Casa Negocis Perspectiva industrial: com evolucionarà la seguretat del núvol el 2017?

Perspectiva industrial: com evolucionarà la seguretat del núvol el 2017?

Vídeo: Perspectives (2000) [Full Video] (De novembre 2024)

Vídeo: Perspectives (2000) [Full Video] (De novembre 2024)
Anonim

L’any que ve promet un creixement substancial per als proveïdors públics de serveis en núvol i els proveïdors de solucions Software-as-a-Service (SaaS). Per un primer lloc, les noves tecnologies a nivell de fundació, com ara els desplegaments de microserveis i la blockchain, entre d’altres, ofereixen vies inadequades per a la innovació. Però potser encara és més important, sembla que un dels bloquejadors d’adopció de núvols més citats (CIO, sobretot, seguretat i dades de dades) que es mouen en un segon pla, especialment per a les empreses i les empreses mitjanes.

Si bé els analistes coincideixen que la majoria de les empreses actuals, incloses les empreses i els segments de mida mitjana, tenen alguns desplegaments de núvols en diferents graus, també estan d’acord que les organitzacions més grans han trigat a moure les càrregues de treball importants al núvol, i la raó principal és que es donen seguretat i dades al núvol. seguretat. Això és important per a aquests clients no només a causa del volum massiu de dades que aquestes organitzacions migrarien, sinó també perquè els requisits rigorosos de compliment i reglamentació, com la Llei de rendibilitat de comptes i comptabilitat de l’assegurança mèdica (HIPAA) i ISO 27001, són crucials per a ells. fer negocis. La seguretat és bàsica per a aquests CIOs i, fins fa poc, no era prou robusta perquè adoptessin el núvol a gran escala.

Però, segons les prediccions dels analistes per al 2017, tot està a punt de canviar. La seguretat al núvol ha recorregut un llarg recorregut durant l’última mitja dècada i sembla que molts professionals de la informàtica i CIO estan d’acord. Això significa que els analistes preveuen que el 2017 podrem adquirir una infraestructura i serveis en núvol molt més grans del sector de les empreses.

Vaig realitzar una entrevista per correu electrònic amb Brian Kelly, director de seguretat del conegut proveïdor de núvols gestionat Rackspace, per esbrinar què canvia la seguretat del núvol en el proper any i per veure si estava d’acord amb les prediccions d’aquests analistes.

PCMag: Exactament com veu Rackspace el seu paper respecte al del personal informàtic dels seus clients quan es tracta de seguretat i seguretat de dades?

Brian Kelly (BK): Estem veient evidències directes que els clients vénen al núvol per culpa de la seguretat en lloc de fugir-ne. Amb algunes excepcions, les empreses simplement no disposen dels recursos i competències per defensar eficaçment les seves organitzacions de les amenaces més sofisticades i persistents. De la mateixa manera, els proveïdors de núvols reconeixen que el futur de les nostres empreses depèn de proporcionar confiança i confiança mitjançant pràctiques de seguretat efectives. Malgrat l’increment de les inversions dels proveïdors de núvol en seguretat, la protecció dels actius organitzatius sempre serà una responsabilitat compartida. Mentre que el proveïdor de núvols és el responsable directe de la protecció d’instal·lacions, centres de dades, xarxes i infraestructures virtuals, els consumidors també tenen la responsabilitat de protegir sistemes operatius, aplicacions, dades, accés i credencials.

Forrester va encunyar el terme "encaix de mà desigual" en referència a aquesta responsabilitat compartida. En alguns aspectes, els consumidors creuen que suporten la càrrega per a la seguretat de les seves dades. Això pot haver-se fet fa uns anys; tanmateix, estem assistint a un equilibri del cop de mà. És a dir, els proveïdors de núvols poden i haurien de fer més perquè els consumidors comparteixin la responsabilitat en matèria de seguretat. Això pot prendre la forma de simplement proporcionar una major visibilitat i transparència en les càrregues de treball allotjades, proporcionar accés a avions de control o oferir serveis de seguretat gestionats. Mentre que les responsabilitats en matèria de seguretat del consumidor no desapareixeran mai, els proveïdors del núvol seguiran assumint més responsabilitats i proporcionant ofertes de seguretat gestionades amb valor afegit per crear la confiança necessària perquè ambdues parts funcionin amb seguretat al núvol.

