همانطور که گارتنر پیش بینی می کند جهش 20 درصدی دیگر در هزینه های خدمات ابری عمومی و افزایش 7 درصدی در کل هزینه های فناوری اطلاعات برای سال 2024، زیرمجموعه های بودجه مانند امنیت برای برنامه های ابری و DevOps به طور فزاینده ای دردناک به نظر می رسد.
نیل کلارک، مدیر خدمات ابری در ارائه دهنده خدمات مدیریت شده (MSP) QuoStar، سازمان ها می گوید آنها اغلب شکست خوردندبا اشاره به سال گذشته NetScaler به عنوان مثال، نقضها و آسیبپذیریهای اصلاح نشده.
انتخاب بین مجموعه ابزار کار آسانی نیست، و برخی پیشنهادات بسیار زیاد و اغلب ناسازگار می خرند. دیگران به سادگی یک راه حل را انتخاب می کنند ربع جادویی گارتنر و قبل از اینکه متوجه شوند برای شرایطشان مناسب نیست، شش ماه را صرف تلاش برای تنظیم دقیق آن کنند.
در بدترین حالت، سازمان ها به سادگی می توانند به کار خود ادامه دهند تا زمانی که مورد حمله قرار نگیرند. پس راه حل چیست؟
برای کلارک، برنامه ریزی مناسب برای شناسایی، پیاده سازی و بهینه سازی راه حل های مناسب است. ممکن است نیاز به یک متخصص باشد تا همه چیز را بفهمد – تصویر بزرگتر و سپس اینکه کدام قطعات با هم هماهنگ می شوند. هیچ راه حلی نمی تواند همه چیز را متوقف کند یا همه چیز را جابجا کند، و اگر بخواهیم بهره وری را حفظ کنیم و هزینه ها را کنترل کنیم، امنیت ابری نمی تواند یک تمرین “تیک باکس” باشد.
او خاطرنشان می کند: «شما باید ریسک را به صورت ناشناس سنجید و نیاز امنیتی را با نیاز عملیاتی مطابقت دهید. بی معنی است که به جای کسب درآمد، امنیت را مقدم بر عملیات قرار دهید – اما اگر بیش از حد روی عملیات تمرکز کنید، خود را آشکار می کنید.
رشد امنیت را میتوان بیشتر به دلیل پیادهسازی «عجیب و پیچیده» از سه تا پنج ابزار ایجاد کرد، جایی که به طور بالقوه یکی ممکن است کار را انجام داده باشد، گاهی اوقات به این دلیل که محیط ابری تغییر کرده است یا سازمان در مقطعی به جای عمیقتر کردن، از درون محل دور شده است. برنامه ریزی ابری
آنچه لازم است این است که با طراحی مجدد و لایه بندی امنیت مطابق با بهترین شیوه ها و افزودن اقدامات کاهشی اولیه مانند پشتیبان گیری، همه چیز را پاک کنید. کلارک پیشنهاد می کند که دستیابی به شفافیت محیط داده نیز می تواند بسیار مهم باشد.
ما زمان زیادی را صرف تعمیر چنین چیزهایی برای مشتریان کردهایم. به اندازه کافی عجیب، آنها در ماه خیلی بیشتر خرج نمی کنند.» کلارک می گوید. نگرانی های امنیتی خود را به فضای ابری منتقل نکنید… همه چیز در فضای ابری کار نخواهد کرد. [Think about] چه چیزی برای دسترسی به برنامه های شما نیاز دارد و چه چیزی نیاز ندارد.”
اندرو گرین، تحلیلگر تحقیقاتی شبکه و امنیت در GigaOm، انتخاب را توصیه می کند در ابر متولد شد خدمات امنیتی از یک پشته مناسب به عنوان کلید بهینه سازی امنیت ابر از منظر هزینه.
رابط های شبکه کانتینر منبع باز (CNI) برای Kubernetes و ظروفمانند Calico و Cilium دارای قابلیت های امنیتی “عالی” برای کنترل دسترسی و فیلتر کردن ترافیک هستند که همگی در لایه شبکه بدون هیچ عامل یا مؤلفه دیگری انجام می شوند.
