„Счупен“ ли е клаудът? Проблеми със сигурността му може да забавят растежа.

Скорошни прогнози от Gartner показват, че публичният клауд ще привлича над половината от глобалните корпоративни ИТ инвестиции до 2025 г. Gartner казва още, че идва „преминаване към клауда“ и всички корпоративни ИТ сфери, които могат да бъдат в клауда, ще направят този преход.

Но има и проблем. Отделен доклад на Confluera казва, че 66% от IT професионалистите посочват преминаването към клауда за тяхното най-голямо предизвикателство за сигурността в работата им. Това означава, че има много предизвикателства за сигурността, които са свързани с клауда и може да попречат на неговия растеж. Освен това 63% казват, че киберзаплахите са основното препятствие в стратегиите им за преминаване към клауда.

Чакайте малко… нали клаудът трябваше да бъде по-сигурен? Ами, такъв е. Това не означава, че си няма своите проблеми. Сега именно мащабът и сериозността на тези проблеми е гореща тема. За някои няма нищо сериозно. За други обаче проблемите може би са много тежки.

„Счупено“ ли е наистина всичко в клауда?

Наскоро директорът на отдела Thought Leadership в Sysdig Анна Белак направи доста поляризираща публикация. В DarkReading тя написа статия, в която пита: „Ако клаудът е по-сигурен, тогава защо всичко все още е счупено?“

Белак казва, че 75% от работещите контейнери в клауда имат сериозни или критични уязвимости. За повечето от тях вече има налични кръпки, но те не са инсталирани. Това е проблем, който тормози ИТ света от десетилетия – админите да не „администраторстват“ и оставят множество непоправени уязвимости. Клаудът трябваше да реши този проблем и в известна степен го прави. Но все още има много „внос на лоши навици в клауда“, казва Белак.

Тя твърди, че една от причините за това са погрешните очаквания. Компаниите мигрират към клауда, като очакват, че там всичко ще се оправя самостоятелно. Все пак автоматизацията, лесната и почти нулева поддръжка и по-високото ниво на сигурност винаги са били ключовите аргументи на клауда, нали? В действителност компаниите все пак имат доста работа, която трябва да извършват, когато става дума за поддръжка на клауда. Често те пренебрегват този факт.

„Миграцията към клауда не модернизира работните процеси ли задачите с магическа пръчка и няма изключение и за сигурността. Всъщност, сигурността често е последното нещо, на което искаме да обърнем внимание, защото тя обикновено забавя всичко останало“.

Анна Белак, директор на отдела Thought Leadership в Sysdig

Данните на Sysdig показват, че 48% от организациите например не използват мултифакторна автентикация дори на руут акаунта си. А 27% използват този, най-важен акаунт, дори за обикновени и регулярни административни задачи, с което допълнително увеличават риска за сигурността си. Тъжната реалност е, че това няма нищо общо с клауда. Зависи изцяло от потребителите да използват тези функции. Още по-тъжно, когато има пробив или друг инцидент, мнозина ще обвинят клауда, че „не е достатъчно сигурен“, когато много често зависи най-вече от начина, по който е използван.

Всичко зависи от подхода

Балек отбелязва, че трансформацията е сложен процес и отнема време. Най-добре е да се прави на фази. Например 48% от системните изображения биват сканирани за уязвимости преди да бъдат пуснати за употреба. Обаче 52% се сканират след този факт, което създава забавяне в откриването на уязвимостите и дава допълнителни възможности на хакерите.

Има две основни причини защо това се случва. Едната е, че много организации все още пренебрегват сигурността и ѝ обръщат внимание на по-късен етап в процеса на разработка. Вместо това трябва да преминат към процес, в който сигурността е в основния процес на разработката. Да, това ще добави потенциални забавяния в цялостното завършване на проекта, но също така ще даде и много по-добър и сигурен краен продукт, което ще бъде от дългосрочна полза за всички.

Другата причина е, че много от клауд компонентите всъщност са код на трети лица. Например, Kubnernetes, уеб сървърите и т.н. Това са елементи, за които организациите смятат, че вече са проверени и най-често се използват на по-късна фаза. Затова всякакви потенциални проблеми с тях остават по-дълго време и дори може да останат незабелязани. Тук е и добрата стара мисъл тип „това не е моята работа“. Ако третото лице не си е свършило работата с компонента си, проблемите ще са на неговата глава, така че защо да се занимаваме? Защото и нашият бизнес ще страда доста, ако има пробив.

Също така често има и друга мисъл: „не може да се гарантира пълна защита и не може да се поправят всички уязвимости“. Да, но със сигурност може да се намали бройката им. Ако приемем, че 75% от контейнерите в момента работят със сериозни уязвимости и намалим този дял до 45% това пак ще е много, но ще е значително по-добре отколкото е било.

Също така трябва да имаме предвид, че клаудът ще продължи да расте. Той няма да ходи никъде и ще се развива бързо. Така че, ако и в момента има милиарди контейнери, които работят ежедневно, да си представим каква ще е ситуацията след пет години. Именно затова сканирането за уязвимости, засичането им, превенцията и документирането им ще бъде критично и трябва да стане регулярен процес, който е и автоматизиран в немалка степен. Със сигурност е и управляем процес.

Дали наистина е управляем?

Връщайки се към проучването на Confluera, 97% от ИТ професионалистите в сферата на сигурността казват, че тяхната клауд стратегия включва разширяване на клауд средите. Това означава, че те мислят не само за по-голям мащаб, но и да използват няколко клауд платформи. Така мултиклауд подходът се превръща в сериозна тенденция сред организациите.

