فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (سبتمبر 2024)
تعد السنة المقبلة بنمو كبير لمقدمي الخدمات السحابية العامة وبائعي حلول البرمجيات كخدمة (SaaS). لأحدهما ، توفر التقنيات الجديدة على مستوى المؤسسة ، مثل نشر خدمات microservice و blockchain وغيرها ، طرقًا غير مستغلة للابتكار. ولكن ربما الأهم من ذلك ، يبدو أن أحد حاصرات اعتماد السحابة التي تبنتها CIO (وهي الأمن وسلامة البيانات) ينتقل أخيرًا إلى الخلفية ، لا سيما بالنسبة للمؤسسات والشركات متوسطة الحجم.
بينما يوافق المحللون على أن معظم الشركات اليوم - بما في ذلك قطاعات المؤسسات ومتوسطة الحجم - لديها بعض عمليات النشر السحابية بدرجات متفاوتة ، إلا أنهم يتفقون أيضًا على أن المؤسسات الأكبر كانت بطيئة في نقل أعباء العمل الرئيسية إلى الشبكة السحابية ، والسبب الرئيسي في ذلك هو أمن البيانات السحابية والبيانات سلامة. هذا أمر مهم لهؤلاء العملاء ، ليس فقط بسبب الحجم الهائل من البيانات التي سيتم ترحيلها هذه المؤسسات ، ولكن أيضًا لأن اجتياز الامتثال الصارم والفحوص التنظيمية ، مثل قانون قابلية قابلية التأمين الصحي والمساءلة (HIPAA) و ISO 27001 ، يعد أمرًا بالغ الأهمية بالنسبة لهما للقيام بأعمال تجارية. يعد الأمن من أهم أولويات هذه الأجهزة ، وحتى وقت قريب ، لم يكن الأمر ببساطة قويًا بما يكفي لتبني السحابة بطريقة واسعة النطاق.
لكن وفقًا لتوقعات المحللين لعام 2017 ، كل شيء على وشك التغيير. لقد قطعت السحابة الأمنية شوطًا طويلًا في النصف الأخير من العقد ، ويبدو أن العديد من محترفي تكنولوجيا المعلومات ومديري تقنية المعلومات يتفقون. هذا يعني أن المحللين يتوقعون أننا سنشهد زيادة أكبر بكثير في البنية التحتية والخدمات السحابية من قطاع المؤسسات في عام 2017.
لقد أجريت مقابلة عبر البريد الإلكتروني مع برايان كيلي ، كبير ضباط الأمن في موفر الخدمات السحابية المعروف الشهير Rackspace ، لمعرفة ما الذي يتغير حول الأمن السحابي في العام المقبل - ومعرفة ما إذا كان يتفق مع توقعات هؤلاء المحللين.
PCMag: بالضبط كيف ترى Rackspace دورها مقابل دور موظفي تكنولوجيا المعلومات لعملائها عندما يتعلق الأمر بسلامة البيانات وأمانها؟
براين كيلي (BK): نرى أدلة مباشرة على أن العملاء يأتون إلى السحابة بسبب الأمن بدلاً من الهرب منها. مع استثناءات قليلة ، لا تملك الشركات ببساطة الموارد والمهارات اللازمة للدفاع الفعال عن مؤسساتها من التهديدات الأكثر تطوراً واستمراراً. وبالمثل ، يدرك مقدمو الخدمات السحابية أن مستقبل أعمالنا يعتمد على توفير الثقة والثقة من خلال ممارسات أمنية فعالة. على الرغم من زيادة استثمارات مقدمي الخدمات السحابية في مجال الأمن ، فإن حماية الأصول التنظيمية ستظل دائمًا مسؤولية مشتركة. على الرغم من أن المزود السحابي مسؤول بشكل مباشر عن حماية المنشآت ومراكز البيانات والشبكات والبنية التحتية الافتراضية ، فإن المستهلكين يتحملون أيضًا مسؤولية حماية أنظمة التشغيل والتطبيقات والبيانات والوصول وبيانات الاعتماد.
