Video: The future we're building -- and boring | Elon Musk (Noiembrie 2024)
Anul viitor promite o creștere substanțială pentru furnizorii de servicii de cloud public și furnizorii de soluții Software-as-a-Service (SaaS). Pentru una, noile tehnologii la nivel de fundație, precum implementarea microserviciului și blockchain, printre altele, furnizează căi inovatoare pentru inovare. Dar poate chiar mai important, unul dintre cei mai mulți dintre blocanții de adopție a cloud cloud (CIO, mai ales, securitate și date) pare să se mute în sfârșit pe fundal, în special pentru întreprinderi și mijlocii.
În timp ce analiștii sunt de acord că majoritatea întreprinderilor de astăzi - inclusiv segmentele de întreprindere și mijlocii - au unele implementări de cloud în grade diferite, de asemenea, sunt de acord că organizațiile mai mari au fost încet să mute sarcinile majore în cloud, motivul principal fiind dat de securitatea și datele din cloud Siguranță. Acest lucru este important pentru acești clienți nu doar din cauza volumelor masive de date pe care aceste organizații le-ar migra, ci și pentru că trecerea unor verificări de conformitate și reglementare riguroase, cum ar fi Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) și ISO 27001, este esențială pentru aceștia. a face afaceri. Securitatea este de vârf pentru aceste CIO-uri și, până de curând, pur și simplu nu a fost suficient de robust pentru ca acestea să adopte norul pe scară largă.
Dar, potrivit previziunilor analiștilor pentru 2017, totul este pe cale să se schimbe. Securitatea cloud a parcurs un drum foarte lung în ultima jumătate de deceniu și se pare că mulți profesioniști IT și CIO sunt de acord. Acest lucru înseamnă că analiștii prognozează că vom vedea în 2017 o acceptare mult mai mare a infrastructurii și serviciilor cloud din sectorul întreprinderilor.
Am efectuat un interviu prin e-mail cu Brian Kelly, Chief Security Officer la cunoscutul furnizor de servicii cloud gestionat Rackspace, pentru a afla ce se schimbă în privința securității cloud în anul următor și pentru a vedea dacă a fost de acord cu aceste predicții ale analiștilor.
PCMag: Exact cum își vede Rackspace rolul său față de personalul IT al clienților săi când vine vorba de securitatea și securitatea datelor?
Brian Kelly (BK): vedem dovezi directe conform cărora clienții vin în cloud, din cauza securității, în loc să fugă de el. Cu câteva excepții, companiile pur și simplu nu au resurse și abilități pentru a-și apăra eficient organizațiile împotriva amenințărilor mai sofisticate și persistente. În mod similar, furnizorii de cloud recunosc că viitorul afacerilor noastre depinde de asigurarea încrederii și a încrederii prin practici eficiente de securitate. În ciuda investițiilor crescute ale furnizorilor de cloud în securitate, protejarea activelor organizaționale va rămâne întotdeauna o responsabilitate comună. În timp ce furnizorul de cloud este direct responsabil de protecția facilităților, a centrelor de date, a rețelelor și a infrastructurii virtuale, consumatorii au, de asemenea, responsabilitatea de a proteja sistemele de operare, aplicațiile, datele, accesul și datele de acreditare.
Forrester a inventat termenul „strângere de mână inegală” cu referire la această responsabilitate comună. În anumite privințe, consumatorii consideră că suportă povara pentru securitatea datelor lor. Este posibil să fi fost adevărat acum câțiva ani; cu toate acestea, asistăm la o echilibrare a strângerii de mână. Adică, furnizorii de cloud pot și ar trebui să facă mai mult pentru consumatori să împărtășească responsabilitatea pentru securitate. Aceasta poate avea forma de a oferi pur și simplu vizibilitate și transparență în sarcinile de lucru găzduite, oferind acces la avioanele de control sau oferind servicii de securitate gestionate. În timp ce responsabilitățile de securitate ale consumatorului nu vor dispărea niciodată, furnizorii de cloud vor continua să își asume mai multe responsabilități și să ofere oferte de securitate gestionate cu valoare adăugată pentru a construi încrederea necesară pentru ca ambele părți să funcționeze în siguranță în cloud.
