19 مايو 2022
بقلم رودمان رامزانيان - مستشار أمان السحابة للمؤسسات ، Skyhigh Security
من المرجح أنك سمعت عبارة "مع القوة العظمى تأتي مسؤولية كبيرة". بدلا من ذلك ، أصبحت هذه العبارة تسمى "مبدأ بيتر باركر" معروفة جيدا في الثقافة الشعبية ويرجع ذلك في الغالب إلى كاريكاتير وأفلام الرجل العنكبوت - حيث يكون بيتر باركر هو بطل الرواية. العبارة معروفة جيدا اليوم لدرجة أنها تحتوي بالفعل على مقالة خاصة بها في ويكيبيديا. جوهر العبارة هو أنه إذا تم تمكينك من إجراء تغيير للأفضل ، فلديك التزام أخلاقي للقيام بذلك.
ومع ذلك ، فإن ما لاحظته وأنا أتحدث إلى العملاء حول أمان السحابة ، وخاصة أمان البنية التحتية كخدمة (IaaS) هو ظاهرة أطلق عليها اسم "مبدأ جون ماكلين" - تم تغيير الاسم لحماية الأبرياء.
يحدث مبدأ جون ماكلين عندما يتم تكليف شخص ما بمسؤولية إصلاح شيء ما ، ولكن في نفس الوقت لم يتم تمكينه من إجراء التغييرات اللازمة. على السطح ، قد يبدو هذا السيناريو سخيفا ، لكنني أراهن أن العديد من فرق InfoSec يمكن أن تتعاطف مع المشكلة. المحادثة تسير على النحو التالي:
- الرئيس التنفيذي لشركة InfoSec: تحتاج إلى التأكد من أننا آمنون في السحابة. لا أريد أن أكون التالي [أدخل أحدث خرق هنا].
- InfoSec إلى الرئيس التنفيذي: نعم ، لقد نظرت في كيفية استخدامنا للسحابة والغالبية العظمى من مشاكلنا ناتجة عن نقص العمليات والمعرفة. لدينا الكثير من الفرق التي تقوم بعملها الخاص في السحابة ، وليس لدي رؤية كاملة لما يفعلونه.
- الرئيس التنفيذي لشركة InfoSec: رائع ، اذهب لإصلاحه.
- InfoSec إلى الرئيس التنفيذي: حسنا ، المشكلة هي أنه ليس لدي أي رأي في تلك الفرق. يمكنهم أن يفعلوا ما يريدون. لإصلاح المشكلة ، سيقومون بتغيير كيفية استخدامهم للسحابة. نحن بحاجة إلى الحصول على موافقة من المديرين، لكن هؤلاء المديرين أخبروني أنهم غير مهتمين بتغيير أي شيء لأنه سيبطئ الأمور.
- الرئيس التنفيذي لشركة InfoSec: أنا متأكد من أنك ستكتشف ذلك. حظا سعيدا ، ومن الأفضل ألا يكون لدينا خرق.
هذا عندما تكون عبارة "مع عدم وجود قوة تأتي المزيد من المسؤولية" صحيحة.
ولماذا هذا؟ والسبب هو أن البنية التحتية كخدمة (IaaS) قد غيرت بشكل أساسي كيفية استهلاكنا لتكنولوجيا المعلومات ، وإلى جانب ذلك ، كيف نوسع نطاق الأمان. لم نعد نقدم طلبات الشراء ونمر بعمليات طويلة وطويلة لتدوير موارد البنية التحتية. الآن يمكن لأي شخص لديه بطاقة ائتمان أن يدور ما يعادل مركز البيانات في غضون دقائق في جميع أنحاء العالم.
ومع ذلك ، أدخلت المرونة بعض التغييرات غير المقصودة على InfoSec ومن أجل التوسع ، لا يمكن أن يكون أمان السحابة مسؤولية فريق واحد وحده. بدلا من ذلك ، يجب تضمين أمان السحابة في العملية ويعتمد على التعاون بين التطوير والمهندسين المعماريين والعمليات. تلعب هذه الفرق الآن دورا أكثر أهمية في أمان السحابة ، وفي كثير من الحالات تكون الوحيدة التي يمكنها تنفيذ التغيير من أجل تعزيز الأمان. يعمل InfoSec الآن كشيربا بدلا من حراس البوابة للتأكد من أن كل فريق يسير بنفس الوتيرة الآمنة.