گرین خاطرنشان می کند: “وقتی در Kubernetes شبکه می کنید، آنها قابلیت های بومی را ارائه نمی دهند.”
اگرچه CNI ها می توانند راه حل های فنی بیشتری باشند که نیاز به پیکربندی دارند و به طور بالقوه قابل توسعه هستند مجموعه مهارتآنها میتوانند ارتباطات درون رباتها یا خوشهها و بین خوشهها را مدیریت کنند و میتوانند به تعریف سیاستها کمک کنند، مشخص کنند چه چیزی باید با کنترلهای دسترسی یکدیگر ارتباط برقرار کند و امنیت مبتنی بر هویت را فراهم کند.
گرین میگوید: «بهجای گفتن «من میخواهم دسترسی به این منبع IP را مسدود کنم»، میتوانید یک برچسب بار کاری اختصاص دهید. و شما این کار را بسیار نزدیک به هسته لینوکس انجام می دهید. سبک است، کنترل زیادی در اختیار شما قرار می گیرد و می توانید یکسری کارها را انجام دهید.
اگر پیکربندی CNI با رابط خط فرمان یا از طریق ادغام بسیار چالش برانگیز است، شاید انتخاب کنید که از طریق رابط کاربری گرافیکی (GUI) کار کنید. او میگوید کالیکو و همکارانش اسناد فنی، آزمایشگاهها و آموزش خوبی برای کمک ارائه میدهند.
گرین پیشنهاد میکند که اگر از قبل در داخل وجود داشته باشد، قابلیتهای منبع بسته میتواند بخشی از راهحل گستردهتری مانند F5 باشد.
کاهش قرار گرفتن در معرض
منابع در معرض آسیب و آسیب پذیر را در نظر بگیرید و محدود کنید. اگر یک سازمان در معرض اینترنت عمومی قرار نگیرد، ممکن است فقط به فیلتر ورودی “ساده و ساده” نیاز داشته باشد. وب و سرویس های عمومی که در اینترنت برای کاربران یا اشخاص ثالث در معرض دید قرار می گیرند، به ویژگی های فیلترینگ ورودی پیشرفته تری نیاز دارند که قیمت بالایی دارند.
محافظت از یاهو! فیلتر کردن ربات ها یا ترافیک خریداران انکار سرویس توزیع شده (DDoS) گرین اشاره می کند که ممکن است نیاز به یک “سرمایه گذاری سنگین” داشته باشد.
او می افزاید: «این به طور خاص در مورد انطباق نیست، بلکه در مورد وضعیت امنیتی کلی است. اگر تمام چیزی که در معرض آن هستید شاید فقط یک API شریک باشد [application programming interface]ممکن است فقط به مقداری نیاز داشته باشید حفاظت API که می تواند درخواست ها را تایید کند.’
همچنین تفکر اصلی را بلند نکنید و تغییر ندهید. به عنوان مثال، استقرار یک فایروال کامل یا دستگاه های فایروال نسل بعدی برای ایجاد بخش های ابری گران و ناکارآمد است. گرین میگوید بهتر است به دنبال فناوریهایی باشید که از ویژگیهای بومی ابری مانند برچسبها یا برچسبهایی استفاده میکنند که میتوانند با حجم کار مهاجرت کنند.
کریس لاوجوی، رهبر امنیت جهانی و انعطافپذیری در Kyndryl، معتقد است که امنیت ابر اغلب به دلیل چالشهای قدیمی مختل شده است، به همین دلیل است که سالها پیش صحبت از «مزایای امنیتی عظیم» در کنار بهرهوری و مقیاسپذیری ابری، آنطور که پیشبینی میشد انجام نشد. .
نیاز به اصلاح برنامه ها برای مبتنی بر ابر اغلب نادیده گرفته می شود.
