IaaS en Cloud Native Breaches: waarom bedrijven risico lopen

Stop met het negeren van beveiligingsrisico's van hybride cloud Karen Roby praat met een beveiligingsexpert over het beschermen van de onderneming in een hybride IT-wereld.

Must-read cloud

  • Cloud computing in 2020: voorspellingen over beveiliging, AI, Kubernetes, meer
  • De belangrijkste cloud-vooruitgang van het decennium
  • Top desktop as a service (DaaS) -providers: Amazon, Citrix, Microsoft, VMware en meer
  • Cloud computing-beleid (TechRepublic Premium)

Infrastructure-as-a-Service (IaaS) loopt een groot risico voor Cloud-Native Breaches, waarbij 99% van de misconfiguratie-incidenten in openbare cloudomgevingen onopgemerkt blijven, volgens een vandaag vrijgegeven McAfee-rapport.

IaaS is het snelst groeiende gebied van de cloud als een nieuwe standaard IT-omgeving voor interne en externe applicaties. Maar in de haast om IaaS te adopteren, hebben veel bedrijven de behoefte aan beveiliging over het hoofd gezien, ervan uitgaande dat de cloudprovider hiermee omging.

Als gevolg hiervan zijn er talloze Cloud-Native Breaches (CNB) geweest, die een opportunistische aanval zijn op gegevens die zijn opengelaten door fouten in de configuratie van de cloudomgeving of verkeerde configuraties.

De populairste IaaS-providers zijn grote bedrijven, waaronder Amazon, Microsoft, Alibaba, Google en IBM. De haast om deze groeiende technologie over te nemen, laat beveiliging achteraf achter. 99% van de cloudconfiguraties worden niet opgemerkt door bedrijven, McAfee's Cloud Native: The Infrastructure-as-a-service (IaaS) Adoption and Risk report gevonden.

Cloudproviders 2019: een kopersgids (gratis PDF) (TechRepublic)

IaaS is een cloud computing-model dat door bedrijven kan worden gehuurd in de vorm van opslag, netwerken en fysieke of virtuele servers, zoals gerapporteerd in ZDNet's Wat is cloud computing? Alles wat u moet weten over de cloud, uitgelegd. Deze systemen zijn waardevol voor bedrijven die zelf toepassingen willen ontwikkelen en alle aspecten van hun gegevens willen beheren.

Het rapport, dat dinsdag werd gepubliceerd, ondervroeg wereldwijd 1000 ondernemingen om de grootste IaaS-beveiligingsproblemen te bepalen. Verkeerde configuraties van de cloud domineerden het dreigingslandschap, waardoor miljoenen consumentenrecords en intellectueel eigendom kwetsbaar werden voor diefstal.

"Onjuiste configuratie van de cloud is een van de meest te voorkomen, maar veel voorkomende beveiligingsproblemen waarmee klanten in de cloud te maken hebben", zegt Sekhar Sarukkai, vice-president engineering voor cloudbeveiliging bij McAfee. "Cloud misconfiguration verwijst naar een fout in de manier waarop de cloudservice is geconfigureerd, wat risico's inhoudt voor de organisatie en hun gegevens. Cloudinfrastructuur, of IaaS, is het meest configureerbaar, wat een hoger risico op verkeerde configuratie met zich meebrengt dan SaaS."

Slechts 1% van de misconfiguraties van IaaS is bekend, volgens het rapport. Hoewel bedrijven denken dat ze gemiddeld 37 verkeerde configuraties per maand hebben, ervaren ze echt 3.500. Zelfs nadat de problemen bekend zijn gemaakt, blijft ongeveer 27% onopgelost en een kwart van de respondenten zei dat het meer dan een dag kost om de problemen op te lossen.

Cloud-native inbreuken inbreuken komen niet naar boven zoals een normale malware-gebaseerde aanval, zei Sarukkai. In plaats daarvan identificeerde het rapport een cloud-native inbreuk als "een reeks acties van een tegenstander waarin ze hun aanval 'Landen' door fouten of kwetsbaarheden in een cloud-implementatie te exploiteren zonder malware te gebruiken, hun toegang 'uit te breiden' via zwak geconfigureerde of beveiligde interfaces om waardevolle gegevens te lokaliseren en die gegevens naar hun eigen opslaglocatie te 'exfiltreren'. "

Afbeelding: McAfee

Waarom behandelen bedrijven deze inbreuken niet?

Er is een grote communicatiekloof in de onderneming, wat leidde tot deze herhaalde inbreuken, zo bleek uit het rapport. Terwijl 90% van de bedrijven zei dat ze enkele beveiligingsproblemen met IaaS hadden ondervonden, dacht ongeveer 12% van de IT-besluitvormers - degenen die het dichtst bij de IaaS-omgeving stonden - dat ze nog nooit een probleem hadden ondervonden, en 6% van de CXO's beweerde ook geen probleem te hebben .

