19 พฤษภาคม, 2022
โดย Rodman Ramezanian - Enterprise Cloud Security Advisor, Skyhigh Security
คุณคงเคยได้ยินวลีที่ว่า "พลังอันยิ่งใหญ่มาพร้อมกับความรับผิดชอบที่ยิ่งใหญ่" อีกทางหนึ่งเรียกว่า "หลักการปีเตอร์ ปาร์คเกอร์" วลีนี้กลายเป็นที่รู้จักกันดีในวัฒนธรรมสมัยนิยม ส่วนใหญ่เกิดจากการ์ตูนและภาพยนตร์ของสไปเดอร์แมน ซึ่งปีเตอร์ ปาร์คเกอร์เป็นตัวเอก วลีนี้เป็นที่รู้จักกันดีในปัจจุบันว่ามีบทความของตัวเองในวิกิพีเดีย สาระสําคัญของวลีนี้คือหากคุณได้รับอํานาจในการเปลี่ยนแปลงให้ดีขึ้นคุณมีภาระผูกพันทางศีลธรรมที่จะทําเช่นนั้น
อย่างไรก็ตาม สิ่งที่ฉันสังเกตเห็นขณะพูดคุยกับลูกค้าเกี่ยวกับความปลอดภัยของระบบคลาวด์ โดยเฉพาะอย่างยิ่งการรักษาความปลอดภัยสําหรับ Infrastructure as a Service (IaaS) เป็นปรากฏการณ์ที่ฉันขนานนามว่า "John McClane Principle" – มีการเปลี่ยนชื่อเพื่อปกป้องผู้บริสุทธิ์
หลักการ John McClane เกิดขึ้นเมื่อมีคนได้รับมอบหมายให้รับผิดชอบในการแก้ไขบางสิ่ง แต่ในขณะเดียวกันก็ไม่ได้รับอํานาจให้ทําการเปลี่ยนแปลงที่จําเป็น สถานการณ์นี้อาจฟังดูไร้สาระ แต่ฉันพนันได้เลยว่าทีม InfoSec จํานวนมากสามารถเห็นอกเห็นใจกับปัญหาได้ บทสนทนาเป็นดังนี้:
- CEO ของ InfoSec: คุณต้องตรวจสอบให้แน่ใจว่าเราปลอดภัยในระบบคลาวด์ ฉันไม่ต้องการที่จะเป็นคนต่อไป [แทรกการละเมิดล่าสุดที่นี่]
- InfoSec ถึง CEO: ใช่ ดังนั้นฉันจึงดูว่าเราใช้ระบบคลาวด์อย่างไร และปัญหาส่วนใหญ่ของเรามาจากการขาดกระบวนการและความรู้ เรามีทีมมากมายที่ทําสิ่งของตัวเองในระบบคลาวด์ และฉันมองไม่เห็นสิ่งที่พวกเขากําลังทําอยู่อย่างสมบูรณ์
- CEO ของ InfoSec: เยี่ยมมาก ไปแก้ไขเลย
- InfoSec ถึง CEO: ปัญหาคือฉันไม่ได้พูดอะไรเกี่ยวกับทีมเหล่านั้น พวกเขาสามารถทําอะไรก็ได้ที่พวกเขาต้องการ ในการแก้ไขปัญหาพวกเขาจะมีการเปลี่ยนแปลงวิธีการใช้ระบบคลาวด์ เราจําเป็นต้องได้รับการบายอินจากผู้จัดการทีม แต่ผู้จัดการทีมเหล่านั้นบอกผมว่าพวกเขาไม่สนใจที่จะเปลี่ยนแปลงอะไรเพราะมันจะทําให้สิ่งต่างๆ ช้าลง
- CEO ของ InfoSec: ฉันแน่ใจว่าคุณจะเข้าใจ ขอให้โชคดีและเราไม่ควรมีการละเมิด
นั่นคือเมื่อ "ไม่มีอํานาจมาพร้อมกับความรับผิดชอบมากขึ้น" ดังขึ้น
และทําไมถึงเป็นเช่นนั้น? เหตุผลก็คือ Infrastructure-as-a-Service (IaaS) ได้เปลี่ยนวิธีที่เราบริโภคไอทีโดยพื้นฐาน และนอกจากนั้น วิธีที่เราปรับขนาดความปลอดภัย เราจะไม่ส่งคําขอซื้ออีกต่อไปและผ่านกระบวนการที่ยาวนานและยาวนานเพื่อหมุนทรัพยากรโครงสร้างพื้นฐาน ตอนนี้ทุกคนที่มีบัตรเครดิตสามารถหมุนศูนย์ข้อมูลได้ภายในไม่กี่นาทีทั่วโลก