صاغت فورستر مصطلح "المصافحة غير المتكافئة" في إشارة إلى هذه المسؤولية المشتركة. في بعض النواحي ، يعتقد المستهلكون أنهم يتحملون عبء حماية بياناتهم. ربما كان هذا صحيحًا منذ بضع سنوات ؛ ومع ذلك ، فإننا نشهد موازنة المصافحة. أي أن مزودي الخدمات السحابية يمكنهم وينبغي عليهم فعل المزيد للمستهلكين لمشاركة المسؤولية عن الأمان. يمكن أن يأخذ ذلك شكل توفير قدر أكبر من الوضوح والشفافية في أعباء العمل المستضافة ، أو توفير الوصول إلى طائرات التحكم أو تقديم خدمات الأمان المدارة. على الرغم من أن مسؤوليات الأمان الخاصة بالمستهلك لن تختفي أبدًا ، فسيستمر مقدمو الخدمات السحابية في تحمل المزيد من المسؤولية وتقديم عروض الأمان المدارة ذات القيمة المضافة لبناء الثقة اللازمة لكلا الجانبين للعمل بأمان في السحابة.
PCMag: هل لديك أي نصيحة لمتخصصي تكنولوجيا المعلومات والعملاء من الشركات حول ما يمكنهم القيام به بالإضافة إلى ما يقدمه الموفر للمساعدة في حماية البيانات المستندة إلى مجموعة النظراء الخاصة بهم؟
BK: يجب أن يستمروا في تطبيق أفضل ممارسات الأمان داخل جيوبهم. يحتاجون إلى تقسيم أعباء العمل في الجيب بشكل مسؤول للحد من نطاق التسويات ، وضمان أن بيئات عبء العمل (أنظمة التشغيل ، والحاويات ، والشبكات المحلية الظاهرية) محمية ومؤمنة بشكل صحيح ، وتستفيد من تقنيات الاستشعار والاستجابة لنقطة النهاية والشبكة (IDS / IPS واكتشاف البرامج الضارة واحتوائها ، وإدارة الحسابات والوصول إليها بفعالية. في كثير من الأحيان ، يمكن للعملاء إدراج هذه الخدمات والتقنيات في عقود الاستخدام السحابي الخاصة بهم ، ولكن إذا لم يكن الأمر كذلك ، يجب على المستهلك التأكد من حدوث ذلك من جانبهم.
PCMag: أحد الأسئلة الرئيسية التي رأيناها يسألها القراء حول الدفاع الفعال ضد هجمات حجب الخدمة الموزعة (DDoS) الضخمة المدعومة من إنترنت الأشياء (IoT) ، على غرار الحادث الذي وقع في أكتوبر الماضي حيث ساهم بائع صيني لإنترنت الأشياء عن غير قصد الهجوم. هل تعمل مثل هذه الهجمات مع مزودي خدمات الإنترنت في المرحلة الأولية؟ وكيف يحتفظون بهجوم على عميل واحد من إسقاط الجميع في المنشأة؟
BK: الهدف الرئيسي للدفاع DDoS هو الحفاظ على توافر عندما تتعرض للهجوم. قدرات هجوم DDoS لـ IoT معروفة ويمكن تخفيفها بنجاح من خلال تنفيذ أفضل ممارسات الأمان وباستخدام أنظمة تخفيف DDoS الذكية. التهديد الأكبر ليس طريقة الهجمات من إنترنت الأشياء ولكن العدد الهائل من الأجهزة الضعيفة التي تدعم الإنترنت. يجب قفل الشبكات للحد من التعرض للتهديدات على الإنترنت. يجب أن يكون مشغلو الشبكات استباقيًا في الكشف عن جميع التهديدات المحتملة ومعرفة أكثر الأساليب فعالية لتخفيفها ، مع الحفاظ على القدرة على تحليل وتصنيف حركة مرور الشبكة.