PCMag: Tens algun consell per als professionals de les empreses i els clients de les empreses sobre què poden fer, a més del que proporciona un proveïdor per ajudar a protegir les seves dades basades en núvol?

BK: han de continuar implementant les millors pràctiques de seguretat dins dels seus enclavaments. Necessiten segmentar les càrregues de treball de l’enclavament de manera responsable per limitar l’abast dels compromisos, assegurar-se que els entorns de càrrega de treball (sistemes operatius, contenidors, LAN virtuals) estiguin assegurats i seguits correctament, s’aprofitin les tecnologies de sensació i de resposta a nivell final i de xarxa (IDS / IPS, detecció i contenció de programari maliciós) i gestionar activament comptes i accessos. Sovint, els clients poden incloure aquests serveis i tecnologies en els seus contractes d’ús al núvol, però, si no, el consumidor s’ha de vetllar perquè passi del seu costat.

PCMag: Una pregunta clau que hem vist fer els lectors és sobre la defensa eficaç contra els atacs massius de denegació de servei (DDoS), que es van produir de manera intensa a les vendes xineses de IoT, que van contribuir intensament a l’atac. Aquests atacs funcionen amb proveïdors de serveis d'Internet amunt (ISP)? I com impedeixen atacar un client per enderrocar a tots en una instal·lació?

BK: L'objectiu principal de la defensa de DDoS és mantenir la disponibilitat en atac. Les capacitats d'atac de DDoS de IoT són conegudes i es poden pal·liar amb èxit mitjançant la implementació de les millors pràctiques de seguretat i mitjançant sistemes de mitigació intel·ligents de DDoS. La major amenaça no és el mètode dels atacs de IoT, sinó la immensa quantitat de dispositius vulnerables amb connexió a Internet. Cal bloquejar les xarxes per limitar l’exposició a les amenaces a Internet. Els operadors de xarxa han de ser proactius per detectar totes les amenaces possibles i conèixer les tècniques més efectives per mitigar-les, mantenint la capacitat d’analitzar i classificar tot el trànsit de xarxa.

Una forta estratègia de mitigació de DDoS requereix adoptar un enfocament defensiu en capes. El gran nombre de dispositius IoT dificulta la mitigació dels atacs IoT per a xarxes a petita escala. L’efectivitat d’un atac IoT és la seva flexibilitat per generar diferents vectors d’atac i produir un trànsit massiu de gran volum DDoS. Fins i tot la xarxa més endurida es pot veure ràpidament desbordada per l’enorme volum de trànsit que pot generar IoT en mans d’un atacant capaç. Els ISP a amunt sovint estan més ben equipats i disposen de personal per fer front a aquests atacs a gran escala que saturarien ràpidament els enllaços de xarxa petits. A més, l'escala de funcionament d'una xarxa i les eines necessàries per mitigar aquests atacs posen la detecció i la resposta efectives fora de l'abast de la majoria de les organitzacions. Una millor solució és subcontractar aquestes operacions als ISPs amunt dels proveïdors de núvol que ja treballen amb aquesta escala de xarxa.

Els ISP a l’alça tenen molts avantatges gràcies a una robusta diversitat de punts d’accés a Internet a través dels quals poden canviar el trànsit. Generalment també disposen de canonades de dades prou grans per absorbir gran quantitat de trànsit DDoS inicialment, mentre que les activitats de resposta del trànsit de redirecció s'estan augmentant. "Riu amunt" és un bon terme perquè és una mica anàloga a una sèrie de preses al llarg d'un riu. Durant una inundació, podeu protegir les cases aigües avall fent servir cada presa per capturar progressivament més aigua a cada llac creat per la presa i mesurar el cabal per evitar inundacions aigües avall. L’ample de banda i la diversitat de punts d’accés dels ISP aigües amunt proporcionen el mateix tipus de resiliència. També tenen protocols negociats a tota la comunitat d’internet per evitar el tràfic DDoS més a prop de les fonts que puguin activar.

