Video: The Third Industrial Revolution: A Radical New Sharing Economy (November 2024)
Het komende jaar belooft een substantiële groei voor leveranciers van openbare cloudservices en leveranciers van Software-as-a-Service (SaaS) -oplossingen. Ten eerste bieden nieuwe technologieën op funderingsniveau, zoals microservice-implementaties en blockchain, onaangeboorde mogelijkheden voor innovatie. Maar misschien nog belangrijker, een van de meest door de CIO geciteerde blokkades voor cloudacceptatie (namelijk beveiliging en gegevensbeveiliging) lijkt eindelijk op de achtergrond te raken, vooral voor bedrijven en middelgrote bedrijven.
Hoewel analisten het erover eens zijn dat de meeste bedrijven vandaag de dag - inclusief de enterprise- en middelgrote segmenten - sommige cloudimplementaties in verschillende mate hebben, zijn ze het er ook over eens dat grotere organisaties traag zijn geweest om grote workloads naar de cloud te verplaatsen, met als primaire reden cloudbeveiliging en data veiligheid. Dat is belangrijk voor deze klanten, niet alleen vanwege de enorme hoeveelheid gegevens die deze organisaties zouden migreren, maar ook omdat het ondergaan van strenge compliance en wettelijke controles, zoals de Health Insurance Portability and Accountability Act (HIPAA) en ISO 27001, van cruciaal belang voor hen is zaken doen. Beveiliging is top of mind voor deze CIO's en tot voor kort was het simpelweg niet robuust genoeg voor hen om de cloud op grote schaal over te nemen.
Maar volgens analistenvoorspellingen voor 2017 gaat dat allemaal veranderen. Cloudbeveiliging heeft het afgelopen half decennium een lange weg afgelegd en het lijkt erop dat veel IT-professionals en CIO's het met elkaar eens zijn. Dit betekent dat analisten voorspellen dat we een veel grotere acceptatie van cloudinfrastructuur en -diensten vanuit de zakelijke sector in 2017 zullen zien.
Ik heb een e-mail interview afgenomen met Brian Kelly, Chief Security Officer bij de bekende beheerde cloudprovider Rackspace, om erachter te komen wat er verandert aan cloudbeveiliging in het komende jaar - en om te zien of hij akkoord ging met de voorspellingen van deze analisten.
PCMag: Hoe ziet Rackspace precies zijn rol ten opzichte van die van het IT-personeel van zijn klanten als het gaat om gegevensveiligheid en beveiliging?
Brian Kelly (BK): We zien direct bewijs dat klanten naar de cloud komen vanwege beveiliging in plaats van ervoor weg te lopen. Op enkele uitzonderingen na hebben bedrijven eenvoudigweg niet de middelen en vaardigheden om hun organisaties effectief te beschermen tegen de meer geavanceerde en hardnekkige bedreigingen. Op dezelfde manier erkennen cloudproviders dat de toekomst van onze bedrijven afhankelijk is van het leveren van vertrouwen en vertrouwen door effectieve beveiligingsmethoden. Ondanks de toegenomen investeringen van cloudproviders in beveiliging, blijft het beschermen van organisatorische middelen altijd een gedeelde verantwoordelijkheid. Hoewel de cloudprovider rechtstreeks verantwoordelijk is voor de bescherming van faciliteiten, datacenters, netwerken en virtuele infrastructuur, hebben consumenten ook de verantwoordelijkheid om besturingssystemen, applicaties, gegevens, toegang en referenties te beschermen.
Forrester bedacht de term 'ongelijke handdruk' in verwijzing naar deze gedeelde verantwoordelijkheid. In sommige opzichten geloven consumenten dat ze de last voor de beveiliging van hun gegevens dragen. Dit is misschien een paar jaar geleden waar; we zijn echter getuige van een evenwicht tussen de handdruk. Dat wil zeggen, cloudproviders kunnen en moeten meer doen voor consumenten om de verantwoordelijkheid voor veiligheid te delen. Dit kan de vorm aannemen van simpelweg meer zichtbaarheid en transparantie in gehoste workloads, toegang tot controlevliegtuigen of beheerde beveiligingsservices. Hoewel de beveiligingsverantwoordelijkheden van een consument nooit zullen verdwijnen, zullen cloudproviders meer verantwoordelijkheid blijven nemen en beheerde beveiligingsaanbiedingen met toegevoegde waarde leveren om het vertrouwen op te bouwen dat beide partijen nodig hebben om veilig in de cloud te werken.
