Podobnie jak w przypadku większości przedsięwzięć, włączenie zabezpieczeń do procesu na jak najwcześniejszym etapie jest niezbędne podczas tworzenia technologii lub migracji do niej. takie jak chmura. Niezależnie od tego, czy rozpoczynasz podróż związaną z migracją kluczowych usług do chmury, czy uruchamiasz wiecznie zielony projekt natywny dla chmury, najważniejsze znaczenie ma zaangażowanie specjalistów ds. bezpieczeństwa z głębokim zrozumieniem modelu bezpieczeństwa w chmurze. Gwarantuje to pomyślne wdrożenie bezpiecznego i solidnego systemu.
Model wspólnej odpowiedzialności
Jeśli jesteś na początku tego procesu, jako lider technologii, rozumiesz chmurę model wspólnej odpowiedzialności jest kluczowa. Istnieją elementy każdej usługi oferowane przez różnych dostawców usług w chmurze (CSP), za które odpowiadają ich monitorowanie, ochrona i ochrona, takie jak infrastruktura fizyczna i kontrola dostępu w centrach danych, niezawodne kopie zapasowe zasilania i tym podobne. Wszystkie elementy, których zwykle oczekuje się od centrum danych, zapewniają dostawcy CSP, a ponadto niektóre z nich są naprawdę dobrze dostrojone ze względu na działanie na naprawdę masową skalę.
Odsuń się od metalu
Wyzwanie polega na szczegółach wymaganych do podejmowania świadomych decyzji dotyczących usług, z których skorzystać, biorąc pod uwagę takie czynniki, jak cena, bezpieczeństwo oraz długoterminowe koszty ogólne i utrzymanie. W rozmowach z firmami znajdującymi się na tej drodze zalecam odejście od gołego metalu, o ile to możliwe, jak najdalej. Wiąże się to z wykorzystaniem wysoce zwirtualizowanych i skonteneryzowanych usług, takich jak Fargate i Lambda AWS, Cloud Run i Cloud Functions firmy Google lub Azure Containers i Azure Functions firmy Microsoft.
Należy wziąć pod uwagę fakt, iż te usługi zarządzane są, cóż, zarządzane, dlatego trzeba za nie płacić wyższą składkę niż w przypadku bardziej podstawowych ofert. Warto to dokładnie sprawdzić, biorąc pod uwagę liczbę pracowników, których będziesz musiał zatrudnić i zarządzać tym samym poziomem we własnym zakresie.
Oprócz tego będziesz chciał zainwestować w potok kodu dzięki Ciągła integracja I Ciągłe wdrażanie (CI/CD), który umożliwia szybkie uruchamianie wdrożeń, które przechodzą szereg zautomatyzowanych testów przed zatwierdzeniem do przekazania do środowiska produkcyjnego. Kluczem są dobrze zdefiniowane procesy, które egzekwują standardy usług, bezpieczeństwa i jakości kodu oraz dają powtarzalne wyniki.
W wielu przypadkach te usługi zarządzane (takie jak Lamdas i systemy kontenerowe) oznaczają, iż dostawca usług internetowych jest odpowiedzialny za pewne środki monitorowania i zarządzania bezpieczeństwem tych narzędzi, więc zamiast Ty i Twój zespół musicie poświęcać zasoby na bycie na bieżąco wraz ze wszystkimi poprawkami wymaganymi dla systemu operacyjnego Linux, Twój dostawca usług w chmurze zarządza tym za Ciebie. Uwaga: usługi w chmurze zmieniają się regularnie, dlatego przed przystąpieniem do korzystania z nich należy upewnić się, iż każda usługa, z której korzystasz, obejmuje automatyczne instalowanie poprawek i wersjonowanie.
Pomysł jest taki, iż AWS, Google i Azure często lepiej radzą sobie z niektórymi z tych praktyk zarządzania bezpieczeństwem i aktualizowaniem danych niż większość organizacji. Istnieje kilka godnych uwagi wyjątków; w szczególności warto zauważyć, iż Microsoft miał bardzo zły rok pod względem bezpieczeństwa swoich produktów. jeżeli go nie czytałeś, zapoznaj się z raportem Komisji Przeglądu Bezpieczeństwa Cybernetycznego (CSRB) rządu USA na temat naruszeń Microsoftu z zeszłego roku. To dość otrzeźwiająca ocena niektórych katastrofalnych błędów w zakresie bezpieczeństwa wewnątrz firmy.
Oceny dojrzałości i widoczność zarządu
Jeśli intensywnie inwestujesz w środowiska chmurowe, niezwykle ważne jest przeprowadzenie oceny ryzyka bezpieczeństwa infrastruktury chmurowej. Skoncentruj się na kluczowych obszarach:
- Zarządzanie tożsamością i dostępem: przeglądaj i zabezpieczaj uprzywilejowany dostęp do maszyn i konta root dzięki uwierzytelniania opartego na kluczu kryptograficznym dla maszyn i sprzętowej usługi MFA FIDO2 dla użytkowników, zwłaszcza uprzywilejowanych.
- Maszyny wirtualne i punkty końcowe: upewnij się, iż procesy instalowania poprawek obejmują wszystko Znane luki w zabezpieczeniach CISA w zalecanych ramach czasowych. Mierz czas potrzebny na wprowadzenie poprawek i śledź go jako miernik biznesowy dla kadry kierowniczej.
- Stan zabezpieczeń dostępu do Internetu: Upewnij się, iż reguły zapory sieciowej są domyślnie odrzucane dla większości połączeń przychodzących i wychodzących.
- Rejestrowanie: Włącz rejestrowanie wszędzie i zlecaj zespołowi regularne przeglądanie dzienników.
- Kopia zapasowa i przywracanie: Wdrożyj solidny proces tworzenia kopii zapasowych i przywracania, najlepiej z kopiami zapasowymi niezależnymi od podstawowych kont w chmurze, aby chronić przed katastrofalnymi włamaniami do konta.
Po ustaleniu poziomu bazowego dla tych kluczowych obszarów ryzyka i dojrzałości zacznij zastanawiać się nad zakupem usług lub budowaniem możliwości ich monitorowania, z przejrzystością i raportowaniem na najwyższych poziomach w organizacji. Jest to niezwykle bezcenny krok, który gwarantuje, iż zrozumienie zagrożeń bezpieczeństwa cybernetycznego związanych z IT i chmurą nie będzie ograniczone tylko do zespołu technicznego, ale także zarządu.
Elliott Wilkes jest dyrektorem technicznym w firmie Zaawansowane systemy cyberobrony. Wilkes, doświadczony lider transformacji cyfrowej i menedżer produktu, ma ponad dziesięcioletnie doświadczenie w pracy zarówno z rządami amerykańskimi, jak i brytyjskimi, ostatnio jako konsultant ds. bezpieczeństwa cybernetycznego w służbie cywilnej.
