Hoe hybride clouds te beveiligen: wat IT-professionals moeten weten

Het verschil tussen hybride cloud, public cloud en private cloud De grootste vraag in de onderneming van vandaag is vaak welk type cloud moet worden uitgevoerd: public, private of hybride. Het onderscheid kan echter onduidelijk zijn, dus laten we het definiëren.

Publieke en private organisaties hebben vastgesteld dat het verplaatsen van data- en softwareplatforms naar de cloud geen alles-of-niets-voorstel is. IT-afdelingen leren een mix van lokale private cloud- en public-cloudservices van derden uit te voeren. Door een hybride cloudplatform te creëren, kunnen workloads worden verplaatst tussen private en publieke clouds wanneer de computerbehoeften en kosten veranderen, waardoor bedrijven meer flexibiliteit en meer opties voor data-implementatie krijgen.

Must-read cloud

  • Cloud computing in 2020: voorspellingen over beveiliging, AI, Kubernetes, meer
  • De belangrijkste cloud-vooruitgang van het decennium
  • Top desktop as a service (DaaS) -providers: Amazon, Citrix, Microsoft, VMware en meer
  • Cloud computing-beleid (TechRepublic Premium)

Er zijn plussen en minnen aan hybride wolken. Het gemak en aanpassingsvermogen dat wordt geboden aan degenen die hybride cloudtechnologie gebruiken, brengt kosten met zich mee: beveiligingsteams moeten bedrijfsgegevens en in veel gevallen bedrijfseigen processen in meerdere omgevingen beschermen. Dave Shackleford, hoofdconsultant van Voodoo Security en een SANS-analist, besloot deze bezorgdheid weg te nemen in de SANS-whitepaper Beveiliging van de hybride cloud: traditionele versus nieuwe tools en strategieën.

"Naarmate meer organisaties een hybride cloudmodel gebruiken, moeten ze hun interne beveiligingscontroles en -processen aanpassen aan omgevingen van openbare cloudserviceproviders, " schrijft Shackleford. "Om te beginnen, moeten risicobeoordelings- en analysepraktijken worden bijgewerkt om de items in figuur 1 continu te beoordelen." Die items worden hieronder vermeld.

  • Beveiligingscontroles, mogelijkheden en nalevingsstatus van cloudproviders
  • Hulpmiddelen en platforms voor interne ontwikkeling en orkestratie
  • Operationeel beheer en monitoringtools
  • Beveiligingshulpprogramma's en besturingselementen zowel intern als in de cloud

De jury kijkt nog steeds wie uiteindelijk verantwoordelijk is voor de beveiliging in de cloud. Shackleford komt op voor de behoefte van cloudserviceproviders en hun klanten om de verantwoordelijkheid te delen. Wat de klant betreft, vindt Shackleford dat zijn beveiligingsteam moet beschikken over:

  • Een goed begrip van de beveiligingsmaatregelen die momenteel worden gebruikt; en
  • Een nog beter begrip van welke beveiligingsmaatregelen ze moeten aanpassen om succesvol te kunnen werken in een hybride cloudomgeving.

Over waarom, legt Shackleford uit: "Het is bijna gegarandeerd dat sommige beveiligingscontroles niet zullen werken zoals ze in eigen huis deden of niet beschikbaar zullen zijn in omgevingen met cloudserviceproviders."

Interne processen moeten IT-professionals controleren

Shackleford stelt voor om de volgende interne processen te onderzoeken.

Configuratiebeoordeling : Shackleford zegt dat de volgende configuraties vooral belangrijk zijn als het gaat om beveiliging:

  • Besturingssysteemversie en patchniveau
  • Lokale gebruikers en groepen
  • Machtigingen voor sleutelbestanden
  • Geharde netwerkservices die worden uitgevoerd

Kwetsbaarheidsscanning : Shackleford adviseert dat systemen continu moeten worden gescand, met melding van eventuele kwetsbaarheden tijdens de levenscyclus van de instantie. Wat betreft het scannen en beoordelen van eventuele bevindingen, merkt Shackleford op dat een van de volgende methoden meestal wordt gebruikt in hybride cloud-situaties.

  • Sommige leveranciers van traditionele kwetsbaarheidsscanners hebben hun producten aangepast om te werken binnen cloud-provideromgevingen, vaak afhankelijk van API's om handmatige verzoeken om opdringerige scans op een geplande of ad hoc basis uit te voeren te voorkomen.
  • Vertrouw op host-gebaseerde agenten die hun respectieve virtuele machines continu kunnen scannen.