تتطلب إستراتيجية تخفيف DDoS القوية اتباع نهج دفاعي متعدد الطبقات. العدد الكبير من أجهزة إنترنت الأشياء يجعل هجمات إنترنت الأشياء المخففة صعبة على الشبكات الصغيرة. تتمثل فاعلية هجوم IoT في مرونته في إنشاء متجهات هجومية مختلفة وإنتاج حركة مرور DDoS كبيرة الحجم. حتى أكثر الشبكات صلابة يمكن أن تطغى بسرعة على حجم ضخم من حركة المرور التي يمكن أن يخلقها إنترنت الأشياء في أيدي مهاجم قادر. غالباً ما يكون مزودو خدمات الإنترنت الأولية مجهزين ومجهزين بشكل أفضل للتعامل مع هذه الهجمات واسعة النطاق التي من شأنها أن تشبع بسرعة روابط الشبكة الصغيرة. علاوة على ذلك ، فإن نطاق تشغيل الشبكة والأدوات اللازمة للتخفيف من هذه الهجمات يضع الكشف والاستجابة الفعالين بعيدًا عن متناول معظم المؤسسات. هناك حل أفضل هو الاستعانة بمصادر خارجية لمثل هذه العمليات لمقدمي خدمات الإنترنت في المرحلة الأولى من مزودي السحابة الذين يعملون بالفعل مع هذا النطاق من الشبكة.
مزودي خدمات الإنترنت في المنبع لديهم العديد من المزايا من خلال التنوع القوي لنقاط الوصول إلى الإنترنت والتي يمكنهم من خلالها تحويل حركة المرور. لديهم عمومًا أيضًا أنابيب بيانات كبيرة بما يكفي لاستيعاب الكثير من حركة مرور DDoS في البداية بينما أنشطة الاستجابة لإعادة توجيه حركة المرور تتجه نحو الأعلى. يعد مصطلح "المنبع" مصطلحًا جيدًا لأنه يشبه إلى حد ما سلسلة السدود على طول النهر. أثناء الفيضان ، يمكنك حماية المنازل في اتجاه مجرى النهر باستخدام كل سد لالتقاط تدريجي المزيد من المياه في كل بحيرة تم إنشاؤها بواسطة السد وقياس التدفق لمنع الفيضانات في مجرى النهر. يوفر النطاق الترددي وتنوع نقطة الوصول لمقدمي خدمات الإنترنت الأولية نفس النوع من المرونة. لديهم أيضًا بروتوكولات يتم التفاوض عليها عبر مجتمع الإنترنت لنقل حركة مرور DDoS بالقرب من المصادر التي يمكنهم تنشيطها.
كما هو الحال مع أنشطة الاستجابة للحوادث الأخرى ، يعد التخطيط والإعداد والممارسة ضروريين. لا يوجد هجومان متشابهان تمامًا ، لذلك ، فإن توقع الخيارات والظروف ، لذلك يعد التخطيط لها وممارستها أمرًا بالغ الأهمية. بالنسبة لسيناريوهات الهجوم على إنترنت الأشياء ، والتي تشمل فحص شبكتك بحثًا عن الأجهزة المعرضة للخطر واتخاذ الإجراءات التصحيحية. يجب أن تكون أيضًا على يقين من منع المسح الضوئي من خارج الشبكة بحثًا عن أجهزة إنترنت الأشياء المعرضة للخطر. للمساعدة ، قم بتطبيق صارم للتحكم في الوصول وتصلب نظام التشغيل ، وتطوير إجراءات لتصحيح إصدارات الرموز المختلفة والأجهزة المتصلة بالشبكة والتطبيقات.
انقر على الصورة ل infographic الكامل. الصورة الائتمان: Twistlock
PCMag: سؤال آخر يطرحه علينا القراء يتعلق بأمان الحاوية. هل تقلق بشأن الحاويات التي تحتوي على أسلحة والتي يمكن أن تحتوي على أنظمة هجوم معقدة أو هل تعتقد أن الهندسة المعمارية تحمي من استغلال مثل هذا؟
BK: الأمان مع أي تقنية تم التأكيد عليها حديثًا هو دائمًا مصدر قلق كبير - الحاويات ليست فريدة من نوعها في هذا الجانب. ولكن ، كما هو الحال مع العديد من التحديات الأمنية ، هناك مفاضلات. بينما قد يكون هناك خطر متزايد ، فإننا نعتقد أيضًا أن هناك استراتيجيات فعالة للتخفيف من المخاطر التي يمكننا السيطرة عليها.