"Verbinding tussen beoefenaar en leiderschap leidt tot valse veiligheidsgevoel van de beoefenaar, " zei Sarukkai. "Deze loskoppeling leidt ertoe dat senior leiderschap zelfgenoegzaam wordt en een suboptimale prioriteitsbeslissing neemt. Deze zelfingenomenheid komt tot uiting in onze bevinding dat slechts 26% van de bedrijven momenteel kan controleren op IaaS-misconfiguraties met hun bestaande beveiligingshulpmiddelen."

De snelheid van IaaS-acceptatie is de belangrijkste oorzaak voor beoefenaars die het niet bijbenen, zo bleek uit het rapport. Infrastructuren veranderen snel in de cloud, waardoor er ruimte is voor meer fouten doordat code wordt vrijgegeven bij continue integratie en continue bezorgmethoden (CI / CD).

"Bovendien zijn de meeste organisaties multicloud, wat betekent dat ze meerdere cloudserviceproviders gebruiken voor infrastructuur, waardoor het moeilijker wordt om configuraties op meerdere platforms te controleren, " zei Sarukkai.

IaaS: The New Shadow IT

IT-teams kunnen geen dingen beveiligen waar ze niets van weten. Het begin van cloudacceptatie begon met door werknemers verworven apps voor samenwerking en het delen van bestanden, waarvan IT nooit op de hoogte was, in het rapport de term Shadow IT genoemd.

Met de toename van software-as-a-service (SaaS) konden IT-teams de meest nuttige applicaties voor bedrijven inhalen en aanbevelen. Een vergelijkbare trend dook op met infrastructuuroppervlakken, vooral bij grote providers zoals Amazon Web Services en Microsoft Azure. Elke provider heeft speciale services die businesscases ondersteunen voor het ontwikkelen van een multicloud-omgeving, waarbij meerdere IaaS-providers worden gebruikt. Momenteel worden veel applicaties in de cloud gebouwd, die naar de cloud gaan, maar multicloud maakt het voor bedrijven moeilijk om controle en zichtbaarheid van al hun IaaS-architecturen te behouden.

Beveiligingsmaatregelen die bedrijven moeten nemen

Om bedrijven te helpen hun IaaS-structuren beter te beschermen, identificeerde Sarukkai de volgende drie beveiligingsstrategieën:

1. Bouw IaaS-configuratiecontrole in uw CI / CD-proces in

Bedrijven moeten deze stap vroeg uitvoeren, misschien bij het inchecken van de code, om het aantal misconfiguraties dat tot stand komt te verminderen. IT-managers moeten op zoek gaan naar beveiligingshulpmiddelen die gemakkelijk werken met Jenkins, Kubernetes en meer om het audit- en correctieproces effectief te automatiseren.

2. Evalueer uw IaaS-beveiligingspraktijk met behulp van een framework zoals Land-Expand-Exfiltrate

Door uw praktijken te vergelijken met de hele aanvalsketen, hebben bedrijven een betere kans om een ​​inbreuk te stoppen voordat deze uit de hand loopt.

3. Investeer in cloud-native beveiligingstools en training voor beveiligingsteams

Enkele waardevolle beveiligingshulpmiddelen zijn Cloud Access Security Brokers (CASB's), Cloud Security Posture Management (CSPM) en Cloud Workload Protection Platforms (CWPP). Alle drie zijn gemaakt om te werken binnen DevOps- en CI / CD-processen, zonder een kopie te zijn van lokale datacenterbeveiliging.

De Public Cloud-markt van Infrastructure-as-a-Service (IaaS) groeide in 2018 met 31, 3% en werd de IT-omgeving voor het hosten van interne en klantgerichte applicaties in een organisatie, volgens Gartner's Market Share Analysis: IaaS en IUS, Wereldwijd, 2018 rapport.

Bekijk voor meer informatie Cloudbeveiliging is te belangrijk om aan cloudproviders op onze zustersite ZDNet over te laten.

Cloud en Everything as a Service-nieuwsbrief

Dit is uw favoriete bron voor het laatste nieuws over AWS, Microsoft Azure, Google Cloud Platform, XaaS, cloudbeveiliging en nog veel meer. Maandagen bezorgd

Schrijf je vandaag in

Zie ook

  • Multicloud: Een spiekbriefje (TechRepublic)
  • Hybride cloud: een gids voor IT-professionals (download van TechRepublic)
  • Serverloos computergebruik: een gids voor IT-leiders (TechRepublic Premium)
  • Top cloudproviders 2019: AWS, Microsoft, Azure, Google Cloud; IBM zet hybride in beweging; Salesforce domineert SaaS (ZDNet)
  • Beste cloudservices voor kleine bedrijven (CNET)
  • Microsoft Office versus Google Docs Suite versus LibreOffice (Download.com)
  • Cloud computing: meer dekking die u moet lezen (TechRepublic op Flipboard)
Afbeelding: artisteer, Getty Images / iStockphoto

© Copyright 2020 | mobilegn.com