Expert Cloud Ασφάλεια στρογγυλής τράπεζας: Ο πάροχος θα το κάνει ήδη

Anonim

Η σύγκριση των αυτοκινήτων μάλλον ανήκει στην αγαπημένη στυλοειδή συσκευή των γερμανικών ομάδων συζήτησης. Αυτό ισχύει επίσης και ειδικά όταν πρόκειται για θέματα ασφάλειας. Έτσι, η Στρογγυλή Τράπεζα IDG για την Ασφάλεια Cloud δημιούργησε φράσεις όπως "Το Cloud είναι σαν 250 στην αριστερή λωρίδα" ή "Ένα αυτοκίνητο λειτουργεί χωρίς ζώνη ασφαλείας".

Mit der zunehmenden Cloud-Nutzung rückt auch der Security-Aspekt immer mehr in den Fokus der Verantwortlichen.
Με την αυξανόμενη χρήση του νέφους, η πτυχή ασφάλειας καθίσταται όλο και περισσότερο το επίκεντρο των υπευθύνων.
Φωτογραφία: Blackboard - shutterstock.com

Πάνω απ 'όλα, η σύγκριση με το αυτοκίνητο ταιριάζει με μία διάσταση: αν παραβλεφθεί η ασφάλεια, μπορεί αναμφισβήτητα να έχει καταστροφικές συνέπειες. Αλλά ακόμη και αυτή η αυτονόητη γνώση έχει καταστήσει μόνο σταδιακά στα μυαλά των αυτοκινητιστών. Αυτό αποδεικνύεται από τα μερικές φορές πολύ διασκεδαστικά άρθρα, τα οποία θυμίζουν τακτικά την «υστερική» αντίδραση των αυτοκινητιστών στην εισαγωγή της ζώνης ασφαλείας το 1975.

spoods.de

Πρώτα το όφελος, τότε η ασφάλεια - ένας μηχανισμός που δεν αποτελεί εξαίρεση για το θέμα του νέφους, όπως επιβεβαιώθηκε από τους προσκεκλημένους εμπειρογνώμονες στη Στρογγυλή Τράπεζα IDG στο Μόναχο. "Παρόμοια με την οδήγηση χωρίς ζώνη ασφαλείας, η αλλαγή συνείδησης συμβαίνει μόνο όταν συμβεί κάτι", τονίζει ο Oliver Lürssen, εκτελεστικός σύμβουλος του IT consultant CGI Germany.

Πληροφορίες σχετικά με τα πακέτα συνεργατών για τη Μελέτη Ασφάλειας Cloud

επίδειξη

Βρείτε το σωστό ρυθμό για πολυεπίπεδη διαχείριση

Das richtige Tempo für Multicloud-Management finden - Foto: whiteMocca - shutterstock.com

Η εργασία σε περιβάλλοντα πολλαπλών συνόρων είναι συνηθισμένη για πολλές επιχειρήσεις - αλλά το κόλπο είναι να ενορχηστρώσετε τα πάντα με τον καλύτερο δυνατό τρόπο. (Αγγλικά)

Στο άρθρο

Μετά από σήμερα, τα οφέλη από το σύννεφο δεν αμφισβητούνται πια (όπως επιβεβαιώνεται από την τρέχουσα μελέτη CW σχετικά με τη μετανάστευση σύννεφων), η εμφάνιση της συνολικής ευαισθητοποίησης σχετικά με την ασφάλεια δεν έχει ακόμη ολοκληρωθεί. Όταν αναζητούμε τους λόγους για αυτό, είναι εντυπωσιακό το γεγονός ότι οι μικρές και μεσαίες επιχειρήσεις, ιδίως, υστερούν στην ανάπτυξη - γεγονός που έχει επίσης σχέση με τους διαθέσιμους πόρους.