Igual que ocorre amb altres activitats de resposta a incidents, la planificació, la preparació i la pràctica són fonamentals. No hi ha dos atacs exactament iguals, per tant, és imprescindible preveure opcions i circumstàncies que després planificar i practicar per a elles. Per als escenaris d’atac de IoT, que inclou l’exploració de la vostra xarxa per a dispositius vulnerables i prendre mesures correctives. També heu d’assegurar-vos que inhibiu l’exploració des de fora de la vostra xarxa per a dispositius IoT vulnerables. Per ajudar, implementar un control d'accés rigorós i enduriment del sistema operatiu, i desenvolupar procediments per a posar en pràctica diferents versions de codi, dispositius en xarxa i aplicacions.

Feu clic a la imatge per obtenir la infografia completa. Crèdit d'imatge: Twistlock

PCMag: Una altra pregunta que ens fan els lectors sobre la seguretat dels contenidors. Us preocupa els contenidors armats que puguin contenir sistemes d’atac complexos o creieu que l’arquitectura protegeix contra explotacions així?

BK: la seguretat amb qualsevol tecnologia recentment destacada és sempre una preocupació intensa: els contenidors no són únics en aquest aspecte. Però, com passa amb molts reptes de seguretat, hi ha reduccions. Si bé pot haver-hi un risc més gran, també creiem que hi ha estratègies de mitigació efectives dels riscos que podem controlar.

Un contenidor, essencialment, és un entorn operatiu virtualment altament transitori i lleuger. Les màquines virtuals són menys segures que els servidors físics separats? Ho són, en la majoria dels casos. Tanmateix, moltes empreses veuen els beneficis de costos de la virtualització (menys despesa, més fàcil de gestionar, poden reajustar les màquines fàcilment) i opten per aprofitar-los alhora que mitiguen tants riscos com puguin. Intel fins i tot es va adonar que podrien ajudar a mitigar alguns dels propis riscos i és d’on va venir Intel VT.

Els contenidors porten encara més l'estalvi de costos inicial i la flexibilitat de la virtualització. també són més arriscats, ja que hi ha una paret molt prima entre cada contenidor i el sistema operatiu amfitrió. No tinc coneixement de cap suport de maquinari per aïllar-los, de manera que el nucli manté tots els usuaris a la línia. Les empreses han de pesar els beneficis de cost i flexibilitat d'aquesta nova tecnologia juntament amb aquests riscos.

Els experts de Linux es preocupen perquè cada contenidor comparteix el nucli de l'amfitrió, cosa que fa que la superfície per a explotacions sigui molt més gran que les tecnologies de virtualització tradicionals, com KVM i Xen. Així doncs, hi ha potencial per a un nou atac en què un atacant tingui privilegis en un contenidor per accedir o afectar les condicions d'un altre contenidor.

Encara no tenim molt en compte els sensors de seguretat específics per a contenidors. Segons la meva opinió, aquesta àrea del mercat ha de madurar. A més, els contenidors no poden utilitzar les funcions de seguretat integrades en CPU (com Intel VT) que permeten executar codi en diferents anells segons el seu nivell de privilegi.

Al final, hi ha tones d'explotacions per a servidors físics, màquines virtuals i contenidors. Les de nous cultiven tot el temps. Fins i tot s’aprofiten màquines amb buit aeri. Els professionals de les TI haurien d’estar preocupats pels compromisos de seguretat a tots aquests nivells. Bona part de les defenses són iguals per a tots aquests tipus de desplegament, però cadascuna té les seves pròpies defenses de seguretat addicionals que cal aplicar.