تعد الحاوية ، بشكل أساسي ، بيئة نظام تشغيل عابرة للغاية وخفيفة الوزن. هل الأجهزة الافتراضية أقل أمانًا من الخوادم الفعلية المنفصلة؟ هم ، في معظم الحالات. ومع ذلك ، ترى العديد من الشركات فوائد التكلفة من المحاكاة الافتراضية (إنفاق أقل ، وأسهل إدارة ، ويمكن إعادة استخدام الآلات بسهولة) ويختارون الاستفادة منها مع التخفيف من أكبر عدد ممكن من المخاطر. لقد أدركت Intel أنها يمكن أن تساعد في التخفيف من بعض المخاطر بأنفسهم ، ومن أين جاءت Intel VT.
تأخذ الحاويات وفورات التكاليف الأولية ومرونة الافتراضية أكثر. كما أنها أكثر خطورة نظرًا لوجود جدار رقيق جدًا بين كل حاوية ونظام التشغيل المضيف. لست على دراية بأي دعم للأجهزة لعزلها ، لذا فإن الأمر متروك للنواة لإبقاء الجميع على اتصال. يتعين على الشركات أن تزن فوائد التكلفة والمرونة لهذه التكنولوجيا الجديدة إلى جانب هذه المخاطر.
يشعر خبراء Linux بالقلق لأن كل حاوية تشترك في نواة المضيف ، مما يجعل مساحة السطح تستغل أكبر بكثير من تقنيات المحاكاة الافتراضية التقليدية ، مثل KVM و Xen. لذلك ، هناك احتمال لهجوم جديد حيث يقوم المهاجم باختراق الامتيازات الموجودة في حاوية واحدة للوصول - أو التأثير على الظروف داخل - حاوية أخرى.
ليس لدينا الكثير بعد في طريق أجهزة استشعار الأمان الخاصة بالحاويات. في هذا المجال من السوق يجب أن تنضج ، في رأيي. بالإضافة إلى ذلك ، لا يمكن للحاويات استخدام ميزات الأمان المضمنة في وحدات المعالجة المركزية (مثل Intel VT) التي تسمح بتنفيذ التعليمات البرمجية في حلقات مختلفة وفقًا لمستوى الامتياز الخاص بها.
في النهاية ، هناك الكثير من عمليات استغلال الخوادم المادية والأجهزة الظاهرية والحاويات. جديدة تظهر في كل وقت. حتى الآلات الهوائية يتم استغلالها. يجب أن يقلق محترفي تكنولوجيا المعلومات من التنازلات الأمنية على كل هذه المستويات. الكثير من الدفاعات هي نفسها لجميع أنواع النشر هذه ولكن لكل منها دفاعاته الأمنية الإضافية التي يجب تطبيقها.
يجب أن يستخدم موفر الاستضافة Linux Security Modules (مثل SELinux أو AppArmor) لعزل الحاويات ويجب مراقبة ذلك النظام عن كثب. من المهم أيضًا الحفاظ على تحديث النواة المضيفة لتجنب استغلال تصعيد الامتيازات المحلية. يساعد عزل المعرف الفريد (UID) أيضًا لأنه يمنع مستخدم الجذر في الحاوية من أن يكون الجذر فعليًا على المضيف.
PCMag: أحد أسباب عدم قيام PCMag.com بإجراء مقارنة واسعة النطاق لموفري خدمات الأمن المدارة (MSSPs) هو وجود تشويش في الصناعة حول معنى هذا المصطلح بالضبط وما الذي يمكن وما يجب أن تقدمه هذه الفئة من الموفر. هل يمكنك تعطيل خدمة الأمان التي تديرها Rackspace؟ ما الذي يفعله ، وكيف يختلف ذلك عن مقدمي الخدمات الآخرين ، وعن المكان الذي تراه يحدث حتى يتمكن القراء من الحصول على فكرة جيدة عما يشتركون فيه عندما يستخدمون مثل هذه الخدمة؟
BK: يجب على أطباء بلا حدود أن يقبلوا أن الأمن لم ينجح وأن يعدل إستراتيجيتهم وعملياتهم ليكونوا أكثر فاعلية في مشهد التهديد الحالي - الذي يحتوي على خصوم أكثر تطوراً وثباتاً. في Rackspace ، أقرنا بتغيير التهديد هذا وقمنا بتطوير قدرات جديدة ضرورية للتخفيف منها. Rackspace Managed Security هي عملية متقدمة للكشف والاستجابة تعمل على مدار 24/7/365. تم تصميمه ليس فقط لحماية الشركات من الهجمات ولكن لتقليل تأثير الأعمال عند حدوث الهجمات ، حتى بعد اختراق بيئة بنجاح.