Κοινή ευθύνη - ολιστική ασφάλεια;

Πολύ λίγες εταιρείες βασίζονται σε μια ξεχωριστή λύση σύννεφο στην καθημερινή τους ζωή, αλλά χρησιμοποιούν ως επί το πλείστον μια δομή πολλαπλών σύννεφων, η οποία προσαρμόζεται ξεχωριστά στις απαιτήσεις της εταιρείας. Οι εταιρείες χρησιμοποιούν διαφορετικούς παρόχους αρχείων, virtualization ή συνεργάτες και συχνά είναι συνδυασμός λύσεων on-premise και cloud. Όσο πιο ατομική και αρθρωτή είναι η εγκατάσταση, τόσο περισσότερες διεπαφές ανοίγουν - πιθανά σημεία θραύσης για την ασφάλεια ολόκληρου του συστήματος. Αυτή η πολυπλοκότητα μπορεί να συντρίψει γρήγορα τις μικρές επιχειρήσεις ειδικότερα. Το αποτέλεσμα είναι πάνω από όλα αβεβαιότητα, γεγονός που οδηγεί στο γεγονός ότι η ευθύνη εκφορτώνεται με ευχαρίστηση στους ώμους του αντίστοιχου παρόχου.

  1. Frank Kölmel, δίκτυο Palo Alto
    "Πολλοί βασίζονται αποκλειστικά στον πάροχο για την ασφάλεια των δεδομένων τους, αλλά οι δημόσιοι προμηθευτές cloud όπως το AWS, βεβαίως, δεν αναλαμβάνουν την τελική ευθύνη, η οποία εξαρτάται πάντα από τον χρήστη - αλλά μόνο ένα κλάσμα των εταιρειών το γνωρίζει Δημιουργία ευαισθητοποίησης, επικοινωνία με νόημα και σταδιακή προσέλκυση της απαραίτητης τεχνογνωσίας στην επιχείρηση. Ο όρος "σύννεφο" συνδέεται με πολλούς διαμάχες μεταξύ παραγωγικότητας και ασφάλειας με αυτό το λάθος υπολογισμό πρέπει να ξεπεραστεί, επειδή η ασφάλεια και η ασφάλεια ταυτόχρονα είναι δυνατά τα σύννεφα. "
  2. Jan Michael Sunkel, Telefonica Germany Holding
    "Τα σύννεφα ονομάζονται ως απλούστευση: η βιομηχανία βρίσκεται ακόμα στην αρχή μιας θεμελιώδους ανάπτυξης στους τομείς του cloud και του IoT και οι νέες λύσεις cloud δημιουργούν συνεχώς νέα επιχειρηματικά μοντέλα και δυνητικά νέους κινδύνους, ενόψει όλων των πιθανών κινδύνων Η εξάλειψη των ευκαιριών είναι μια πρόκληση. "
  3. Jürgen Seiter, τεχνολογία DXC
    "Ως πάροχος υπηρεσιών, αντιμετωπίζουμε συχνά το θέμα της εξωτερικής ανάθεσης, όπου η ασφάλεια είναι μερικές φορές πολύ παραμελημένη, και καθώς οι διεπαφές αλλάζουν, η τεχνική πολυπλοκότητα αυξάνεται - και αυτό είναι που πολλοί πελάτες δυσκολεύονται να υλοποιήσουν. Τα περιβάλλοντα προετοιμασίας και η εφαρμογή των κατάλληλων ελέγχων ασφάλειας στο cloud είναι το κλειδί για την επιτυχία. "
  4. Kai Dornemann, genoa GmbH
    "Η ιδέα της αποτελεσματικότητας έχει εν τω μεταξύ επικρατήσει και στον δημόσιο τομέα, όπου το ιδιωτικό σύννεφο βιώνει ισχυρή ανάπτυξη, αλλά το δημόσιο σύννεφο δεν θα αποτελέσει ποτέ μια εναλλακτική λύση εκεί." Η απλότητα παραμένει η καλύτερη εγγύηση της ασφάλειας κατά την κατασκευή μιας υποδομής πρόσθετα στρώματα αυξάνουν την πολυπλοκότητα και επομένως την πιθανότητα των κενών ασφαλείας. "
  5. Lukas Höfer, ConSol
    "Είναι συχνά ξεχασμένο ότι η χαλαρή ασφάλεια δεν ήταν γύρω από το σύννεφο, για παράδειγμα, η κακή προστασία με κωδικό θα μπορούσε να προκαλέσει τεράστια ζημιά στην επιχείρηση, αλλά το σύννεφο θα αυξήσει σημαντικά την επιφάνεια της επίθεσης." Δεν υπάρχουν μόνο μεγάλες διαφορές στην ευαισθητοποίηση σχετικά με την ασφάλεια μεταξύ εταιρειών και ακόμη και μεταξύ μεμονωμένων ομάδων εντός ενός οργανισμού και πολύ συχνά το σύνθημα "αποτελεσματικότητα έναντι ασφάλειας", αν και υπάρχουν τόσες πολλές διαθέσιμες εργαλεία που συνδυάζουν και τα δύο.