Beveiligingsmonitoring : hybride cloudomgevingen bestaan ​​bijna altijd op gevirtualiseerde multitenant-servers, waardoor ze moeilijk per klant kunnen worden gecontroleerd op aanvallen. "Monitoring van virtuele infrastructuur gebeurt op een van de verschillende plaatsen: de VM / container, de virtuele switch, de hypervisor of het fysieke netwerk", schrijft Shackleford. "In bijna alle cloudomgevingen is de enige plaats waar we echt gebruik van kunnen maken de VM / container of softwaregedefinieerd netwerk aangeboden door de cloudprovider."

"Overwegingen bij het opzetten van monitoringtools zijn onder andere netwerkbandbreedte, speciale verbinding (en) en methoden voor gegevensaggregatie / analyse", vervolgt Shackleford. "Logboeken en gebeurtenissen gegenereerd door services, applicaties en besturingssystemen binnen cloudinstanties moeten automatisch worden verzameld en naar een centraal verzamelplatform worden verzonden."

Met betrekking tot geautomatiseerde logboekregistratie op afstand vindt Shackleford dat de meeste beveiligingsteams al kennis hebben van het verzamelen van de juiste logboeken, deze naar veilige centrale logservices of cloudgebaseerde platformen voor evenementbeheer sturen en deze nauwlettend volgen met behulp van SIEM en / of analysetools.

Volgens Shackleford is de lucht de limiet voor wat wordt bewaakt. Hij is van mening dat het volgende prioriteit moet krijgen:

  • Ongebruikelijke gebruikersaanmeldingen of aanmeldingsfouten
  • Import of export van grote gegevens van en naar de cloudomgeving
  • Bevoorrechte gebruikersactiviteiten
  • Wijzigingen in goedgekeurde systeemafbeeldingen
  • Toegang tot en wijzigingen in coderingssleutels
  • Wijzigingen in rechten en identiteitsconfiguraties
  • Wijzigingen in log- en monitoringconfiguraties
  • Cloudprovider en bedreigingsinformatie van derden

Silo's en puntoplossingen zijn een punt van zorg

We hebben onszelf allemaal in een hoek gestopt met een service of product. Om dezelfde reden adviseert Shackleford ten zeerste om opties voor één leverancier of cloud-native te vermijden die geen flexibiliteit bieden bij verschillende providers en omgevingen - koste wat het kost.

"Sommige leveranciersproducten werken alleen in specifieke omgevingen en de ingebouwde services van de meeste cloudproviders werken alleen op hun eigen platforms, " ​​legt hij uit. "Zo'n siloing kan leiden tot grote problemen wanneer bedrijven hun organisatie naar een multi-cloudstrategie moeten duwen, waardoor opnieuw moet worden gekeken naar beveiligingscontroles die aan de vereisten voldoen."

Shift-links beveiliging

Shackleford is een groot voorstander van shift-left beveiliging, een eenvoudig concept dat moeilijk te implementeren is; het idee is om beveiligingsoverwegingen dichter bij de ontwikkelingsfase van het product te brengen. "Met andere woorden, beveiliging is echt ingebed in ontwikkelings- en operationele werkwijzen en infrastructuur (een praktijk die soms SecDevOps of DevSecOps wordt genoemd)", schrijft Shackleford. "Beveiliging en DevOps-teams moeten IT-organisatiestandaarden definiëren en publiceren voor een aantal gebieden, waaronder toepassingsbibliotheken en OS-configuraties die zijn goedgekeurd voor gebruik."

Een laatste waarschuwing

Naast de normale due diligence, stelt Shackleford voor een basislijn te vormen door een grondige beoordeling van alle bestaande controles en processen te voltooien voordat gegevens en of processen naar de openbare cloud worden verplaatst. "Dit geeft hen de mogelijkheid om de betrokken gegevens adequaat te beschermen en te zoeken naar gelijkwaardige beveiligingsmogelijkheden in openbare cloudomgevingen", adviseert Shackleford. "Zoek naar tools die u kunnen helpen zowel interne als cloud-assets op één plek te beheren, omdat beveiligingsteams en operationele teams meestal te dun zijn om meerdere management- en monitoringtools te beheren in een of meer cloudprovideromgevingen."

Cybersecurity Insider Nieuwsbrief

Versterk de IT-beveiliging van uw organisatie door op de hoogte te blijven van het laatste nieuws, oplossingen en best practices voor cybersecurity. Bezorgd op dinsdag en donderdag

Schrijf je vandaag in

© Copyright 2020 | mobilegn.com