.

Η ασφάλεια στο cloud είναι πολύ σημαντική για να την αφήσουμε στους παρόχους cloud



Καθώς το cloud “αναπτύσσεται” για να συμπεριλάβει περισσότερες εταιρικές εφαρμογές, δεδομένα και διαδικασίες, υπάρχει η δυνατότητα για τους end-users να αναθέσουν σε τρίτους την ασφάλειά τους – ή και στους παρόχους.

Η ανάγκη να αναλάβουν τον έλεγχο της ασφάλειας και να μην αναθέσουν την τελική ευθύνη στους παρόχους cloud επικρατεί σε πολλές επιχειρήσεις, σύμφωνα με έρευνα του κλάδου. Η Cloud Security Alliance, η οποία δημοσίευσε την έρευνά της με 241 ειδικούς του κλάδου, εντόπισε ζητήματα ασφάλειας cloud “Egregious 11”.

Οι συντάκτες της έρευνας επισημαίνουν ότι πολλά από τα πιο πιεστικά ζητήματα του τρέχοντος έτους ρίχνουν το βάρος της ασφάλειας στις εταιρείες end user, αντί να βασίζονται σε παρόχους υπηρεσιών.

Αυτό ευθυγραμμίζεται με μια άλλη πρόσφατη έρευνα από το Forbes Insights και τη VMware, που διαπιστώνει ότι οι εταιρείες αντιστέκονται στον πειρασμό να παραδώσουν την ασφάλεια στους παρόχους cloud τους — μόνο το 31% των ηγετών αναφέρει ότι έχει παραδώσει πολλά μέτρα ασφαλείας σε παρόχους cloud. Ωστόσο, το 94% χρησιμοποιεί υπηρεσίες cloud για ορισμένες πτυχές της ασφάλειας.


Η τελευταία έκθεση CSA υπογραμμίζει τις κύριες ανησυχίες του τρέχοντος έτους:

1. Παραβιάσεις δεδομένων. «Τα δεδομένα γίνονται ο κύριος στόχος επιθέσεων στον κυβερνοχώρο», επισημαίνουν οι συντάκτες της έκθεσης. “Ο καθορισμός της επιχειρηματικής αξίας των δεδομένων και του αντίκτυπου της απώλειας τους είναι σημαντικός για τους οργανισμούς που κατέχουν ή επεξεργάζονται δεδομένα.” Επιπλέον, «η προστασία των δεδομένων εξελίσσεται σε ζήτημα του ποιος έχει πρόσβαση σε αυτά», προσθέτουν. “Οι τεχνικές κρυπτογράφησης μπορούν να βοηθήσουν στην προστασία των δεδομένων, αλλά επηρεάζουν αρνητικά την απόδοση του συστήματος ενώ καθιστούν τις εφαρμογές λιγότερο φιλικές προς το χρήστη.”

2. Λανθασμένο configuration και ανεπαρκής έλεγχος αλλαγών. «Οι πόροι που βασίζονται στο clοud είναι εξαιρετικά περίπλοκοι και δυναμικοί, γεγονός που καθιστά δύσκολη τη διαμόρφωσή τους. Οι παραδοσιακοί έλεγχοι και οι προσεγγίσεις διαχείρισης αλλαγών δεν είναι αποτελεσματικοί στο cloud.» Οι συγγραφείς δηλώνουν «οι εταιρείες θα πρέπει να αγκαλιάσουν την αυτοματοποίηση και να χρησιμοποιούν τεχνολογίες που σαρώνουν συνεχώς για λανθασμένους πόρους και επιλύουν προβλήματα σε πραγματικό χρόνο».

3. Έλλειψη αρχιτεκτονικής και στρατηγικής ασφάλειας cloud. “Βεβαιωθείτε ότι η αρχιτεκτονική ασφαλείας ευθυγραμμίζεται με τους επιχειρηματικούς στόχους. Αναπτύξτε και εφαρμόστε ένα πλαίσιο αρχιτεκτονικής ασφάλειας.”

4. Ανεπαρκής ταυτοποίηση, credentials, πρόσβαση και διαχείριση κλειδιών. “Ασφαλείς λογαριασμοί, συμπεριλαμβανομένου του ελέγχου ταυτότητας δύο παραγόντων και της περιορισμένης χρήσης των λογαριασμών root. Ασκήστε τους πιο αυστηρούς ελέγχους ταυτότητας και πρόσβασης για χρήστες και ταυτότητες clοud.”

5. Hijacking λογαριασμών. Αυτή είναι μια απειλή που πρέπει να ληφθεί σοβαρά υπόψη. “Οι έλεγχοι σε βάθος άμυνας και IAM είναι βασικοί για τον μετριασμό της παραβίασης λογαριασμού.”

6. Εσωτερική απειλή. Εκπαιδεύστε τους υπαλλήλους σας για να τους ενημερώσετε πώς να χειρίζονται τους κινδύνους ασφαλείας, όπως το phishing και πως να προστατεύσουν τα εταιρικά δεδομένα που μεταφέρουν εκτός της εταιρείας σε laptops και κινητές συσκευές.

7. Επισφαλή interfaces και APIs. “Η καλή πρακτική επίβλεψης των APIs περιλαμβάνει την επιμελή επίβλεψη ειδών όπως το απόθεμα, οι δοκιμές, ο έλεγχος και η προστασία από μη φυσιολογικές δραστηριότητες.” Επίσης, “εξετάστε το ενδεχόμενο να χρησιμοποιήσετε τυπικά και open API frameworks (π.χ. Open Clοud Computing Interface (OCCI) και Cloud Infrastructure Management Interface (CIMI)).”

8. Αδύναμο επίπεδο ελέγχου. “Ο πελάτης του cloud θα πρέπει να εκτελέσει τη δέουσα επιμέλεια και να προσδιορίσει εάν η υπηρεσία cloud που σκοπεύουν να χρησιμοποιήσουν διαθέτει επαρκές επίπεδο ελέγχου.”

9. Αστοχίες metastructure και applistructure. “Οι πάροχοι υπηρεσιών Cloud πρέπει να προσφέρουν visibility και να εκθέτουν mitigations για να εξουδετερώσουν την εγγενή έλλειψη διαφάνειας του cloud για τους tenants. Όλοι οι CSP θα πρέπει να διεξάγουν penetration testing και να παρέχουν ευρήματα στους πελάτες.”

10. Περιορισμένη ορατότητα χρήσης cloud. “Ο μετριασμός των κινδύνων ξεκινά με την ανάπτυξη μιας πλήρους προσπάθειας ορατότητας του clοud από πάνω προς τα κάτω. Εκπαιδεύστε όλη την εταιρεία σχετικά με τις αποδεκτές πολιτικές χρήσης του cloud και την επιβολή τους. Όλες οι μη εγκεκριμένες υπηρεσίες cloud πρέπει να ελέγχονται και να εγκρίνονται από τον cloud security architect ή τρίτο μέρος διαχείριση κινδύνου.”

11. Κατάχρηση και κακή χρήση υπηρεσιών cloud. “Οι επιχειρήσεις θα πρέπει να παρακολουθούν τους υπαλλήλους τους στο cloud, καθώς οι παραδοσιακοί μηχανισμοί δεν είναι σε θέση να μετριάσουν τους κινδύνους που ενέχει η χρήση υπηρεσιών cloud”.

Πηγή πληροφοριών: zdnet.com

Ετικέτες
[blogger]

Author Name

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.