PCMag: Aveți sfaturi pentru profesioniștii IT și clienții întreprinderilor cu privire la ceea ce pot face, în plus față de ceea ce furnizează un furnizor pentru a ajuta la protejarea datelor lor bazate pe cloud în sine?
BK: Ei trebuie să continue să pună în aplicare cele mai bune practici de securitate în cadrul enclavelor lor. Aceștia trebuie să segmenteze sarcinile de lucru în enclavă în mod responsabil pentru a limita sfera compromisurilor, să asigure că mediile de muncă (sisteme de operare, containere, rețele LAN virtuale) sunt securizate și patate corespunzător, să utilizeze tehnologii de răspuns și de nivel de rețea și de nivel de rețea (IDS / IPS, detectare și conținere de malware) și să gestionați activ conturile și accesele. Adesea, clienții pot include aceste servicii și tehnologii în contractele de utilizare a norului, dar, dacă nu, consumatorul trebuie să se asigure că se întâmplă de partea lor.
PCMag: O întrebare-cheie pe care am văzut-o să o pună cititorii este legată de apărarea eficientă împotriva atacurilor masive de denunțare a serviciilor (DDoS), distribuite în mod similar cu incidentul din luna octombrie trecut, în care un vânzător chinez IoT a contribuit în mod inadvertent la atacul. Funcționează astfel de atacuri cu furnizorii de servicii Internet din amonte (ISP)? Și cum împiedică un atac asupra unui singur client să-i dea jos pe toți într-o unitate?
BK: Principalul obiectiv al apărării DDoS este menținerea disponibilității în atac. Capacitățile de atac DDoS ale IoT sunt binecunoscute și pot fi atenuate cu succes prin implementarea celor mai bune practici de securitate și prin utilizarea sistemelor inteligente de atenuare a DDoS. Cea mai mare amenințare nu este metoda atacurilor din partea IoT, ci numărul imens de dispozitive vulnerabile activate pe internet. Rețelele trebuie blocate pentru a limita expunerea la amenințări pe internet. Operatorii de rețea trebuie să fie proactivi în detectarea tuturor amenințărilor posibile și în cunoașterea celor mai eficiente tehnici de atenuare a acestora, menținând în același timp capacitatea de a analiza și clasifica tot traficul de rețea.
O strategie puternică de atenuare a DDoS necesită adoptarea unei abordări stratificate și defensive. Numărul mare de dispozitive IoT face dificilă atenuarea atacurilor IoT pentru rețelele la scară mică. Eficiența unui atac IoT este flexibilitatea sa de a genera diferite vectori de atac și de a produce trafic DDoS masiv, cu volum mare. Chiar și cea mai întărită rețea poate fi repede copleșită de volumul enorm de trafic pe care IoT îl poate genera în mâinile unui atacator capabil. ISP-urile din amonte sunt adesea mai bine echipate și dotate cu personal pentru a face față acestor atacuri la scară largă, care ar satura rapid legăturile mici de rețea. Mai mult decât atât, amploarea funcționării unei rețele și instrumentele necesare pentru atenuarea acestor atacuri determină detectarea și răspunsul efectiv la îndemâna majorității organizațiilor. O soluție mai bună este externalizarea unor astfel de operațiuni către ISP-urile din amonte ale furnizorilor de cloud care lucrează deja cu această scară a rețelei.
ISP-urile din amonte au multe avantaje prin diversitatea robustă a punctelor de acces la internet prin care pot schimba traficul. De asemenea, în general, au conducte de date suficient de mari pentru a absorbi mult trafic DDoS inițial, în timp ce activitățile de răspuns ale traficului de redirecționare se învârt. „Amonte” este un termen bun, deoarece este oarecum analog cu o serie de baraje de-a lungul unui râu. În timpul unei inundații, puteți proteja casele în aval folosind fiecare baraj pentru a capta progresiv mai multă apă în fiecare lac creat de baraj și măsurați debitul pentru a preveni inundațiile din aval. Lățimea de bandă și diversitatea punctelor de acces pentru ISP-uri din amonte asigură același tip de reziliență. De asemenea, au protocoale negociate pe întreaga comunitate de internet pentru a evita traficul DDoS mai aproape de sursele pe care le pot activa.