  6. Oliver Lürssen, CGI Γερμανία
    "Η εμπειρία του CGI δείχνει ότι η έλλειψη έννοιας της ασφάλειας μπορεί να αποτελέσει μείζον πρόβλημα, παρόμοιο με την οδήγηση χωρίς ζώνη ασφαλείας, όταν συμβαίνει μια αλλαγή συνείδησης όταν συμβεί κάτι, αλλά πληρώνει για να επενδύσει σε εμπειρογνωμοσύνη. αλλά είναι δυσανάλογα σε σχέση με το δυνητικό κόστος και τη ζημία ενός κυβερνοπαράθεσης. "
  7. Sebastian Spann, Microfocus
    "Ο ψηφιακός μετασχηματισμός επιτρέπει πλέον στους υπαλλήλους να έχουν πρόσβαση σε δεδομένα και πνευματική ιδιοκτησία με ευελιξία σε αμέτρητα συστήματα, εφαρμογές και συσκευές για να εκτελούν καθήκοντα οπουδήποτε και οποτεδήποτε, οδηγώντας σε πολλαπλές ευπάθειες και δυνητικές παραβιάσεις της συμμόρφωσης. Οι επιχειρήσεις θα πρέπει να υιοθετήσουν μια ολιστική προσέγγιση από απόσταση μέχρι το τέλος για την αξιολόγηση και τον έλεγχο των κινδύνων σε πραγματικό χρόνο, ενώ σε μεγάλες επιχειρήσεις η ασφάλεια έχει αποκτήσει μεγαλύτερη σημασία και έχει ήδη φθάσει στην αίθουσα συνεδριάσεων, ενώ οι μικρές και μεσαίες επιχειρήσεις χρειάζονται επειγόντως Πολλοί βλέπουν την ευθύνη αποκλειστικά με τον πάροχο, αλλά δεν μπορούν ποτέ να αναλάβουν πλήρη ευθύνη, επομένως πρέπει να αναζητηθεί εδώ ένα μοντέλο κοινής ευθύνης, χρησιμοποιώντας την ασφάλεια που βασίζεται στο λογισμικό μας λύσεις μπορούν να υλοποιηθούν. "
  8. Thomas Neumann, SHE Πληροφορική
    "Μέσω του σύννεφου και της ταχείας τεχνολογικής ανάπτυξης, η ασφάλεια καθίσταται λιγότερο προβλέψιμη για τις επιχειρήσεις και ένας" κινούμενος στόχος. "Όπου ήταν αρκετό για να καθορίσει και να εφαρμόσει ορισμένα μέτρα, η ασφάλεια είναι περισσότερο θέμα υποδομής σήμερα Αλλά αν θέλετε να το σκεφτείτε, θα πρέπει να το κάνετε μέρος της διαδικασίας ανάπτυξης, αλλά δεν μπορείτε να περιμένετε εξαιρετικά εξειδικευμένους προγραμματιστές να "σκέφτονται" μέσα από μια νύχτα, απλά ενσωματώνοντας τους σωστούς ανθρώπους στη διαδικασία DevOps . »
  9. Michael von der Horst, Cisco Systems GmbH
    "Το ερώτημα αν είστε υπεύθυνος για τη χρήση της προσφοράς σύννεφων για την ασφάλεια εξαρτάται πολύ από αυτό που κάνετε και για το SaaS, είναι ευθύνη του πωλητή, με εξαίρεση τα θέματα ελέγχου ταυτότητας και εξουσιοδότησης, να αναθέτει σε τρίτους την υποδομή Προστατεύοντας τον εικονικό κόσμο, όπως θα έκανα ένας φυσικός κέντρος δεδομένων δεδομένων. Επιπλέον, εξασφαλίζοντας τις διεπαφές. Είναι καλύτερο να χρησιμοποιήσετε μια ολοκληρωμένη αρχιτεκτονική ασφαλείας 360 °. "

Ωστόσο, αυτό είναι μόνο μερικώς υπεύθυνο, διότι η συνεργασία μεταξύ του χρήστη και του παροχέα cloud βασίζεται γενικά στο μοντέλο που αποκαλείται "Κοινή ευθύνη". Έτσι, οι πάροχοι είναι μόνο υπεύθυνοι για την ίδια την υποδομή, ενώ οι εταιρείες είναι υπεύθυνες για την προστασία των δικών τους δεδομένων και εφαρμογών.

