Wer die Cloud-Sicherheit richtig anwendet, legt Wert auf Produktivität, Geschwindigkeit und Risikominderung, um seinem Unternehmen zum Erfolg zu verhelfen.
Cloud-Anwendungsfälle ändern sich schnell
Die Einführung von Cloud Computing stellt eine radikale Abkehr vom Rechenzentrum dar, das Sicherheit erfordert teams anders zu bedienen, um zu behalten Cloud-Infrastruktur sicher. Das Shared-Responsibility-Modell der Cloud, das die Sicherheitsverantwortung von Cloud-Dienstanbietern und Cloud-Kunden gleichermaßen umreißt, hat die Sicherheit erleichtert teams der Belastungen, die mit der Sicherung der physischen Infrastruktur verbunden sind. Aber was noch auf ihrem Teller bleibt – die virtuellen Serverinstanzen, virtuellen Netzwerke und Sicherheitsgruppen – erfordern alle unterschiedliche Tools und Ansätze zur Sicherung.
Vor einem Jahrzehnt sahen Cloud-Infrastrukturen viel mehr wie Rechenzentrums-Infrastrukturen aus (auch wenn sich beide grundlegend unterscheiden). Beim Vergleich der Cloud-Dienste und -Architekturen teamDie frühen Cloud-Umgebungen, die sich heutzutage durchsetzen, kamen uns ziemlich bekannt vor, fast wie ein „entferntes Rechenzentrum“.
Diese Anwendungsfälle sind immer noch weit verbreitet, aber es ist eine größere Veränderung im Gange – eine, die erhebliche Auswirkungen auf die Sicherheit hat. Immer mehr Anwendung teams erstellen und betreiben neue Anwendungen in der Cloud, im Gegensatz zur einfachen Nutzung der Cloud als Plattform zum Hosten migrierter oder Drittanwendungen. Diese teams nutzen neue Arten von Cloud-Ressourcen und ihre Umgebungen ähneln nicht mehr denen, die man in einem Rechenzentrum findet.
Veränderte Cloud-Architekturen haben die Sicherheit auf den Kopf gestellt
Cloud-Dienstanbieter bieten mittlerweile Hunderte spezialisierter Cloud-Dienste an teams nutzen diese Vorteile, und jeder spezialisierte Dienst hat seine eigenen, einzigartigen Sicherheitsaspekte. Wenn diese neueren Dienste zu Cloud-nativen Architekturen kombiniert werden, erhöht sich die Sicherheit teams erkennen, dass das, was vorher funktionierte, jetzt nicht mehr gut funktioniert oder sich gut skalieren lässt. Auch die Muster von Cloud-Angriffen haben sich verändert; Sie nutzen jetzt die Automatisierung, um Fehlkonfigurationen zu erkennen, und verwenden API-Schlüssel, um mit der Cloud-Steuerungsebene zur Erkennung, Verschiebung und Datenextraktion zu arbeiten. Opfer von Sicherheitsverletzungen bemerken diese Angriffe oft erst, wenn ihre Daten im Internet auftauchen.
Positiv zu vermerken ist, dass es Unternehmen gibt, die die Cloud-Sicherheit richtig angehen. Es ist hilfreich zu untersuchen, was sie anders machen, um zu verstehen, warum sie erfolgreich sind, während so viele andere hinterherhinken. Entwicklung und Sicherheit teams in diesen erfolgreichen Organisationen reduzieren die Rate an Fehlkonfigurations-Schwachstellen, auch wenn ihre Nutzung der Cloud an Größe und Komplexität zunimmt. Sie helfen auch teams in den übrigen Unternehmen arbeiten schneller und werden produktiver.
Die fünf Grundlagen der Cloud-Sicherheit
Alle Unternehmen, die Cloud-Sicherheit richtig einsetzen, konzentrieren sich auf Folgendes fünf wichtige Grundlagen.
- Sie kennen ihre Umgebung.