Ca și în cazul altor activități de răspuns la incidente, planificarea, pregătirea și practica sunt esențiale. Nici două atacuri nu sunt exact aceleași, prin urmare, anticiparea opțiunilor și circumstanțelor, atunci planificarea și exersarea pentru acestea este crucială. Pentru scenarii de atac IoT, care include scanarea rețelei pentru dispozitive vulnerabile și luarea de măsuri corective. De asemenea, ar trebui să fiți sigur că inhibați scanarea din afara rețelei dvs. pentru dispozitive IoT vulnerabile. Pentru a ajuta, implementa controlul riguros al accesului și întărirea sistemului de operare și dezvoltă proceduri pentru corecția diferitelor versiuni de cod, dispozitive în rețea și aplicații.
Faceți clic pe imagine pentru infografie completă. Credit imagine: Twistlock
PCMag: O altă întrebare pe care ni-o pun cititorii este despre securitatea containerului. Vă faceți griji pentru containerele armate care ar putea conține sisteme complexe de atac sau credeți că arhitectura protejează împotriva exploatării de genul acesta?
BK: Securitatea cu orice tehnologie recent evidențiată este întotdeauna o preocupare accentuată - containerele nu sunt unice în acest aspect. Dar, la fel ca în cazul multor provocări de securitate, există compromisuri. Deși poate exista un risc crescut, credem, de asemenea, că există strategii eficiente de atenuare a riscurilor pe care le putem controla.
Un container, în esență, este un mediu de operare virtualizat extrem de tranzitor și ușor. Mașinile virtuale sunt mai puțin sigure decât serverele fizice separate? Sunt, în majoritatea cazurilor. Cu toate acestea, multe companii văd beneficiile de costuri din virtualizare (mai puțin cheltuieli, mai ușor de gestionat, pot reutiliza ușor mașinile) și aleg să le utilizeze în același timp, atenuând cât mai multe riscuri. Intel chiar și-a dat seama că ar putea ajuta la atenuarea unora dintre riscurile în sine și de acolo a provenit Intel VT.
Containerele duc mai departe economiile inițiale de costuri și flexibilitatea virtualizării. de asemenea, sunt mai riscante, deoarece există un perete foarte subțire între fiecare container și sistemul de operare gazdă. Nu sunt conștient de nicio asistență hardware pentru izolare, așa că la nivelul kernel-ului trebuie să îi ții pe toți la coadă. Companiile trebuie să cântărească beneficiile costurilor și flexibilității acestei noi tehnologii, împreună cu aceste riscuri.
Experții Linux sunt îngrijorați deoarece fiecare container împărtășește nucleul gazdei, ceea ce face ca suprafața să exploateze mult mai mare decât tehnologiile tradiționale de virtualizare, cum ar fi KVM și Xen. Deci, există potențial pentru un nou atac în care un atacator are privilegii într-un container pentru a accesa sau a afecta condițiile din alt container.
Încă nu avem prea multe în sensul senzorilor de securitate specifici containerului. În opinia mea, acea zonă a pieței trebuie să se maturizeze. În plus, containerele nu pot utiliza funcțiile de securitate încorporate în procesoare (cum ar fi Intel VT) care permit executarea codului în diferite inele, în funcție de nivelul său de privilegii.
La final, există tone de exploatări pentru servere fizice, mașini virtuale și containere. Cele noi cultură tot timpul. Chiar și mașinile cu goluri de aer sunt exploatate. Profesioniștii IT ar trebui să fie îngrijorați de compromisurile de securitate la toate aceste niveluri. O mare parte a apărărilor sunt aceleași pentru toate aceste tipuri de implementare, dar fiecare are propriile sale apărare suplimentare de securitate care trebuie aplicate.
Furnizorul de găzduire trebuie să utilizeze Module de securitate Linux (cum ar fi SELinux sau AppArmor) pentru a izola containerele și acest sistem trebuie monitorizat îndeaproape. De asemenea, este esențial să mențineți nucleul gazdă actualizat pentru a evita exploatările locale de escaladare a privilegiilor. Izolarea ID unic (UID) ajută, de asemenea, deoarece împiedică un utilizator rădăcină din container să fie de fapt rădăcină pe gazdă.
