कोई शक्ति नहीं होने से अधिक जिम्मेदारी आती है

19 मई 2022

रोडमैन रामेज़ानियन द्वारा - एंटरप्राइज़ क्लाउड सुरक्षा सलाहकार, Skyhigh Security

आपने संभवतः वाक्यांश सुना है "महान शक्ति के साथ बड़ी जिम्मेदारी आती है। वैकल्पिक रूप से, "पीटर पार्कर सिद्धांत" कहा जाता है, यह वाक्यांश लोकप्रिय संस्कृति में अच्छी तरह से जाना जाता है, ज्यादातर स्पाइडर-मैन कॉमिक्स और फिल्मों के कारण - जहां पीटर पार्कर नायक है। वाक्यांश आज इतनी अच्छी तरह से जाना जाता है कि वास्तव में विकिपीडिया में इसका अपना लेख है। वाक्यांश का सार यह है कि यदि आपको बेहतर के लिए बदलाव करने का अधिकार दिया गया है, तो ऐसा करने के लिए आपका नैतिक दायित्व है।

हालाँकि, मैंने जो देखा है जैसा कि मैं क्लाउड सुरक्षा के बारे में ग्राहकों से बात करता हूं, विशेष रूप से एक सेवा के रूप में इन्फ्रास्ट्रक्चर (IaaS) के लिए सुरक्षा एक ऐसी घटना है जिसे मैं "जॉन मैकक्लेन सिद्धांत" कह रहा हूं - निर्दोष की रक्षा के लिए नाम बदल दिया गया है।

जॉन मैकक्लेन सिद्धांत तब होता है जब किसी को कुछ ठीक करने की जिम्मेदारी दी गई है, लेकिन साथ ही आवश्यक परिवर्तन करने का अधिकार नहीं दिया गया है। सतह पर, यह परिदृश्य बेतुका लग सकता है, लेकिन मुझे यकीन है कि कई InfoSec टीमें समस्या के साथ सहानुभूति रख सकती हैं। बातचीत कुछ इस तरह है:

• InfoSec के सीईओ: आपको यह सुनिश्चित करने की आवश्यकता है कि हम क्लाउड में सुरक्षित हैं। मैं अगला नहीं बनना चाहता [यहां नवीनतम उल्लंघन डालें]।
• InfoSec से CEO: हाँ, इसलिए मैंने देखा है कि हम क्लाउड का उपयोग कैसे कर रहे हैं और हमारी अधिकांश समस्याएं प्रक्रियाओं और ज्ञान की कमी से हैं। हमारे पास एक टन टीमें हैं जो क्लाउड में अपना काम कर रही हैं, और मेरे पास पूरी दृश्यता नहीं है कि वे क्या कर रहे हैं।
• InfoSec के सीईओ: बढ़िया, इसे ठीक करें।
• InfoSec से CEO: खैर, समस्या यह है कि उन टीमों पर मेरा कोई कहना नहीं है। वे जो चाहें कर सकते हैं। समस्या को ठीक करने के लिए वे क्लाउड का उपयोग करने के तरीके में बदलाव करने जा रहे हैं। हमें प्रबंधकों से खरीद-फरोख्त करने की आवश्यकता है, लेकिन उन प्रबंधकों ने मुझे बताया है कि वे कुछ भी बदलने में दिलचस्पी नहीं रखते हैं क्योंकि यह चीजों को धीमा कर देगा।
• InfoSec के सीईओ: मुझे यकीन है कि आप इसका पता लगा लेंगे। शुभकामनाएँ, और बेहतर होगा कि हमारे पास उल्लंघन न हो।

यही वह समय है जब "बिना शक्ति के अधिक जिम्मेदारी आती है" सच हो जाता है।

और ऐसा क्यों है? इसका कारण यह है कि इन्फ्रास्ट्रक्चर-ए-ए-सर्विस (IaaS) ने मौलिक रूप से बदल दिया है कि हम आईटी का उपभोग कैसे करते हैं, और इसके साथ ही, हम सुरक्षा को कैसे बढ़ाते हैं। अब हम खरीद अनुरोध सबमिट नहीं करते हैं और बुनियादी ढांचे के संसाधनों को स्पिन करने के लिए एक लंबी, लंबी प्रक्रियाओं से गुजरते हैं। अब क्रेडिट कार्ड वाला कोई भी व्यक्ति दुनिया भर में मिनटों के भीतर डेटा सेंटर के बराबर स्पिन कर सकता है।