อย่างไรก็ตาม ความคล่องตัวได้แนะนําการเปลี่ยนแปลงที่ไม่ได้ตั้งใจบางอย่างให้กับ InfoSec และเพื่อปรับขนาด การรักษาความปลอดภัยบนคลาวด์ไม่สามารถเป็นความรับผิดชอบของทีมใดทีมหนึ่งแต่เพียงผู้เดียว แต่การรักษาความปลอดภัยบนคลาวด์จะต้องฝังอยู่ในกระบวนการและขึ้นอยู่กับการทํางานร่วมกันระหว่างการพัฒนาสถาปนิกและการดําเนินงาน ขณะนี้ทีมเหล่านี้มีบทบาทสําคัญมากขึ้นในการรักษาความปลอดภัยบนคลาวด์ และในหลายกรณีเป็นทีมเดียวที่สามารถใช้การเปลี่ยนแปลงเพื่อเพิ่มความปลอดภัยได้ ตอนนี้ InfoSec ทําหน้าที่เป็นเชอร์ปาแทนผู้รักษาประตูเพื่อให้แน่ใจว่าทุกทีมกําลังเดินไปสู่จังหวะเดียวกันและปลอดภัย
อย่างไรก็ตาม ตามที่ John McClane สามารถบอกคุณได้ว่ายิ่งคุณมีทีมที่ดูแลความปลอดภัยของระบบคลาวด์มากขึ้นไม่ได้หมายความว่าคุณมีโซลูชันที่ดีกว่าเสมอไป ในความเป็นจริงการต้องประสานงานระหว่างหลายทีมที่มีลําดับความสําคัญต่างกันอาจทําให้การรักษาความปลอดภัยซับซ้อนยิ่งขึ้นและทําให้คุณช้าลง ดังนั้นความต้องการโซลูชันการรักษาความปลอดภัยที่คล่องตัวซึ่งอํานวยความสะดวกในการทํางานร่วมกันระหว่างนักพัฒนาสถาปนิกและ InfoSec แต่ในขณะเดียวกันก็มีรั้วกั้นดังนั้นจึงไม่มีอะไรหลุดมือ
บริการรักษาความปลอดภัยบนคลาวด์ของเราสร้างขึ้นโดยเฉพาะสําหรับลูกค้าที่ย้ายและพัฒนาแอปพลิเคชันในระบบคลาวด์ เราเรียกมันว่า Skyhigh Cloud-Native Application Protection Platform - หรือเพียงแค่ Skyhigh CNAPP เพราะทุกบริการสมควรได้รับตัวย่อ
Skyhigh CNAPP คืออะไร? Skyhigh CNAPP รวมโซลูชันจาก Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP), Data Loss Prevention (DLP) และ Application Protection เป็นโซลูชันเดียว เราสร้าง CNAPP เพื่อให้ทีม InfoSec มองเห็นแอปพลิเคชันบนคลาวด์ของตนได้ในวงกว้าง สําหรับเราเป้าหมายไม่ใช่วิธีที่เราจะชะลอสิ่งต่าง ๆ เพื่อให้แน่ใจว่าทุกอย่างปลอดภัย แต่เราจะช่วยให้ทีม InfoSec มองเห็นและบริบทที่จําเป็นสําหรับการรักษาความปลอดภัยบนคลาวด์ได้อย่างไรในขณะที่ช่วยให้ทีมพัฒนาทํางานได้อย่างรวดเร็ว
ให้ฉันอธิบายสั้น ๆ ว่าคุณลักษณะใดที่ Skyhigh CNAPP มีและแสดงรายการคุณสมบัติบางอย่างที่เป็นรายการโปรดของลูกค้า
การจัดการเสถียรภาพบริการคลาวด์ (CSPM)
การละเมิดส่วนใหญ่ใน IaaS ในปัจจุบันเกิดจากการกําหนดค่าบริการผิดพลาด Gartner กล่าวอย่างมีชื่อเสียงในปี 2016 ว่า "95% ของความล้มเหลวด้านความปลอดภัยบนคลาวด์จะเป็นความผิดของลูกค้า" ในปี 2019 Gartner ได้อัปเดตคําพูดดังกล่าวเพื่อกล่าวว่า "99% ของความล้มเหลวด้านความปลอดภัยบนคลาวด์จะเป็นความผิดของลูกค้า" ฉันกําลังรอวันที่การ์ทเนอร์พูดว่า "105% จะเป็นความผิดของลูกค้า"