PCMag: Heb je advies voor IT-professionals en zakelijke klanten over wat ze kunnen doen, naast wat een provider levert om hun cloud-gebaseerde gegevens zelf te beschermen?
BK: Ze moeten doorgaan met het implementeren van best practices voor beveiliging binnen hun enclaves. Ze moeten de workloads in de enclave op verantwoorde wijze segmenteren om de omvang van compromissen te beperken, ervoor te zorgen dat de workloadomgevingen (besturingssystemen, containers, virtuele LAN's) correct zijn beveiligd en gepatcht, gebruik maken van endpoint- en netwerkniveau-detectie- en reactietechnologieën (IDS / IPS, malware-detectie en -beheersing) en actief accounts en toegangen beheren. Vaak kunnen klanten deze services en technologieën opnemen in hun cloudgebruikcontracten, maar als dat niet het geval is, moet de consument ervoor zorgen dat dit aan hun kant gebeurt.
PCMag: Een belangrijke vraag die we lezers hebben gevraagd, is over effectieve verdediging tegen massale IoT-aanvallen (Distributed Denial of Service), vergelijkbaar met het incident in oktober vorig jaar, waar een Chinese IoT-verkoper per ongeluk zwaar bijdroeg aan de aanval. Werken dergelijke aanvallen met upstream Internet Service Providers (ISP's)? En hoe houden ze een aanval op één klant tegen om iedereen in een faciliteit neer te halen?
BK: Het belangrijkste doel van DDoS-verdediging is de beschikbaarheid behouden wanneer deze wordt aangevallen. De DDoS-aanvalsmogelijkheden van IoT zijn bekend en kunnen met succes worden beperkt door de implementatie van best practices voor beveiliging en het gebruik van intelligente DDoS-beperkingssystemen. De grootste bedreiging is niet de methode van de aanvallen van IoT maar het immense aantal kwetsbare apparaten met internettoegang. Netwerken moeten worden vergrendeld om de blootstelling aan bedreigingen op internet te beperken. Netwerkexploitanten moeten proactief zijn in het detecteren van alle mogelijke bedreigingen en de meest effectieve technieken kennen om ze te verminderen, terwijl ze de mogelijkheid behouden om al het netwerkverkeer te analyseren en te classificeren.
Een sterke DDoS-mitigatiestrategie vereist een gelaagde, defensieve aanpak. Het uitgebreide aantal IoT-apparaten maakt het matigen van IoT-aanvallen moeilijk voor kleinschalige netwerken. De effectiviteit van een IoT-aanval is de flexibiliteit om verschillende aanvalsvectoren te genereren en massaal, groot DDoS-verkeer te produceren. Zelfs het meest verharde netwerk kan snel worden overweldigd door de enorme hoeveelheid verkeer die IoT kan genereren in de handen van een capabele aanvaller. Upstream ISP's zijn vaak beter uitgerust en bemand om deze grootschalige aanvallen af te handelen die kleine netwerkverbindingen snel zouden verzadigen. Bovendien stellen de schaal van het werken met een netwerk en de tools die nodig zijn om dergelijke aanvallen te verminderen effectieve detectie en respons buiten het bereik van de meeste organisaties. Een betere oplossing is dergelijke activiteiten uitbesteden aan de upstream-ISP's van cloudproviders die al met deze schaal van netwerk werken.
Stroomopwaartse internetproviders hebben veel voordelen door de robuuste diversiteit van internettoegangspunten waarover ze verkeer kunnen verplaatsen. Ze hebben over het algemeen ook voldoende grote gegevenspijpen om aanvankelijk veel DDoS-verkeer te absorberen, terwijl de reactieactiviteiten van omleidingsverkeer sneller worden. "Stroomopwaarts" is een goede term omdat het enigszins analoog is aan een reeks dammen langs een rivier. Tijdens een overstroming kun je de huizen stroomafwaarts beschermen door elke dam te gebruiken om steeds meer water in elk meer te vangen dat door de dam is gecreëerd en de stroom te meten om stroomafwaartse overstroming te voorkomen. Bandbreedte en toegangspuntdiversiteit voor upstream ISP's bieden dezelfde soort veerkracht. Ze hebben ook protocollen onderhandeld in de internetgemeenschap om DDoS-verkeer dichter bij de bronnen te brengen die ze kunnen activeren.