El proveïdor d’allotjament ha d’utilitzar mòduls de seguretat de Linux (com SELinux o AppArmor) per aïllar contenidors i aquest sistema s’ha de controlar de prop. També és fonamental mantenir actualitzat el nucli amfitrió per evitar les explotacions d’escala de privilegis locals. L’aïllament de l’ID únic (UID) també ajuda ja que impedeix que un usuari arrel del contenidor es pugui arrelar a l’amfitrió.

PCMag: Una raó per la qual PCMag.com no ha executat una comparació a gran escala de proveïdors de serveis de seguretat gestionats (MSSP) és perquè a la indústria hi ha confusió sobre què significa exactament aquest terme i què pot oferir i hauria de proporcionar aquesta classe de proveïdors. Podeu desglossar el servei de seguretat gestionat de Rackspace? Què fa, en què es diferencien dels altres proveïdors i cap a on ho veuen per tal que els lectors tinguin una bona idea del que estan signant quan utilitzen aquest servei?

BK: Els MSSP han d’acceptar que la seguretat no ha funcionat i ajustar la seva estratègia i operacions per ser més efectives en el paisatge d’amenaça actual, que conté adversaris més sofisticats i persistents. A Rackspace, vam reconèixer aquest canvi d’amenaça i vam desenvolupar noves capacitats necessàries per mitigar-los. La seguretat gestionada per Rackspace és una operació avançada de detecció i resposta de 24/07/365. Està dissenyat no només per protegir les empreses dels atacs, sinó per minimitzar els impactes empresarials quan es produeixen atacs, fins i tot després que un entorn es piratei amb èxit.

Per aconseguir-ho, vam ajustar la nostra estratègia de tres maneres:

    Ens centrem en les dades, no en el perímetre. Per respondre eficaçment als atacs, l’objectiu ha de ser minimitzar l’impacte empresarial. Això requereix una comprensió completa del negoci de l’empresa i del context de les dades i sistemes que estem protegint. Només aleshores podrem entendre el que és normal, comprendre un atac i respondre de manera que minimitzi l’impacte sobre el negoci.

    Suposem que els atacants han entrat a la xarxa i utilitzem analistes altament qualificats per buscar-los. Un cop a la xarxa, els atacs són difícils d’identificar, ja que, a les eines de seguretat, els atacants avançats semblen administradors que desenvolupen funcions comercials normals. Els nostres analistes busquen activament patrons d’activitat als quals les eines no poden alertar; aquests patrons són les petjades que ens condueixen a l’atacant.

    Saber que estàs en atac no és suficient. És fonamental respondre als atacs quan es produeixen. El nostre Centre d’operacions de seguretat del client utilitza una cartera d’accions preaprovades per respondre als atacs tan aviat com els vegin. Es tracta bàsicament de llibres que hem provat i provat per fer front a atacs amb èxit. Els nostres clients veuen aquests llibres publicats i aproven els nostres analistes per executar-los durant el procés de bord. Com a resultat, els analistes deixen de ser observadors passius: poden apagar activament un atacant tan aviat com es detecti, i sovint abans que s’obtingui la persistència i abans que s’afecti el negoci. Aquesta capacitat de resposta als atacs és exclusiva de Rackspace, perquè també gestionem la infraestructura que protegim per als nostres clients.

    A més, trobem que el compliment és un subproducte de la seguretat ben feta. Tenim un equip que aprofita el rigor i les bones pràctiques que implementem com a part de l’operació de seguretat, evidenciant i informant sobre els requisits de compliment que ajudem als nostres clients a complir.

PCMag: Rackspace és un gran promotor, de fet un fundador acreditat d'OpenStack. Alguns dels nostres lectors de TI ens han preguntat si el desenvolupament de seguretat per a una plataforma tan oberta és realment més lent i menys efectiu que el d’un sistema tancat com Amazon Web Services (AWS) o Microsoft Azure a causa del dilema "massa cuiners" que es percep. molts grans projectes de codi obert. Com respon a això?