PCMag: Un motiv pentru care PCMag.com nu a efectuat o comparație la scară largă de furnizori de servicii de securitate gestionate (MSSP) este că există o confuzie în industrie cu privire la exact ce înseamnă acel termen și ce poate oferi și ar trebui să furnizeze acea clasă de furnizori. Puteți descompune serviciul de securitate gestionat al Rackspace? Ce face, cum se diferențiază de ceilalți furnizori și unde vedeți că merge astfel încât cititorii să poată avea o idee bună despre ce semnează atunci când angajează un astfel de serviciu?
BK: MSSP-urile trebuie să accepte că securitatea nu a funcționat și să-și ajusteze strategia și operațiunile pentru a fi mai eficiente în peisajul amenințărilor de astăzi - care conține adversari mai sofisticați și persistenți. La Rackspace, am recunoscut această schimbare a amenințărilor și am dezvoltat noi capacități necesare pentru atenuarea acestora. Rackspace Managed Security este o operație avansată de detectare și răspuns a 24/7/365. Acesta a fost conceput nu numai pentru a proteja companiile de atacuri, ci pentru a reduce impactul asupra afacerilor atunci când se întâmplă atacuri, chiar și după ce un mediu este hacked cu succes.
Pentru a realiza acest lucru, am ajustat strategia noastră în trei moduri:
Ne concentrăm pe date, nu pe perimetru. Pentru a răspunde eficient la atacuri, obiectivul trebuie să fie minimizarea impactului asupra afacerilor. Aceasta necesită o înțelegere cuprinzătoare a activității companiei și a contextului datelor și sistemelor pe care le protejăm. Doar atunci putem înțelege cum arată normalul, să înțelegem un atac și să răspundem într-un mod care să minimizeze impactul asupra afacerii.
Presupunem că atacatorii au câștigat intrarea în rețea și folosim analiști de înaltă calificare pentru a-i vâna. Odată ajunși în rețea, atacurile sunt greu de identificat pentru că instrumentele de securitate, atacatorii avansați arată ca administratorii care îndeplinesc funcții normale de afaceri. Analiștii noștri caută în mod activ modele de activitate pe care instrumentele nu le pot alerta - aceste tipare sunt urmele care ne conduc către atacator.
Să știi că ești atacat nu este suficient. Este esențial să răspunzi la atacuri când apar. Centrul nostru de operațiuni pentru securitatea clienților utilizează un portofoliu de „acțiuni prestabilite” pentru a răspunde la atacuri imediat ce le vor vedea. Acestea sunt în esență cărți pe care le-am încercat și testat pentru a face față cu succes atacurilor atunci când acestea se întâmplă. Clienții noștri văd aceste cărți rulate și aprobă analiștii noștri pentru a le executa în timpul procesului de bord. Drept urmare, analiștii nu mai sunt observatori pasivi - ei pot închide activ un atacator imediat ce sunt detectați și de multe ori înainte de a se obține persistența și înainte de afectarea afacerii. Această capacitate de a reacționa la atacuri este unică pentru Rackspace, deoarece gestionăm și infrastructura pe care o protejăm pentru clienții noștri.
În plus, descoperim că conformitatea este un produs secundar al securității făcut bine. Avem o echipă care valorifică rigoarea și cele mai bune practici pe care le implementăm ca parte a operațiunii de securitate, prin evidențierea și raportarea cerințelor de conformitate pe care le ajutăm clienții noștri.
PCMag: Rackspace este un mare promotor, într-adevăr un fondator creditat al OpenStack. Unii dintre cititorii noștri IT au întrebat dacă dezvoltarea securității pentru o platformă atât de deschisă este de fapt mai lentă și mai puțin eficientă decât cea a unui sistem închis, cum ar fi Amazon Web Services (AWS) sau Microsoft Azure, din cauza dilemei percepute de „prea mulți bucătari” care plagionează. multe proiecte mari de tip open-source. Cum răspunzi la asta?