हालाँकि, चपलता ने InfoSec में कुछ अनपेक्षित परिवर्तन पेश किए और पैमाने पर, क्लाउड सुरक्षा एक टीम की एकमात्र जिम्मेदारी नहीं हो सकती है। बल्कि, क्लाउड सुरक्षा को प्रक्रिया में एम्बेड किया जाना चाहिए और विकास, आर्किटेक्ट्स और संचालन के बीच सहयोग पर निर्भर करता है। क्लाउड सुरक्षा में अब इन टीमों की अधिक महत्वपूर्ण भूमिका है, और कई मामलों में केवल वही हैं जो सुरक्षा बढ़ाने के लिए परिवर्तन को लागू कर सकते हैं। InfoSec अब यह सुनिश्चित करने के लिए द्वारपालों के बजाय शेरपा के रूप में कार्य करता है कि हर टीम समान, सुरक्षित गति से आगे बढ़ रही है।

हालाँकि, जैसा कि जॉन मैकक्लेन आपको यह तथ्य बता सकते हैं कि क्लाउड सुरक्षा की देखभाल करने वाली अधिक टीमें आपके पास हैं, इसका मतलब यह नहीं है कि आपके पास बेहतर समाधान है। वास्तव में, विभिन्न प्राथमिकताओं के साथ कई टीमों में समन्वय करना सुरक्षा को और भी जटिल बना सकता है और आपको धीमा कर सकता है। इसलिए एक सुव्यवस्थित सुरक्षा समाधान की आवश्यकता है जो डेवलपर्स, आर्किटेक्ट्स और इन्फोसेक के बीच सहयोग की सुविधा प्रदान करता है, लेकिन साथ ही रेलिंग प्रदान करता है, इसलिए कुछ भी पर्ची दरारें नहीं फेंकता है।

हमारी क्लाउड सुरक्षा सेवा विशेष रूप से क्लाउड में अनुप्रयोगों को स्थानांतरित करने और विकसित करने वाले ग्राहकों के लिए बनाई गई थी। हम इसे स्काईहाई कहते हैं Cloud-Native Application Protection Platform - या सिर्फ स्काईहाई CNAPP, क्योंकि हर सेवा एक संक्षिप्त नाम की हकदार है।

स्काईहाई CNAPP क्या है? Skyhigh CNAPP क्लाउड सिक्योरिटी पोस्चर मैनेजमेंट (CSPM), क्लाउड वर्कलोड प्रोटेक्शन प्लेटफॉर्म (CWPP) के समाधानों को जोड़ती है, Data Loss Prevention (डीएलपी), और एक ही समाधान में अनुप्रयोग संरक्षण। हमने InfoSec टीमों को उनके क्लाउड नेटिव एप्लिकेशन में व्यापक दृश्यता प्रदान करने के लिए CNAPP का निर्माण किया। हमारे लिए, लक्ष्य यह नहीं था कि हम यह सुनिश्चित करने के लिए चीजों को धीमा कर दें कि सब कुछ सुरक्षित है; बल्कि हम इन्फोसेक टीमों को क्लाउड सुरक्षा के लिए आवश्यक दृश्यता और संदर्भ को कैसे सक्षम करते हैं, जबकि देव टीमों को तेजी से आगे बढ़ने की अनुमति देते हैं।

मुझे संक्षेप में बताएं कि स्काईहाई CNAPP में क्या विशेषताएं हैं और कुछ विशेषताओं को सूचीबद्ध करें जो ग्राहक पसंदीदा हैं।

क्लाउड सेवा मुद्रा प्रबंधन (CSPM)

IaaS में अधिकांश उल्लंघन आज सेवा मिसकॉन्फ़िगरेशन के कारण हैं। गार्टनर ने 2016 में प्रसिद्ध रूप से कहा था कि "क्लाउड सुरक्षा विफलताओं का 95% ग्राहक की गलती होगी। 2019 में, गार्टनर ने उस उद्धरण को अपडेट करते हुए कहा कि "99% क्लाउड सुरक्षा विफलताएं ग्राहकों की गलती होंगी। मैं उस दिन की प्रतीक्षा कर रहा हूं जब गार्टनर कहता है "105% ग्राहक की गलती होगी।