ทําไมเปอร์เซ็นต์ถึงสูงมาก? มีสาเหตุหลายประการ แต่เราได้ยินมากมายจากลูกค้าของเราว่าขาดความรู้อย่างมากเกี่ยวกับวิธีการรักษาความปลอดภัยบริการใหม่ ผู้ให้บริการคลาวด์แต่ละรายกําลังเปิดตัวบริการและความสามารถใหม่ ๆ อย่างรวดเร็วโดยไม่มีตัวบล็อกสําหรับการนําไปใช้ น่าเสียดายที่อุตสาหกรรมนี้ไม่ตรงกับจังหวะของการมีพนักงานที่รู้และเข้าใจวิธีที่ดีที่สุดในการกําหนดค่าบริการและความสามารถใหม่เหล่านี้ Skyhigh CNAPP ช่วยให้ลูกค้าสามารถตรวจสอบบริการคลาวด์ทั้งหมดได้ทันทีและเปรียบเทียบบริการเหล่านั้นกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดและมาตรฐานอุตสาหกรรมเช่น CIS Foundations, PCI, HIPPA และ NIST
ภายในการตรวจสอบนั้น (เราเรียกว่าเหตุการณ์ด้านความปลอดภัย) Skyhigh CNAPP ให้ข้อมูลโดยละเอียดเกี่ยวกับวิธีกําหนดค่าบริการใหม่เพื่อปรับปรุงความปลอดภัย แต่บริการนี้ยังให้ความสามารถในการกําหนดเหตุการณ์ด้านความปลอดภัยให้กับทีมพัฒนาด้วยข้อตกลงระดับบริการ (SLA) ดังนั้นจึงไม่มีความคลุมเครือว่าใครเป็นเจ้าของอะไรและต้องเปลี่ยนแปลงอะไร เวิร์กโฟลว์ทั้งหมดเหล่านี้สามารถทํางานอัตโนมัติได้ เพื่อให้หลายทีมได้รับอํานาจในการค้นหาและแก้ไขปัญหาแบบเกือบเรียลไทม์
นอกจากนี้ Skyhigh CNAPP ยังมีคุณลักษณะนโยบายที่กําหนดเองซึ่งลูกค้าสามารถสร้างนโยบายเพื่อระบุการกําหนดค่าที่มีความเสี่ยงซึ่งไม่ซ้ํากับสภาพแวดล้อมของตน ตลอดจนการผสานรวมกับเครื่องมือสําหรับนักพัฒนา เช่น Jenkins, Bitbucket และ GitHub ที่ให้ข้อเสนอแนะเกี่ยวกับการปรับใช้ที่ไม่เป็นไปตามมาตรฐานความปลอดภัย
แพลตฟอร์มการป้องกันเวิร์กโหลดบนคลาวด์
แพลตฟอร์ม IaaS ได้กลายเป็นตัวเร่งปฏิกิริยาสําหรับซอฟต์แวร์โอเพ่นซอร์ส (OSS) เช่น Linux (OS), Docker (คอนเทนเนอร์) และ Kubernetes (การประสาน) ความท้าทายในการใช้เครื่องมือเหล่านี้คือความเสี่ยงในการสืบทอดช่องโหว่ทั่วไปและความเสี่ยง (CVE) ที่พบในไลบรารีซอฟต์แวร์และการกําหนดค่าที่ไม่ถูกต้องในการปรับใช้บริการใหม่ คําพูดที่มีชื่อเสียงอีกคําหนึ่งของ Gartner คือ "70% ของการโจมตีคอนเทนเนอร์จะมาจากช่องโหว่ที่ทราบและการกําหนดค่าที่ไม่ถูกต้องซึ่งสามารถแก้ไขได้" แต่ทีม InfoSec จะตรวจจับช่องโหว่และการกําหนดค่าที่ไม่ถูกต้องเหล่านั้นได้อย่างรวดเร็วโดยเฉพาะอย่างยิ่งในสภาพแวดล้อมชั่วคราวที่มีทีมนักพัฒนาหลายคนผลักดันการเผยแพร่บ่อยครั้งไปยังไปป์ไลน์ CI / CD ได้อย่างไร