ومع ذلك ، كما يمكن أن يخبرك John McClane بحقيقة أن المزيد من الفرق التي تعتني بأمان السحابة لا يعني بالضرورة أن لديك حلا أفضل. في الواقع ، يمكن أن يؤدي الاضطرار إلى التنسيق عبر فرق متعددة ذات أولويات مختلفة إلى جعل الأمان أكثر تعقيدا وإبطائك. ومن هنا تأتي الحاجة إلى حل أمني مبسط يسهل التعاون بين المطورين والمهندسين المعماريين و InfoSec ولكنه يوفر في نفس الوقت حواجز حماية ، لذلك لا شيء ينزلق إلى الشقوق.
تم تصميم خدمة الأمان السحابية الخاصة بنا خصيصا للعملاء الذين ينقلون ويطورون التطبيقات في السحابة. نحن نسميها سكاي هاي Cloud-Native Application Protection Platform - أو فقط Skyhigh CNAPP ، لأن كل خدمة تستحق اختصارا.
ما هو سكاي هاي سي إن آب؟ تجمع Skyhigh CNAPP بين حلول من إدارة وضع أمان السحابة (CSPM) ، ومنصة حماية عبء العمل السحابي (CWPP) ، Data Loss Prevention (DLP) ، وحماية التطبيقات في حل واحد. لقد أنشأنا CNAPP لتزويد فرق InfoSec برؤية واسعة لتطبيقاتهم السحابية الأصلية. بالنسبة لنا ، لم يكن الهدف هو كيفية إبطاء الأمور للتأكد من أن كل شيء آمن. بدلا من ذلك ، كيف نمكن فرق InfoSec من الرؤية والسياق الذي يحتاجون إليه لأمن السحابة مع السماح لفرق التطوير بالتحرك بسرعة.
اسمحوا لي أن أصف بإيجاز الميزات التي يمتلكها Skyhigh CNAPP وأدرج بعض الميزات المفضلة لدى العملاء.
إدارة وضع الخدمة السحابية (CSPM)
الغالبية العظمى من الانتهاكات في IaaS اليوم ناتجة عن تكوينات خاطئة للخدمة. قالت Gartner الشهيرة في عام 2016 أن "95٪ من إخفاقات أمان السحابة ستكون خطأ العميل". في عام 2019 ، قامت Gartner بتحديث هذا الاقتباس لتقول "99٪ من حالات فشل أمان السحابة ستكون خطأ العملاء". أنا في انتظار اليوم الذي تقول فيه Gartner "105٪ سيكون خطأ العميل".
لماذا النسبة عالية جدا؟ هناك أسباب متعددة ، لكننا نسمع الكثير من عملائنا أن هناك نقصا كبيرا في المعرفة حول كيفية تأمين خدمات جديدة. يقوم كل مزود سحابة بإصدار خدمات وقدرات جديدة بوتيرة مذهلة مع عدم وجود حواجز للتبني. لسوء الحظ ، لم تتطابق الصناعة مع وتيرة وجود قوة عاملة تعرف وتفهم أفضل السبل لتكوين هذه الخدمات والقدرات الجديدة. توفر Skyhigh CNAPP للعملاء القدرة على التدقيق الفوري لجميع الخدمات السحابية وقياس تلك الخدمات مقابل أفضل الممارسات الأمنية ومعايير الصناعة مثل مؤسسات CIS و PCI و HIPPA و NIST.
ضمن هذا التدقيق (نسميه حادثا أمنيا) ، يوفر Skyhigh CNAPP معلومات مفصلة حول كيفية إعادة تكوين الخدمات لتحسين الأمان ، ولكن الخدمة توفر أيضا القدرة على تعيين الحادث الأمني لفرق التطوير مع اتفاقيات مستوى الخدمة (SLAs) لذلك لا يوجد غموض حول من يملك ماذا وما يحتاج إلى تغيير. يمكن أتمتة كل مهام سير العمل هذه بحيث يتم تمكين فرق متعددة في الوقت الفعلي تقريبا للعثور على المشكلات وحلها.
بالإضافة إلى ذلك ، يحتوي Skyhigh CNAPP على ميزة سياسة مخصصة حيث يمكن للعملاء إنشاء سياسات لتحديد التكوينات الخاطئة المحفوفة بالمخاطر الفريدة لبيئاتهم بالإضافة إلى عمليات التكامل مع أدوات المطور مثل Jenkins و Bitbucket و GitHub التي تقدم ملاحظات حول عمليات النشر التي لا تفي بمعايير الأمان.