प्रतिशत इतना अधिक क्यों है? कई कारण हैं, लेकिन हम अपने ग्राहकों से बहुत कुछ सुनते हैं कि नई सेवाओं को सुरक्षित करने के बारे में ज्ञान की भारी कमी है। प्रत्येक क्लाउड प्रदाता नई सेवाओं और क्षमताओं को बुलंद गति से जारी कर रहा है, जिसमें गोद लेने के लिए कोई अवरोधक नहीं है। दुर्भाग्य से, उद्योग ने एक कार्यबल होने की गति से मेल नहीं खाया है जो जानता है और समझता है कि इन नई सेवाओं और क्षमताओं को कैसे कॉन्फ़िगर किया जाए। स्काईहाई CNAPP ग्राहकों को सभी क्लाउड सेवाओं का तुरंत ऑडिट करने और उन सेवाओं को सर्वोत्तम सुरक्षा प्रथाओं और उद्योग मानकों जैसे CIS Foundations, PCI, HIPPA और NIST के खिलाफ बेंचमार्क करने की क्षमता प्रदान करता है।

उस ऑडिट के भीतर (हम इसे एक सुरक्षा घटना कहते हैं), स्काईहाई सीएनएपीपी सुरक्षा में सुधार के लिए सेवाओं को पुन: कॉन्फ़िगर करने के तरीके के बारे में विस्तृत जानकारी प्रदान करता है, लेकिन सेवा सेवा स्तर समझौतों (एसएलए) के साथ देव टीमों को सुरक्षा घटना को असाइन करने की क्षमता भी प्रदान करती है, इसलिए कोई अस्पष्टता नहीं है कि कौन मालिक है और क्या बदलने की जरूरत है। इन सभी वर्कफ़्लोज़ को स्वचालित किया जा सकता है ताकि समस्याओं को खोजने और ठीक करने के लिए कई टीमों को वास्तविक समय में सशक्त बनाया जा सके।

इसके अतिरिक्त, स्काईहाई CNAPP में एक कस्टम पॉलिसी फीचर है जहां ग्राहक अपने वातावरण के लिए अद्वितीय जोखिम भरे गलत कॉन्फ़िगरेशन की पहचान करने के लिए नीतियां बना सकते हैं और साथ ही जेनकिंस, बिटबकेट और गिटहब जैसे डेवलपर टूल के साथ एकीकरण कर सकते हैं जो सुरक्षा मानकों को पूरा नहीं करते हैं।

क्लाउड वर्कलोड प्रोटेक्शन प्लेटफॉर्म

IaaS प्लेटफॉर्म लिनक्स (OS), डॉकर (कंटेनर), और कुबेरनेट्स (ऑर्केस्ट्रेशन) जैसे ओपन-सोर्स सॉफ़्टवेयर (OSS) के उत्प्रेरक बन गए हैं। इन उपकरणों का उपयोग करने के साथ चुनौती सॉफ्टवेयर पुस्तकालयों में पाए जाने वाले सामान्य कमजोरियों और एक्सपोजर (सीवीई) और नई सेवाओं को तैनात करने में गलत कॉन्फ़िगरेशन का इनहेरिट जोखिम है। गार्टनर का एक और प्रसिद्ध उद्धरण यह है कि "कंटेनरों के खिलाफ 70% हमले ज्ञात कमजोरियों और गलत कॉन्फ़िगरेशन से होंगे जिन्हें उपचारित किया जा सकता था। लेकिन इन्फोसेक टीम जल्दी से उन कमजोरियों और गलत कॉन्फ़िगरेशन को कैसे स्पॉट करती है, विशेष रूप से अल्पकालिक वातावरण में कई डेवलपर टीमों के साथ सीआई / सीडी पाइपलाइनों में लगातार रिलीज को धक्का देती है?