Skyhigh CNAPP ให้การปกป้องเวิร์กโหลดเต็มรูปแบบโดยการระบุอินสแตนซ์การประมวลผลคอนเทนเนอร์และบริการคอนเทนเนอร์ทั้งหมดที่ทํางานใน IaaS ในขณะที่ระบุ CVE ที่สําคัญการกําหนดค่าที่ไม่ถูกต้องทั้งในบริการที่เก็บและคอนเทนเนอร์การผลิตและแนะนําคุณสมบัติการป้องกันใหม่บางอย่าง คุณสมบัติเหล่านี้รวมถึงรายการที่อนุญาตแอปพลิเคชันการชุบแข็งระบบปฏิบัติการและการตรวจสอบความสมบูรณ์ของไฟล์โดยมีแผนที่จะแนะนําการแบ่งส่วนนาโนและการสนับสนุนในองค์กรเร็ว ๆ นี้
รายการโปรดของลูกค้า
- การสแกน DLP ในผู้เช่า: ลูกค้าจํานวนมากของเรามีกรณีการใช้งานที่ถูกต้องสําหรับบริการพื้นที่เก็บข้อมูลบนคลาวด์ที่เปิดเผยต่อสาธารณะ (บางครั้งเรียกว่าบัคเก็ต) แต่ในขณะเดียวกันก็ต้องตรวจสอบให้แน่ใจว่าบัคเก็ตเหล่านั้นไม่มีข้อมูลที่ละเอียดอ่อน ความท้าทายในการใช้ DLP สําหรับบริการเหล่านี้คือโซลูชันมากมายที่มีอยู่ในตลาดคัดลอกข้อมูลไปยังสภาพแวดล้อมของผู้ขายเอง สิ่งนี้จะเพิ่มต้นทุนของลูกค้าด้วยค่าธรรมเนียมขาออกและยังทําให้เกิดความท้าทายด้านความปลอดภัยด้วยการส่งข้อมูล CNAPP ช่วยให้ลูกค้าทําการสแกน DLP ในผู้เช่าโดยที่ข้อมูลไม่เคยออกจากสภาพแวดล้อม IaaS ทําให้กระบวนการปลอดภัยยิ่งขึ้นและราคาไม่แพง
- MITRE ATT&CK Framework for Cloud: ภาษาของ Security Operation Centers (SOC) คือ MITRE แต่มีความแตกต่างมากมายในวิธีที่เหตุการณ์ด้านความปลอดภัยบนคลาวด์เหมาะสมกับเฟรมเวิร์กนี้ ด้วย Skyhigh CNAPP เราได้สร้างกระบวนการแบบ end-to-end ที่แมปเหตุการณ์ด้านความปลอดภัย CSPM และ CWPP ทั้งหมดกับ MITRE ตอนนี้ InfoSec และทีมนักพัฒนาสามารถทํางานร่วมกันได้อย่างมีประสิทธิภาพมากขึ้นโดยการจัดหมวดหมู่ทุกเหตุการณ์บนคลาวด์เป็น MITRE โดยอัตโนมัติ ซึ่งช่วยให้ตอบสนองได้เร็วขึ้นและทํางานร่วมกันได้ดีขึ้น
- Unified Application Security: CNAPP สร้างขึ้นบนแพลตฟอร์มเดียวกับบริการ MVISION Cloud ของเราการ์ทเนอร์ Magic Quadrant ผู้นําด้าน Cloud Access Security Broker (CASB). ขณะนี้ลูกค้าสามารถรับการมองเห็นโดยละเอียดและการควบคุมความปลอดภัยสําหรับแอปพลิเคชัน SaaS ของตนพร้อมกับแอปพลิเคชันที่พวกเขากําลังสร้างใน IaaS ด้วยโซลูชันเดียวกัน ลูกค้าของเราชอบที่จะมีคอนโซลเดียวที่ให้ภาพแบบองค์รวมของความเสี่ยงในแอปพลิเคชันในทุกทีม – SaaS สําหรับผู้บริโภคและ IaaS สําหรับผู้สร้าง
มีคุณสมบัติอีกมากมายที่ฉันชอบที่จะเน้น แต่ฉันขอเชิญคุณตรวจสอบวิธีแก้ปัญหาด้วยตัวคุณเองแทน เยี่ยมชม https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดตัวของเราหรือขอการสาธิตที่ https://www.skyhighsecurity.com/forms/demo-request-form.html เราชอบที่จะได้รับคําติชมของคุณและรับฟังว่า Skyhigh CNAPP สามารถช่วยให้คุณมีอํานาจและมีความรับผิดชอบมากขึ้นในระบบคลาวด์ได้อย่างไร
กลับไปที่บล็อก