BK: amb el programari de codi obert, es troben "errors" a la comunitat oberta i corregits a la comunitat oberta. No hi ha manera d’amagar l’extensió o l’impacte del problema de seguretat. Amb el programari propietari, teniu la mercè del proveïdor de programari per solucionar les vulnerabilitats. Què passa si no fan res sobre una vulnerabilitat durant sis mesos? Què passa si es perden un informe d’un investigador? Veiem tots aquells "massa cuiners" als quals fas referència com un enorme habilitador de seguretat del programari. Centenars d’enginyers intel·ligents sovint miren cada part d’un paquet important de codi obert com OpenStack, cosa que dificulta que els defectes rellisquin per les esquerdes. La discussió del defecte i l'avaluació d'opcions per reparar-lo es produeixen al descobert. Els paquets de programari privat mai poden rebre aquesta mena d'anàlisi per nivell de codi de línia i les solucions no rebran una verificació tan oberta.

El programari de codi obert també permet mitigacions fora de la pila de programari. Per exemple, si apareix un problema de seguretat d'OpenStack, però el proveïdor de núvols no pot actualitzar o pegar la vulnerabilitat immediatament, es podrien fer altres canvis. La funció es pot desactivar temporalment o es podria evitar que els usuaris puguin utilitzar-la mitjançant fitxers de polítiques. L’atac es pot mitigar eficaçment fins que s’apliqui una correcció a llarg termini. El programari de codi tancat sovint no ho permet, ja que és difícil veure què cal pal·liar.

A més, les comunitats de codi obert difonen ràpidament el coneixement d’aquestes vulnerabilitats de seguretat. La pregunta de "Com podem evitar que això passi després?" es demana ràpidament i la deliberació es realitza col·laborativament i al descobert.

PCMag: Acabem amb la pregunta original d’aquesta entrevista: Esteu d’acord amb els analistes que el 2017 serà un “salt” en termes d’adopció de núvols empresarials, principalment o almenys parcialment a causa de l’acceptació empresarial de la seguretat del proveïdor de núvols?

BK: deixem un moment enrere per parlar dels diferents entorns del núvol. La majoria de les vostres preguntes apunten al mercat públic del núvol. Com he esmentat anteriorment, els investigadors de Forrester han notat la "tensió de mans desigual" entre els proveïdors de núvol i els consumidors, ja que els proveïdors de núvols ofereixen un conjunt de serveis, però els consumidors de núvols sovint suposen que reben molt més en termes de seguretat, còpia de seguretat, resiliència, etc. He defensat des de la seva incorporació a Rackspace que els proveïdors de núvols han de superar aquest cop de mà en ser més transparents amb els nostres consumidors. Enlloc, la tensió de mans és encara menys uniforme que en entorns de núvols públics.

Els entorns privats del núvol, però, i especialment els implementats per part del consumidor, no pateixen tantes il·lusions. Els consumidors tenen molt més clar què estan comprant i què els proporcionen els proveïdors. Tot i així, a mesura que els consumidors han augmentat les expectatives en el procés de compra i els proveïdors de núvols han intensificat els nostres jocs per oferir serveis i transparències més complets, les barreres emocionals i relacionades amb el risc per moure la càrrega de treball d’un centre de dades tradicional cap a un entorn de núvols públics cauen ràpidament..

Però no crec que això creï una impressió cap al núvol el 2017. La mudança de càrregues de treball i de centres de dades sencers comporta un canvi organitzatiu important i important. És molt diferent de l’actualització del maquinari en un centre de dades. Animo els vostres lectors a estudiar la transició de Netflix; van transformar els seus negocis passant al núvol, però els va costar set anys de treball. Per un primer, van tornar a tenir en compte i van reescriure la majoria de les seves aplicacions per fer-les més eficients i millor adaptar-se al núvol.

També veiem que molts consumidors adopten núvols privats als seus centres de dades utilitzant una arquitectura de núvols híbrids com a punt de partida. Sembla que s’està accelerant. Crec que la corba d’adopció podria veure’s un colze a l’altura del 2017, però es necessitaran uns quants anys perquè la crescuda realment es produeixi.

Perspectiva industrial: com evolucionarà la seguretat del núvol el 2017?