Както видяхме по-рано, 63% от ИТ професионалистите казват, че кибератаките са топ предизвикателството пред приемането на клауда. Когато става въпрос за приемане на мултиклауд, тогава 69% от анкетираните отбелязват, че има нужда от консистентна сигурност сред всички клауд платформи. Накратко, те искат да имат начин по-лесно да се справят с всички проблеми със сигурността и съответните функции сред всички мултиклауд платформите, които може да използват.

В момента много организации се притесняват от всички рискове, фалшиви сигнали и други проблеми, с които трябва да се справят ежедневно. Това създава „умора от тревога“, което пък увеличава риска от пренебрегването на реални проблеми. Въпреки това организациите искат да ускорят преминаването си към клауда и това включва мултиклауда. Става видимо, че ще им трябва и допълнителна помощ. Това може да е във формата на по-добра взаимосъвместимост между клауд платформите и/или нови услуги, които подобряват цялостната сигурност на клауда. Със сигурност се оформят интересни възможности за бизнеса.

Не трябва да чакате

Казвайки всичко това, не трябва да чакате да се появи такава услуга, за да започнете да подобрявате клауд сигурността си. Има няколко неща, които може да направите веднага, казва Дейвид Пузас, ръководител на продуктовия маркетинг за клауд сигурността в CrowdStrike. В коментар за DARKReading той отбелязва, че „традиционните инструменти за сигурност се провалят и не са в крак с новите начини на работа“.

Една от причините е, че те са много фокусирани върху конкретни задачи в дадена среда. Когато обаче имаме преход към мултиклауд, тези ефективността на тези инструменти ще пострада. Като добавим и споменатото по-горе увеличаване на уязвимостите в действащи апликации и клауд елементи, не можем да виним традиционните инструменти, че не се справят с всичко. Всъщност те все още вършат изненадващо добра работа, като се има предвид цялостната картина.

В момента защитата на системи на собствен терен изглежда като по-лесна опция, особено защото има толкова много налични инструменти за целта. Повечето от тези инструменти обаче не могат да се скалират качествено в мултиклауд среда, отбелязва Пузас. Вместо това фокусът се пренасочи към „кръпковидни“ решения. И докато децентрализацията като цяло е възприемана като хубаво нещо в ИТ света, когато става дума за сигурността, това не винаги е точно така.

Не се плашете! Организациите все пак имат опции, казва Пузас. Той посочва за пример приемането на подход, който е фокусиран върху противника. Основната цел при него е организацията да следи развитието на тенденциите и инструментите, които хакерите използват в мултиклауд и хибридни среди. Когато организциите следват тези развития, за тях ще е по-лесно да защитят клауд средата си по-добре и да бъдат проактивни.

Пузас отбелязва, че този подход има три основни зони на действие, в които организациите могат да положат допълнителни усилия. Първата от тях е видимостта. Това означава организациите да отделят време и усилия, за да открият колко и какви клауд активи имат и къде се намират. Това ще позволи на екипите за киберсигурност да открият нови среди, да са нащрек за потенциални уязвимости на по-малко очаквани места и т.н. Екипите също така ще могат да дават по-добри анализи за уязвимостта на системите и ще откриват потенциални рискове, слаби звена и дори ненужни клауд ресурси и активи, които могат да бъдат премахнати или оптимизирани. Резултат от всичко това ще е по-добра цялостна сигурност и производителност на клауд средата на дадената организация.

Следващата е основна клауд хигиена. Това е продължение на вектора за видимостта. Тук трябва задачите да се разпределят по-добре. Говорете с доставчика на клауд услуги, за да разберете каква част от сигурността се поема от тях, с какво друго могат да ви помогнат и какво трябва да направите сами. Като знаете кой какви задачи има, ще може да работите много по-добре. Също така управлявайте достъпа. Направете конкретни профили с разрешения за специфични задачи. Да, много по-лесно е просто всичко да се прави от основния руут акаунт, но си представете рисковете, ако той бъде компрометиран. Много по-безопасно е да се използват акаунти, които дават достъп само до конкретни функции и зони, в зависимост от конкретните нужди на дадения потребител. Тук е и мястото на използването на мултифакторна автентикация, регулярен ъпдейт на компонентите и т.н. Дори и допълнителни обучения по киберсигурност на служителите ще бъде от полза в дългосрочен план.

И към третия вектор – автоматизацията. Използвайте автоматизирани услуги не само за регулярни задачи. Има все повече автоматизирани функции за сигурност, които се предлагат за клауда. Те са задължителни, тъй като клаудът постоянно се развива и с това се създават и нови възможности за атака, казва Пузас. Затова най-малкото трябва да се използват автоматизирани решения за мониторинг на клауд средата, както и да се проучат възможностите за автоматизирани мерки и функции за реакция при инцидент.

Преходът към клауда се ускори още повече през последните две години заради COVID-19, като организациите отговориха на новата бизнес и социална динамика. Технологиите и доставчиците на услуги, които не успеят да се адаптират към темпото на преход към клауда, рискуват да станат непотребни или в най-добрия вариант, да бъдат пренасочени към пазари със слаб ръст.

Майкъл Уорилоу, Вицепрезидент на Gartner

Същото важи и за клауд сигурността. Не я пренебрегвайте и не я възприемайте, като нещо твърде сложно или страшно. Проучете я и се адаптирайте. Докато го правите, ще откриете още начини как да извлечете максимума от клауда. Също така ще видите, че клаудът не е „счупен“, а просто се нуждае от малко грижи.

Още една статия, която може да ви заинтригува:

Какво е бъдещето на центровете за данни?