لتحقيق ذلك ، عدّلنا استراتيجيتنا بثلاث طرق:
نحن نركز على البيانات ، وليس على المحيط. للاستجابة الفعالة للهجمات ، يجب أن يكون الهدف هو تقليل تأثير العمل. يتطلب ذلك فهماً شاملاً لأعمال الشركة وسياق البيانات والأنظمة التي نحميها. عندها فقط يمكننا فهم الشكل الطبيعي وفهم الهجوم والرد بطريقة تقلل من التأثير على العمل.
نحن نفترض أن المهاجمين حصلوا على دخول إلى الشبكة ونستخدم محللين ذوي مهارات عالية للبحث عنهم. بمجرد الدخول على الشبكة ، يصعب على الأدوات تحديدها نظرًا لأن أدوات الأمان ، يبدو المهاجمون المتقدمون مثل المسؤولين الذين يقومون بوظائف الأعمال العادية. يبحث محللوننا بنشاط عن أنماط النشاط التي لا يمكن للأدوات التنبيه إليها - هذه الأنماط هي الآثار التي تقودنا إلى المهاجم.
مع العلم أنك تتعرض للهجوم لا يكفي. من الأهمية بمكان الرد على الهجمات عند حدوثها. يستخدم مركز عمليات حماية العملاء لدينا مجموعة من "الإجراءات التي تمت الموافقة عليها مسبقًا" للرد على الهجمات بمجرد رؤيتها. هذه عبارة عن كتب يتم تشغيلها بشكل أساسي وقد جربناها واختبرناها للتعامل بنجاح مع الهجمات عندما تحدث. يرى عملاؤنا كتب التشغيل هذه ويوافقوا على محلليها لتنفيذها أثناء عملية النقل. نتيجةً لذلك ، لم يعد المحللون مراقبين سلبيين - يمكنهم إيقاف المهاجمين بنشاط بمجرد اكتشافهم ، وغالبًا قبل تحقيق الثبات وقبل تأثر النشاط التجاري. تعد هذه القدرة على الرد على الهجمات فريدة بالنسبة لـ Rackspace لأننا ندير أيضًا البنية التحتية التي نحميها لعملائنا.
بالإضافة إلى ذلك ، نجد أن الامتثال هو نتيجة ثانوية للأمن بشكل جيد. لدينا فريق يستفيد من الدقة وأفضل الممارسات التي ننفذها كجزء من العملية الأمنية ، من خلال إثبات متطلبات الامتثال التي نساعد عملائنا على الإبلاغ عنها والإبلاغ عنها.
PCMag: Rackspace مؤيد كبير ، بل مؤسس معتمد لـ OpenStack. لقد تساءل بعض قارئي تكنولوجيا المعلومات لدينا عما إذا كان تطوير الأمان لمنصة مفتوحة أبطأ بالفعل وأقل فعالية من نظام مغلق مثل Amazon Web Services (AWS) أو Microsoft Azure بسبب معضلة "الكثير من الطهاة" المتصورة التي ابتليت بها العديد من المشاريع الكبيرة مفتوحة المصدر. كيف تردون على ذلك؟
BK: مع برنامج مفتوح المصدر ، تم العثور على "الأخطاء" في المجتمع المفتوح وثابتة في المجتمع المفتوح. لا توجد طريقة لإخفاء مدى أو تأثير مشكلة الأمان. مع البرامج الاحتكارية ، أنت تحت رحمة مزود البرنامج لإصلاح الثغرات الأمنية. ماذا لو لم يفعلوا شيئًا حيال الضعف لمدة ستة أشهر؟ ماذا لو فاتتهم تقرير من باحث؟ إننا نعتبر كل هؤلاء "عددًا كبيرًا من الطهاة" الذين تشير إليهم كأداة تمكين أمان برامج ضخمة. غالبًا ما ينظر مئات المهندسين الأذكياء إلى كل جزء من الحزمة الرئيسية مفتوحة المصدر مثل OpenStack ، مما يجعل من الصعب حقًا على العيوب التسلل عبر الشقوق. مناقشة الخلل وتقييم الخيارات لإصلاحه يحدث في العراء. لا يمكن أبدًا تلقي حزم البرامج الخاصة هذا النوع من تحليل مستوى الشفرة ولن تحصل الإصلاحات على مثل هذا الفحص المفتوح.