Diese teamUnternehmen kennen jede in ihrer Cloud ausgeführte Ressource, wissen, wie die Ressourcen konfiguriert sind und wie sie miteinander in Beziehung stehen (dies ist für Unternehmen nicht ungewöhnlich).rise Cloud-Sicherheit teamDas bedeutet, dass sie 20 % oder mehr der Vorgänge in ihrer Umgebung nicht mitbekommen. Sie wissen, welche Anwendungen auf welcher Cloud-Infrastruktur laufen und welche Daten beteiligt sind. Und sie behalten den Überblick über die software Entwicklungslebenszyklus (SDLC) für ihre Cloud-Infrastruktur, einschließlich jeglicher Infrastruktur als Code in der Entwicklung und verwendeter CI/CD-Pipelines.
- Sie konzentrieren sich auf Prävention und sicheres Design.
Der Weg, moderne Cloud-Verstöße zu stoppen, besteht darin, die Bedingungen zu verhindern, die sie ermöglichen, und sich nicht auf die Erkennung und Stoppung laufender Angriffe zu konzentrieren. Diese teamWir gehen über die bloße Verhinderung einzelner Fehlkonfigurationen von Ressourcen hinaus und konzentrieren uns auf die Gestaltung von Cloud-Umgebungen, die von Natur aus sicher gegen Angriffe zur Kompromittierung der Kontrollebene sind. Die Rolle des Cloud-Sicherheitsarchitekten wird in diesen Organisationen zu einer Schlüsselrolle.
- Sie ermöglichen Entwicklern, sicher zu bauen und zu betreiben.
Cloud-Sicherheit von heute teamSie wissen, dass sie nicht alles können und konzentrieren sich darauf, andere zu stärken teamEs geht darum, die Sicherheit richtig zu machen. Durch die Bereitstellung von Tools, die es Ingenieuren ermöglichen, Infrastruktur als Code sicher zu entwickeln, versetzen sie diese Ingenieure in die Lage, Probleme frühzeitig zu erkennen und zu beheben, zeitaufwändige Korrekturen und spätere Nacharbeiten zu vermeiden und eine sichere Infrastruktur schneller bereitzustellen. Diese Sicherheit teams helfen Ingenieuren auch dabei, Sicherheitsleitplanken in CI/CD-Pipelines zu integrieren, um sicherzustellen, dass Schwachstellen nicht in laufende Umgebungen gelangen.
- Sie stimmen die Richtlinien als Code (PaC) aufeinander ab und automatisieren sie.
Wenn Sicherheitsrichtlinien ausschließlich in menschlicher Sprache ausgedrückt werden und in PDF-Dokumenten vorhanden sind, können sie genauso gut überhaupt nicht existieren. PaC ermöglicht es, Regeln in einer Sprache auszudrücken, die andere Tools und Anwendungen verwenden können, um die Richtigkeit von Code und Konfigurationen zu überprüfen. PaC beseitigt Unterschiede in der Interpretation, Implementierung und Durchsetzung und ermöglicht Cloud-Sicherheit teams skalieren ihre Bemühungen, ohne die Mitarbeiterzahl erhöhen zu müssen.
- Sie messen, worauf es ankommt.
Bei der Cloud-Sicherheit geht es um betriebliche Disziplin und die Einrichtung der richtigen Prozesse. Erfolgreiche Sicherheit teams identifizieren, was am wichtigsten ist, sei es die Reduzierung der Fehlkonfigurationsrate, die Beschleunigung von Genehmigungsprozessen oder die Neuzuweisung von Ressourcen für höherwertige Aufgaben. Sie legen ihre Grundlinien fest, legen Ziele fest und arbeiten dann fleißig daran, diese zu erreichen. Und sie können jederzeit den Sicherheitsstatus ihrer Umgebung – und ihre Fortschritte – nachweisen.
Diejenigen, die Cloud-Sicherheit richtig verstehen, betrachten sie als Innovationsförderer und nicht als Blockierfunktion. Sie implementieren die Cloud-Sicherheit im gesamten Unternehmen, sodass jeder schneller und sicherer agieren kann.