Net als bij andere incidentresponsactiviteiten zijn planning, voorbereiding en oefening essentieel. Geen twee aanvallen zijn exact hetzelfde, daarom is het cruciaal om op opties en omstandigheden te anticiperen en vervolgens te plannen en te oefenen. Voor IoT-aanvalsscenario's, inclusief het scannen van uw netwerk op kwetsbare apparaten en het nemen van corrigerende maatregelen. U moet ook het scannen van buiten uw netwerk naar kwetsbare IoT-apparaten blokkeren. Om te helpen, rigoureuze toegangscontrole en besturingssysteemverharding implementeren en procedures ontwikkelen voor het patchen van verschillende codeversies, netwerkapparaten en applicaties.
Klik op de afbeelding voor de volledige infographic. Afbeelding tegoed: Twistlock
PCMag: een andere vraag die lezers ons stellen gaat over de beveiliging van containers. Maakt u zich zorgen over bewapende containers die complexe aanvalsystemen kunnen bevatten of denkt u dat de architectuur beschermt tegen dergelijke exploits?
BK: Beveiliging met nieuw benadrukte technologie is altijd een verhoogde zorg - containers zijn niet uniek in dit aspect. Maar zoals bij veel beveiligingsuitdagingen zijn er afwegingen. Hoewel er mogelijk een verhoogd risico is, geloven we ook dat er effectieve risicobeperkende strategieën zijn voor de risico's die we kunnen beheersen.
Een container is in wezen een zeer tijdelijke en lichtgewicht, gevirtualiseerde besturingssysteemomgeving. Zijn virtuele machines minder veilig dan afzonderlijke fysieke servers? Dat zijn ze in de meeste gevallen. Veel bedrijven zien echter de kostenvoordelen van virtualisatie (minder uitgeven, eenvoudiger te beheren, kunnen machines gemakkelijk hergebruiken) en ze kiezen ervoor deze te benutten terwijl ze zoveel mogelijk risico's beperken. Intel besefte zelfs dat ze sommige van de risico's zelf konden helpen beperken en dat is waar Intel VT vandaan kwam.
Containers nemen de initiële kostenbesparingen en flexibiliteit van virtualisatie verder. ze zijn ook risicovoller omdat er een zeer dunne wand is tussen elke container en het besturingssysteem van de host. Ik ben niet op de hoogte van hardware-ondersteuning voor isolatie, dus het is aan de kernel om iedereen in de rij te houden. Bedrijven moeten de kosten en flexibiliteitsvoordelen van deze nieuwe technologie samen met deze risico's afwegen.
Linux-experts zijn bezorgd omdat elke container de kernel van de host deelt, waardoor het oppervlak voor exploits veel groter is dan traditionele virtualisatietechnologieën, zoals KVM en Xen. Er is dus potentieel voor een nieuwe aanval waarbij een aanvaller in een container rechten hackt om toegang te krijgen tot of de omstandigheden in een andere container te beïnvloeden.
We hebben nog niet veel op het gebied van intra-containerspecifieke beveiligingssensoren. Naar mijn mening moet dat deel van de markt volwassen worden. Bovendien kunnen containers niet gebruikmaken van de beveiligingsfuncties die zijn ingebouwd in CPU's (zoals Intel VT) waarmee code in verschillende ringen kan worden uitgevoerd, afhankelijk van het bevoegdheidsniveau.
Uiteindelijk zijn er tonnen exploitaties voor fysieke servers, virtuele machines en containers. Er komen steeds nieuwe bij. Zelfs luchtgekapte machines worden geëxploiteerd. IT-professionals moeten zich zorgen maken over beveiligingscompromissen op al deze niveaus. Veel van de verdedigingen zijn hetzelfde voor al deze implementatietypes, maar elk heeft zijn eigen extra beveiligingsverdedigingen die moeten worden toegepast.
De hostingprovider moet Linux-beveiligingsmodules (zoals SELinux of AppArmor) gebruiken om containers te isoleren en dat systeem moet nauwlettend worden gevolgd. Het is ook van cruciaal belang om de host-kernel up-to-date te houden om escalatie-exploits van lokale privileges te voorkomen. Unieke ID (UID) isolatie helpt ook omdat het voorkomt dat een rootgebruiker in de container daadwerkelijk root op de host wordt.