Skyhigh CNAPP IaaS में चलने वाले सभी गणना उदाहरणों, कंटेनरों और कंटेनर सेवाओं की पहचान करके पूर्ण कार्यभार सुरक्षा प्रदान करता है, जबकि महत्वपूर्ण CVEs की पहचान करते हुए, रिपॉजिटरी और उत्पादन कंटेनर सेवाओं दोनों में गलत कॉन्फ़िगरेशन और कुछ नई सुरक्षा सुविधाओं को पेश करता है। इन सुविधाओं में जल्द ही नैनो-सेगमेंटेशन और ऑन-प्रिम समर्थन शुरू करने की योजना के साथ एप्लिकेशन अनुमति लिस्टिंग, ओएस सख्त और फ़ाइल अखंडता निगरानी शामिल है।

ग्राहक पसंदीदा

• इन-टेनेंट डीएलपी स्कैन: हमारे कई ग्राहकों के पास सार्वजनिक रूप से उजागर क्लाउड स्टोरेज सेवाओं (कभी-कभी बाल्टी के रूप में संदर्भित) के लिए वैध उपयोग के मामले हैं, लेकिन साथ ही यह सुनिश्चित करने की आवश्यकता है कि उन बाल्टियों में संवेदनशील डेटा नहीं है। इन सेवाओं के लिए डीएलपी का उपयोग करने के साथ चुनौती बाजार में उपलब्ध कई समाधान हैं, डेटा को विक्रेता के अपने वातावरण में कॉपी करें। यह निकास शुल्क के साथ ग्राहक लागत बढ़ाता है और डेटा पारगमन के साथ सुरक्षा चुनौतियों का भी परिचय देता है। CNAPP ग्राहकों को इन-टेनेंट DLP स्कैन करने की अनुमति देता है जहां डेटा IaaS वातावरण को कभी नहीं छोड़ता है, जिससे प्रक्रिया अधिक सुरक्षित और कम खर्चीली हो जाती है।
• क्लाउड के लिए MITRE ATT&CK फ्रेमवर्क: सुरक्षा संचालन केंद्र (SOC) की भाषा MITRE है, लेकिन क्लाउड सुरक्षा घटनाएं इस ढांचे में कैसे फिट होती हैं, इसमें बहुत सारी बारीकियां हैं। स्काईहाई CNAPP के साथ हमने एक एंड-टू-एंड प्रक्रिया बनाई है जो सभी CSPM और CWPP सुरक्षा घटनाओं को MITRE में मैप करती है। अब InfoSec और डेवलपर टीमें स्वचालित रूप से हर क्लाउड घटना को MITRE में वर्गीकृत करके, तेजी से प्रतिक्रियाओं और बेहतर सहयोग की सुविधा प्रदान करके एक साथ अधिक प्रभावी ढंग से काम कर सकती हैं।
• एकीकृत अनुप्रयोग सुरक्षा: CNAPP हमारी MVISION क्लाउड सेवा, एक ही मंच पर बनाया गया हैगार्टनर Magic Quadrant के लिए नेता Cloud Access Security Broker (सी.ए.एस.बी.) ग्राहक अब अपने SaaS अनुप्रयोगों पर विस्तृत दृश्यता और सुरक्षा नियंत्रण प्राप्त करने में सक्षम हैं, साथ ही वे उसी समाधान के साथ IaaS में निर्माण कर रहे हैं। हमारे ग्राहकों को एक कंसोल पसंद है जो सभी टीमों में आवेदन जोखिम की समग्र तस्वीर प्रदान करता है - उपभोक्ताओं के लिए सास और बिल्डरों के लिए आईएएएस।

ऐसी और भी बहुत सी विशेषताएं हैं जिन्हें मैं उजागर करना पसंद करूंगा, लेकिन इसके बजाय मैं आपको अपने लिए समाधान देखने के लिए आमंत्रित करता हूं। हमारी रिलीज़ के बारे में अधिक जानकारी के लिए https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html पर जाएँ या https://www.skyhighsecurity.com/forms/demo-request-form.html पर डेमो का अनुरोध करें। हमें आपकी प्रतिक्रिया प्राप्त करना और यह सुनना अच्छा लगेगा कि स्काईहाई CNAPP आपको क्लाउड में अधिक सशक्त और जिम्मेदार बनने में कैसे मदद कर सकता है।