“Refactoring این می تواند یک بحث بسیار دشوار با هیئت مدیره و مدیریت اجرایی باشد. اما برنامههای قدیمی حاوی اعتبارنامههای رمزگذاریشده، پیکربندیهای ناامن، روشهای رمزگذاری منسوخ، و اغلب زمانی که به ابر منتقل میشوید، هستند. ظرف سازی“
برنامههای کاربردی قدیمی اغلب میتوانند همان آسیبپذیریهایی را که در یک محیط on-prem با پیچیدگی محصورشده کانتینریسازی لایهای در بالا ارائه میکنند، ارائه دهند. لاوجوی توضیح میدهد که کانتینریسازی خود منبعی از «مقدار فوقالعاده» مواجهههای بالقوه مرتبط با پیکربندی است.
در حالی که سازمانها مسائل امنیتی را تشخیص میدهند، شیوهای که برنامهها – اغلب راهحلهای قدیمی با عملکرد ضعیف – و محیطها ساخته شده و بهکار گرفته شدهاند، اغلب آثار بسیار بزرگی را بر جای گذاشته است. بدهی فنی
بعضی ها چقدر عقب هستند؟ وقتی صحبت از فرآیندهای توسعه ابری می شود، گروه استراتژی شرکت این نظرسنجی نشان داد که یک سوم تیمهای امنیتی پاسخدهندگان فاقد دید کافی و کنترل هستند، بررسیهای امنیتی و آزمایش نسخه را از دست دادهاند، فرآیندهای امنیتی ثابتی را در تیمها ندارند، امنیت را برای رعایت ضربالاجلها از دست دادهاند، یا با پیکربندیهای نادرست، آسیبپذیریها و «سایر مسائل امنیتی» مستقر شدهاند. “
پایه های محکمی فراهم کنید
لاوجوی به این موضوع اشاره می کند ترکیبی محیط های ابری نیاز به یکپارچه سازی دارند تا قابلیت حمل و کارکرد لازم را فراهم کنند. اغلب حتی رویای تجزیه و تحلیل پیشرفته در نتیجه آسیب می بیند.
«این پیچیدگی منجر به هزینههایی شد که کاملاً غیرمنتظره بود. با این حال، بهینه سازی ابری نبود.» لاوجوی می گوید. آنها ناکارآمدی منابع، استفاده ضعیف و هزینه های ابر و میزبانی بالاتر به دلیل مصرف زیاد دارند.”
اگر بخواهید آنها در نوعی تله فقر فناوری اطلاعات هستند. در چنین شرایطی، هزینه های امنیتی می تواند مانند یک اضافی ناخواسته احساس شود.
برای لاوجوی، بهترین راه حل ممکن است شامل بازگشت به چیزی باشد که اغلب به آن مدرنیزاسیون می گویند – بازگشت به عقب – به خاطر ساختن پایه ای قوی تر که در نهایت بر آن بنا شود. حتی اگر این به معنای انتقال به یک ابر خصوصی یا پیشفرض باشد، راهاندازی مجدد ابر بزرگ به سمت پایین حرکت میکند.
او میگوید: «کلاد میتواند مزایا، امنیت و انعطافپذیری را فراهم کند، اما سازمان ممکن است نیاز به سرمایهگذاری مناسب در مهندسی مجدد برنامهها داشته باشد، بهعنوان مثال، برخلاف جمعآوری بسیاری از کنترلهای امنیتی».
با توجه به گسترش و دامنه مقررات نوظهور، از جمله در مورد استفاده از داده ها و شفافیت، “به ویژه مرتبط” است.
لاوجوی پیشنهاد میکند بهجای تمرکز محدود بر امنیت در انزوا، سازمانها باید در نظر بگیرند که «حداقل خدمات تجاری بادوام» آنها برای فعال کردن سازمانها، دادهها و سیستمهایشان چیست. همه اینها را نقشه برداری کنید، سپس انعطاف پذیری امنیتی را در اطراف آن اولویت بندی کنید.
او تاکید میکند که اینجاست که سازمانها باید برای بهینهسازی هزینههای ابری، از جمله امنیت، سرمایهگذاری کنند.
“در حالی که اعتماد صفر عالی است، واقعاً باید در زمینه معماری مدرن تر تحقق یابد. فکر کن مبانی – آیا داری احراز هویت چند عاملی (MFA)، آموزش و پچ خوب؟ – قبل از رسیدن به ZTNA [zero-trust network access]”