منصة حماية عبء العمل السحابية
أصبحت منصات IaaS محفزات للبرامج مفتوحة المصدر (OSS) مثل Linux (OS) و Docker (الحاوية) و Kubernetes (التنسيق). يتمثل التحدي في استخدام هذه الأدوات في مخاطر الوثوث من نقاط الضعف والتعرض الشائعة (CVE) الموجودة في مكتبات البرامج والتكوينات الخاطئة في نشر خدمات جديدة. اقتباس مشهور آخر من قبل Gartner هو أن "70٪ من الهجمات ضد الحاويات ستكون من نقاط الضعف المعروفة والتكوينات الخاطئة التي كان من الممكن معالجتها". ولكن كيف يكتشف فريق InfoSec بسرعة نقاط الضعف والتكوينات الخاطئة هذه ، خاصة في البيئات سريعة الزوال مع قيام فرق مطورين متعددة بدفع الإصدارات المتكررة إلى خطوط أنابيب CI / CD؟
يوفر Skyhigh CNAPP حماية كاملة لعبء العمل من خلال تحديد جميع مثيلات الحوسبة والحاويات وخدمات الحاويات التي تعمل في IaaS مع تحديد CVEs الهامة والتكوينات الخاطئة في كل من خدمات حاويات المستودع والإنتاج وتقديم بعض ميزات الحماية الجديدة. تتضمن هذه الميزات السماح بإدراج التطبيقات ، وتصلب نظام التشغيل ، ومراقبة سلامة الملفات مع خطط لتقديم تجزئة النانو والدعم المحلي قريبا.
مفضلات العملاء
- عمليات فحص DLP داخل المستأجر: يمتلك العديد من عملائنا حالات استخدام مشروعة لخدمات التخزين السحابية المكشوفة للجمهور (يشار إليها أحيانا باسم الحاويات)، ولكن في نفس الوقت يحتاجون إلى التأكد من أن هذه الحاويات لا تحتوي على بيانات حساسة. يتمثل التحدي في استخدام DLP لهذه الخدمات في العديد من الحلول المتاحة في السوق لنسخ البيانات في بيئة البائع الخاصة. يؤدي هذا إلى زيادة تكاليف العملاء مع رسوم الخروج ويؤدي أيضا إلى تحديات أمنية مع نقل البيانات. يسمح CNAPP للعملاء بإجراء عمليات مسح DLP داخل المستأجر حيث لا تغادر البيانات بيئة IaaS أبدا ، مما يجعل العملية أكثر أمانا وأقل تكلفة.
- MITRE ATT&CK FRAMEWORK FOR CLOUD: لغة مراكز العمليات الأمنية (SOC) هي MITRE ، ولكن هناك الكثير من الفروق الدقيقة في كيفية تناسب حوادث أمان السحابة مع هذا الإطار. مع Skyhigh CNAPP ، قمنا ببناء عملية شاملة تقوم بتعيين جميع الحوادث الأمنية CSPM و CWPP إلى MITRE. الآن يمكن لفرق InfoSec والمطورين العمل معا بشكل أكثر فعالية من خلال تصنيف كل حادث سحابي تلقائيا إلى MITRE ، مما يسهل استجابات أسرع وتعاونا أفضل.
- أمان التطبيقات الموحد: تم بناء CNAPP على نفس النظام الأساسي مثل خدمة MVISION Cloud الخاصة بنا ، وهيغارتنر Magic Quadrant زعيم ل Cloud Access Security Broker (كاسب). يمكن للعملاء الآن الحصول على رؤية مفصلة وتحكم أمني في تطبيقات SaaS الخاصة بهم جنبا إلى جنب مع التطبيقات التي يقومون ببنائها في IaaS بنفس الحل. يحب عملاؤنا امتلاك وحدة تحكم واحدة توفر صورة شاملة لمخاطر التطبيق عبر جميع الفرق - SaaS للمستهلكين و IaaS للمنشئين.
هناك الكثير من الميزات التي أود تسليط الضوء عليها ، ولكن بدلا من ذلك أدعوك للتحقق من الحل بنفسك. قم بزيارة https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html لمزيد من المعلومات حول إصدارنا أو اطلب عرضا توضيحيا على https://www.skyhighsecurity.com/forms/demo-request-form.html. نود الحصول على ملاحظاتك وسماع كيف يمكن ل Skyhigh CNAPP مساعدتك في أن تصبح أكثر تمكينا ومسؤولية في السحابة.
العودة إلى المدونات