ/tredje part ger den centraliserade synlighet och principbaserade granulära kontroll som krävs för att leverera följande bästa praxis i branschen:

  1. Granulära, principbaserade IAM- och autentiseringskontroller över komplexa infrastrukturer

    Arbeta med grupper och roller i stället för på individuell IAM-nivå för att underlätta uppdatering av IAM-definitioner i takt med att verksamhetskraven förändras. Bevilja endast de minimala åtkomsträttigheter till tillgångar och API:er som är nödvändiga för att en grupp eller roll ska kunna utföra sina uppgifter. Ju mer omfattande privilegier, desto högre autentiseringsnivåer. Och försumma inte god IAM-hygien, genom att upprätthålla starka lösenordspolicyer, time-out av behörigheter och så vidare.

  2. Nollförtroendekontroller för molnnätverkssäkerheten i logiskt isolerade nätverk och mikrosegment

    Deploatera affärskritiska resurser och appar i logiskt isolerade sektioner av leverantörens molnnätverk, t.ex. i virtuella privata moln (AWS och Google) eller vNET (Azure). Använd undernät för att mikrosegmentera arbetsbelastningar från varandra, med granulära säkerhetsprinciper vid undernätets gateways. Använd dedikerade WAN-länkar i hybridarkitekturer och använd statiska användardefinierade routningskonfigurationer för att anpassa åtkomsten till virtuella enheter, virtuella nätverk och deras gateways samt offentliga IP-adresser.

  3. Verkställighet av policyer och processer för skydd av virtuella servrar, t.ex. ändringshantering och programuppdateringar:

    Leverantörer av molnsäkerhet tillhandahåller robust Cloud Security Posture Management och tillämpar konsekvent regler och mallar för styrning och efterlevnad när de tillhandahåller virtuella servrar, granskar konfigurationsavvikelser och åtgärdar dem automatiskt där det är möjligt.

  4. Säkra alla applikationer (och särskilt molnnativa distribuerade applikationer) med en nästa generations brandvägg för webbapplikationer

    Denna kommer att granulärt inspektera och styra trafiken till och från webbapplikationsservrar, uppdaterar automatiskt WAF-reglerna som svar på förändringar i trafikbeteendet och distribueras närmare de mikrotjänster som kör arbetsbelastningar.

  5. Förbättrat dataskydd

    Förbättrat dataskydd med kryptering i alla transportlager, säkra fildelningar och kommunikationer, kontinuerlig riskhantering för efterlevnad och upprätthållande av god hygien för datalagringsresurser, t.ex. upptäckt av felkonfigurerade hinkar och avslutande av föräldralösa resurser.

  6. Hotinformation som upptäcker och åtgärdar kända och okända hot i realtid

    Molnsäkerhetsleverantörer från tredje part lägger till kontext till de stora och varierande strömmarna av molnnativa loggar genom att på ett intelligent sätt korsreferera aggregerade loggdata med interna data, t.ex. system för tillgångs- och konfigurationshantering, sårbarhetsskannrar osv. och externa data, t.ex. offentliga flöden med information om hotinformation, databaser för geolokalisering osv. De tillhandahåller också verktyg som hjälper till att visualisera och fråga om hotlandskapet och främjar snabbare svarstider vid incidenter. AI-baserade algoritmer för anomalidetektering tillämpas för att fånga upp okända hot, som sedan genomgår forensisk analys för att fastställa deras riskprofil. Varningar i realtid om intrång och policyöverträdelser förkortar tiderna för åtgärdande och utlöser ibland till och med arbetsflöden för automatisk åtgärdande.

Lär dig mer om Check Point CloudGuard-lösningar

Check Points enhetliga CloudGuard-molnsäkerhetsplattform integreras sömlöst med leverantörernas molnbaserade säkerhetstjänster för att se till att molnanvändare upprätthåller sin del av modellen för delat ansvar och upprätthåller Zero Trust-policyerna i alla molnsäkerhetens pelare: åtkomstkontroll, nätverkssäkerhet, efterlevnad av virtuella servrar, skydd av arbetsbelastning och data, samt hotinformation.

Check Point Unified Cloud Security Solutions

  • Cloud Native Cloud Security Solutions
  • Cloud Security Posture Management
  • Cloud Workload Protection
  • Cloud Intelligence. och hotjakt
  • Nätverkssäkerhet i molnet
  • Serverlös säkerhet
  • Säkerhet för containrar
  • AWS-säkerhet
  • Azure-säkerhet
  • GCP-säkerhet
  • Säkerhet för molntjänster

admin

Lämna ett svar

Din e-postadress kommer inte publiceras.

lg