PCMag: Eén reden waarom PCMag.com geen grootschalige vergelijking van Managed Security Service Providers (MSSP's) heeft uitgevoerd, is omdat er in de branche verwarring bestaat over wat die term precies betekent en wat die klasse providers kan en moet leveren. Kunt u de beheerde beveiligingsservice van Rackspace afbreken? Wat het doet, hoe dat verschilt van andere providers, en waar je het ziet gaan, zodat lezers een goed idee kunnen krijgen van waar ze zich voor aanmelden als ze zo'n service gebruiken?
BK: MSSP's moeten accepteren dat beveiliging niet heeft gewerkt en hun strategie en activiteiten aanpassen om effectiever te zijn in het hedendaagse dreigingslandschap - dat meer geavanceerde en hardnekkige tegenstanders bevat. Bij Rackspace erkenden we deze bedreigingsverandering en ontwikkelden we nieuwe mogelijkheden die nodig zijn om deze te verminderen. Rackspace Managed Security is een 24/7/365 geavanceerde detectie- en reactiebewerking. Het is niet alleen ontworpen om bedrijven te beschermen tegen aanvallen, maar ook om de impact van het bedrijf te minimaliseren wanneer aanvallen plaatsvinden, zelfs nadat een omgeving met succes is gehackt.
Om dit te bereiken hebben we onze strategie op drie manieren aangepast:
We richten ons op de gegevens, niet op de perimeter. Om effectief te kunnen reageren op aanvallen, moet het doel zijn om de impact op het bedrijf te minimaliseren. Dit vereist een uitgebreid inzicht in de bedrijfsactiviteiten en de context van de gegevens en systemen die we beschermen. Alleen dan kunnen we begrijpen hoe normaal eruit ziet, een aanval begrijpen en reageren op een manier die de impact op het bedrijf minimaliseert.
We gaan ervan uit dat aanvallers toegang hebben gekregen tot het netwerk en gebruiken zeer deskundige analisten om op hen te jagen. Eenmaal op het netwerk zijn aanvallen moeilijk voor tools te identificeren omdat geavanceerde aanvallers voor beveiligingsprogramma's eruitzien als beheerders die normale zakelijke functies uitvoeren. Onze analisten zoeken actief naar activiteitspatronen waar tools niet op kunnen letten - deze patronen zijn de voetafdrukken die ons naar de aanvaller leiden.
Weten dat je aangevallen wordt is niet genoeg. Het is van cruciaal belang om te reageren op aanvallen wanneer deze zich voordoen. Ons Customer Security Operations Center gebruikt een portfolio van "vooraf goedgekeurde acties" om op aanvallen te reageren zodra ze deze zien. Dit zijn in essentie boeken die we hebben geprobeerd en getest om met succes aanvallen af te handelen wanneer ze zich voordoen. Onze klanten zien deze runbooks en keuren onze analisten goed om ze tijdens het instapproces uit te voeren. Als gevolg hiervan zijn analisten niet langer passieve waarnemers - ze kunnen een aanvaller actief afsluiten zodra ze worden gedetecteerd, en vaak voordat persistentie wordt bereikt en voordat het bedrijf wordt beïnvloed. Deze mogelijkheid om te reageren op aanvallen is uniek voor Rackspace omdat we ook de infrastructuur beheren die we voor onze klanten beschermen.
Bovendien zien we dat compliance een bijproduct is van goed uitgevoerde beveiliging. We hebben een team dat profiteert van de strengheid en best practices die we implementeren als onderdeel van de beveiligingsoperatie, door de nalevingsvereisten te onderzoeken en te rapporteren waaraan we onze klanten helpen voldoen.
PCMag: Rackspace is een groot voorstander, inderdaad een gecrediteerde oprichter van OpenStack. Sommige van onze IT-lezers hebben gevraagd of de ontwikkeling van beveiliging voor een dergelijk open platform eigenlijk langzamer en minder effectief is dan die van een gesloten systeem zoals Amazon Web Services (AWS) of Microsoft Azure vanwege het waargenomen "teveel koks" dilemma dat plagen veel grote open-sourceprojecten. Hoe reageer je daarop?