كما يسمح البرنامج مفتوح المصدر بالتخفيف خارج رصة البرنامج. على سبيل المثال ، في حالة ظهور مشكلة أمان في OpenStack ولكن لا يمكن لمزود السحابة ترقية أو تصحيح الثغرة الأمنية فورًا ، يمكن إجراء تغييرات أخرى. يمكن تعطيل الوظيفة مؤقتًا أو يمكن منع المستخدمين من استخدامها عبر ملفات السياسة. يمكن تخفيف الهجوم بشكل فعال حتى يتم تطبيق إصلاح طويل الأجل. غالبًا لا يسمح برنامج المصدر المفتوح بذلك لأنه من الصعب معرفة ما يجب تخفيفه.
كما تنشر المجتمعات مفتوحة المصدر المعرفة بمواطن الضعف الأمنية هذه بسرعة. سؤال "كيف نمنع حدوث ذلك لاحقًا؟" يحصل بسرعة ، ويتم إجراء المداولات بشكل تعاوني وعلني.
PCMag: دعنا ننتهي من السؤال الأصلي لهذه المقابلة: هل توافق على أن المحللين سيكون عام 2017 "عامًا" من حيث اعتماد السحابة للمؤسسات ، بشكل أساسي أو جزئي على الأقل بسبب قبول المؤسسة لأمن مزود السحابة؟
BK: دعنا نتراجع للحظة لمناقشة البيئات السحابية المختلفة. معظم سؤالك يشير إلى السوق السحابية العامة. كما ذكرت أعلاه ، لاحظ باحثو Forrester "المصافحة غير المتكافئة" بين مزودي الخدمات السحابية والمستهلكين من حيث أن مزودي الخدمات السحابية يقدمون مجموعة من الخدمات ، لكن مستهلكي السحابة غالباً ما يفترضون أنهم يتلقون المزيد من حيث الأمن والنسخ الاحتياطي والمرونة ، وما إلى ذلك ، لقد دافعت منذ انضمامي إلى Rackspace أن مزودي الخدمات السحابية يجب أن يتخطوا هذه المصافحة بأن يكونوا أكثر شفافية مع عملائنا. لا يوجد مكان أقل من المصافحة ، حتى اليوم ، من البيئات السحابية العامة.
ومع ذلك ، لا تعاني البيئات السحابية الخاصة ، وخاصة تلك المطبقة في المستهلك ، من هذه الأوهام. المستهلكون أكثر وضوحًا بشأن ما يشترونه وما الذي يقدمه لهم مقدمو الخدمة. ومع ذلك ، نظرًا لأن المستهلكين قد رفعوا توقعاتهم في عملية الشراء ، وصعد مزودو الخدمات السحابية من ألعابنا لتقديم المزيد من الخدمات والشفافية الكاملة ، فإن العوائق العاطفية والمتصلة بالمخاطر لنقل أعباء العمل من مركز البيانات التقليدي إلى بيئة السحابة العامة تتراجع بسرعة.
لكنني لا أعتقد أن هذا سيخلق تدافعًا نحو السحابة في عام 2017. نقل أعباء العمل ومراكز البيانات بأكملها يستلزم تخطيطًا وتغييرًا تنظيميًا كبيرًا. الأمر مختلف تمامًا عن ترقية الأجهزة في مركز البيانات. أشجع القراء على دراسة انتقال Netflix ؛ لقد حولوا أعمالهم بالانتقال إلى السحابة ، لكن الأمر استغرق منهم سبع سنوات من العمل الشاق. لأحدهم ، قاموا بإعادة تشكيل معظم تطبيقاتهم وإعادة كتابتها لجعلها أكثر كفاءة وتكييفًا أفضل للسحابة.
نرى أيضًا العديد من المستهلكين يعتمدون السحب الخاصة في مراكز البيانات الخاصة بهم باستخدام بنية سحابية مختلطة كنقطة انطلاق. يبدو أن هذه تتسارع. أعتقد أن منحنى التبني قد يشهد ارتفاعًا في عام 2017 ، لكن الأمر سيستغرق بضع سنوات حتى تتضخم حركة البناء فعلاً.