BK: Cu software-ul open-source, „bug-urile” se găsesc în comunitatea deschisă și sunt rezolvate în comunitatea deschisă. Nu există nicio modalitate de a ascunde amploarea sau impactul problemei de securitate. Cu un software proprietar, vă aflați la mila furnizorului de software pentru a remedia vulnerabilitățile. Ce se întâmplă dacă nu fac nimic despre o vulnerabilitate timp de șase luni? Ce se întâmplă dacă ratează un raport al unui cercetător? Vizualizăm toți acei „prea mulți bucătari” la care vă referiți ca un imens operator de securitate software. Sute de ingineri deștepți se uită adesea la fiecare parte a unui pachet major open-source, cum ar fi OpenStack, ceea ce face cu adevărat dificil ca defectele să alunece prin fisuri. Discuția privind defectul și evaluarea opțiunilor de remediere a acestuia se petrec în timp liber. Pachetele de software privat nu pot primi niciodată acest tip de analiză la nivel de cod pe linie, iar corecțiile nu vor primi niciodată o asemenea verificare deschisă.
Software-ul open-source permite, de asemenea, atenuări în afara stivei de software. De exemplu, dacă apare o problemă de securitate OpenStack, dar un furnizor de cloud nu poate actualiza sau corela imediat vulnerabilitatea, s-ar putea face alte modificări. Funcția poate fi dezactivată temporar sau utilizatorii ar putea fi împiedicați să o utilizeze prin intermediul fișierelor de politici. Atacul ar putea fi eficient atenuat până la aplicarea unei soluții pe termen lung. De multe ori, software-ul cu surse închise nu permite acest lucru, deoarece este dificil de văzut ce trebuie atenuat.
De asemenea, comunitățile open-source răspândesc rapid cunoștințele despre aceste vulnerabilități de securitate. Întrebarea „Cum prevenim să se întâmple asta mai târziu?” este solicitat rapid și deliberarea este condusă în colaborare și în aer liber.
PCMag: Să terminăm cu întrebarea inițială pentru acest interviu: Sunteți de acord cu analiștii că 2017 va fi un an „despartitor” în ceea ce privește adoptarea cloud cloud, în principal sau cel puțin parțial datorită acceptării de către întreprindere a securității furnizorului de cloud?
BK: Haideți să facem un pas înapoi pentru a discuta despre diferitele medii cloud. Cea mai mare parte a întrebării dvs. indică piața publică de cloud. După cum am menționat mai sus, cercetătorii Forrester au remarcat „strângerea de mână inegală” între furnizorii de cloud și consumatori, prin faptul că furnizorii de cloud furnizează un set de servicii, dar consumatorii de cloud presupun că primesc mult mai mult în ceea ce privește securitatea, backup-ul, rezistența, etc. Am susținut încă de la aderarea la Rackspace că furnizorii de cloud trebuie să elimine acea strângere de mână, fiind mai transparenti cu consumatorii noștri. Nicăieri, strângerea de mână nu este mai puțin uniformă, încă azi, decât în mediile cloud publice.
Totuși, mediile cloud private și, în special, cele puse în aplicare de consumator, nu suferă atât de mult de asemenea iluzii. Consumatorii sunt mult mai clari despre ceea ce cumpără și ce le oferă furnizorii. Cu toate acestea, pe măsură ce consumatorii și-au ridicat așteptările în procesul de achiziție, iar furnizorii de cloud au intensificat jocurile noastre pentru a oferi servicii și transparență mai complete, barierele emoționale și legate de riscuri pentru a muta volumul de muncă dintr-un centru de date tradițional într-un mediu public cloud scad rapid.
Dar nu cred că acest lucru va crea o ștampilă către cloud în 2017. Mutarea sarcinilor de muncă și a centrelor de date întregi presupune o schimbare semnificativă în planificare și organizare. Este cu mult diferit de modernizarea hardware-ului într-un centru de date. Îți încurajez cititorii să studieze tranziția Netflix; și-au transformat afacerile mutându-se în nor, dar le-a fost nevoie de șapte ani de muncă asiduă. Pentru unul, ei au re-luat în considerare și au re-scris majoritatea aplicațiilor pentru a le face mai eficiente și mai bine adaptate la cloud.
De asemenea, vedem mulți consumatori adoptând nori privați în centrele lor de date folosind o arhitectură cloud cloud ca punct de plecare. Acestea par să se accelereze. Cred că curba de adopție ar putea vedea un cot în 2017, dar va dura câțiva ani pentru ca umflatura să se construiască cu adevărat.