BK: Met open-source software worden "bugs" gevonden in de open community en opgelost in de open community. Er is geen manier om de omvang of impact van het beveiligingsprobleem te verbergen. Met eigen software bent u overgeleverd aan de softwareprovider om kwetsbaarheden te verhelpen. Wat als ze zes maanden lang niets aan een kwetsbaarheid doen? Wat als ze een rapport van een onderzoeker missen? We zien al die "te veel koks" die u een enorme softwarebeveiliging noemt. Honderden slimme ingenieurs kijken vaak naar elk onderdeel van een groot open-sourcepakket zoals OpenStack, waardoor het heel moeilijk is voor fouten om door de kieren te glippen. De discussie over de fout en de evaluatie van opties om het te repareren gebeuren in de openbaarheid. Particuliere softwarepakketten kunnen nooit een dergelijke analyse per niveau van code ontvangen en de fixes zullen nooit zo'n open controle krijgen.
Open-source software maakt ook mitigaties mogelijk buiten de softwarestack. Als bijvoorbeeld een OpenStack-beveiligingsprobleem optreedt, maar een cloudprovider het beveiligingslek niet onmiddellijk kan upgraden of repareren, kunnen andere wijzigingen worden aangebracht. De functie kan tijdelijk worden uitgeschakeld of gebruikers kunnen worden verhinderd deze via beleidsbestanden te gebruiken. De aanval kan effectief worden beperkt totdat een langetermijnoplossing wordt toegepast. Closed-source software staat dat vaak niet toe, omdat het moeilijk is om te zien wat moet worden beperkt.
Ook verspreiden open-sourcecommunity's snel kennis van deze beveiligingsproblemen. De vraag: "Hoe voorkomen we dat dit later gebeurt?" wordt snel gevraagd en de beraadslaging vindt plaats in samenwerking en in de openbaarheid.
PCMag: Laten we eindigen met de oorspronkelijke vraag voor dit interview: bent u het eens met analisten dat 2017 een "uitbraak" -jaar wordt in termen van enterprise cloud-acceptatie, voornamelijk of op zijn minst gedeeltelijk vanwege enterprise-acceptatie van cloudproviderbeveiliging?
BK: Laten we even een stapje terug doen om de verschillende cloudomgevingen te bespreken. De meeste van uw vragen wijzen op de openbare cloudmarkt. Zoals ik hierboven al zei, hebben onderzoekers van Forrester de "ongelijke handshake" tussen cloudproviders en consumenten opgemerkt in die zin dat cloudproviders een reeks services bieden, maar cloudconsumenten gaan er vaak van uit dat ze veel meer ontvangen op het gebied van beveiliging, back-up, veerkracht, enz. Sinds mijn toetreding tot Rackspace heb ik ervoor gepleit dat cloudproviders die handshake zelfs moeten verdragen door transparanter te zijn voor onze consumenten. Nergens is de handdruk zelfs vandaag nog minder dan in openbare cloudomgevingen.
Particuliere cloudomgevingen, en vooral die geïmplementeerd in die van de consument, hebben niet zoveel last van dergelijke illusies. Consumenten zijn veel duidelijker over wat ze kopen en wat de providers hen geven. Omdat consumenten verwachtingen hebben gewekt in het aankoopproces en cloudproviders onze games hebben opgevoerd om meer complete services en transparantie te leveren, nemen de emotionele en risicogerelateerde belemmeringen voor het verplaatsen van workloads van een traditioneel datacenter naar een openbare cloudomgeving snel af.
Maar ik denk niet dat dit in 2017 een stormloop naar de cloud zal veroorzaken. Het verplaatsen van werklasten en volledige datacenters brengt aanzienlijke planning- en organisatorische veranderingen met zich mee. Het is veel anders dan het upgraden van de hardware in een datacenter. Ik moedig je lezers aan om de Netflix-overgang te bestuderen; ze transformeerden hun bedrijf door over te stappen naar de cloud, maar het kostte hen zeven jaar hard werken. Ten eerste hebben ze de meeste van hun apps opnieuw verwerkt en opnieuw geschreven om ze efficiënter en beter aangepast aan de cloud te maken.
We zien ook dat veel consumenten private clouds gebruiken in hun datacenters met een hybride cloudarchitectuur als uitgangspunt. Deze lijken te versnellen. Ik geloof dat de adoptiecurve in 2017 een elleboog zou kunnen zien, maar het zal een paar jaar duren voordat de deining echt is opgebouwd.