Αυτό ισχύει ακόμη περισσότερο με την εξέταση της νομικής κατάστασης. Το US Cloud Act, το οποίο επιτρέπει στις αμερικανικές αρχές ασφαλείας σε ορισμένες περιπτώσεις την πρόσβαση σε ευρωπαϊκά δεδομένα πελατών, δημιουργεί μια κατάσταση στην οποία πολλοί πάροχοι έχουν την επιλογή είτε να σπάσουν τους κανόνες του Cloud Act ή του DSGVO. Αυτό δημιουργεί μια νομική αβεβαιότητα, η λύση της οποίας δεν βρίσκεται επί του παρόντος στο προσκήνιο. Συνεπώς, οι χρήστες πρέπει να διασφαλίζουν ότι τα δεδομένα τους δεν εμπίπτουν σε λάθος χέρια.

Πρόκειται για δεδομένα που συλλέχθηκαν και επεξεργάστηκαν από καιρό σε όλη την επιχείρηση. Η ασφάλεια πρέπει να εφαρμόζεται ανάλογα με όλα τα επίπεδα. Οι αρμοδιότητες εξακολουθούν συχνά να μεταβιβάζονται ή να ενσωματώνονται σε υπάρχουσες διαδικασίες που χρονολογούνται από τις περιόδους κατά τις οποίες μόνο το τμήμα πληροφορικής διαχειριζόταν την εταιρική υποδομή. Αυτοί οι καιροί είναι, επομένως, η ομόφωνη γνώμη στον γύρο.

"Για να είναι σε θέση να αξιολογήσουν και να ελέγξουν την ποικιλομορφία των κινδύνων στον κυβερνοχώρο σε πραγματικό χρόνο, οι εταιρείες θα πρέπει να υιοθετήσουν μια ολιστική προσέγγιση από το ένα στο άλλο". Σε μεγάλες επιχειρήσεις, η ασφάλεια έχει αποκτήσει μεγαλύτερη σημασία και έχει ήδη καταλήξει σε συμβούλια Οι εταιρείες πρέπει επειγόντως να καλύψουν τις ανάγκες τους για να ανταποκριθούν στις απαιτήσεις ασφάλειας της προοδευτικής ψηφιοποίησης ", σημειώνει ο Sebastian Spann της Microfocus.

Η ασφάλεια πρέπει να είναι σωστή από την αρχή

Τουλάχιστον από την έναρξη ισχύος του GDPR και δυνητικά draconian κυρώσεις για παραβιάσεις των κανόνων και κανονισμών, η προστασία των δεδομένων και η ασφάλεια των δεδομένων είναι επίσης στο επίκεντρο των συμβουλίων. Και δεδομένου ότι η ευρεία χρήση λύσεων σύννεφο απαιτούνται επειγόντως οι κατάλληλες προφυλάξεις. Ωστόσο, συχνά έρχεται στο προσκήνιο ότι τα χαλαρά μέτρα ασφαλείας στις επιχειρήσεις δεν είναι ένα νέο φαινόμενο. Ακόμα και στο παρελθόν, οι κακώς προστατευμένοι κωδικοί πρόσβασης θα μπορούσαν να προκαλέσουν τεράστια ζημιά στην εταιρεία. Ωστόσο, ο κίνδυνος αυξάνεται σημαντικά από το σύννεφο - επειδή προσφέρει απλώς περισσότερη επιφάνεια επίθεσης λόγω του μεγάλου αριθμού διεπαφών. Μετά από όλα, κάθε πρόσθετο στρώμα λογισμικού αυξάνει την πολυπλοκότητα πολλές φορές - και επομένως την πιθανότητα τρύπων ασφαλείας.

Security-Experten aus unterschiedlichen Bereichen und Firmen diskutierten beim COMPUTERWOCE-Round-Table Cloud Security über Sicherheitsfragen rund um die Cloud.
Εμπειρογνώμονες ασφαλείας από διάφορους τομείς και εταιρείες συζήτησαν θέματα ασφάλειας του cloud στην Ασφάλεια Cloud Security Roundtable Table COMPUTERWOCE.
Φωτογραφία: IDG Business Media GmbH

Επιπλέον, η ανάπτυξη και η λειτουργία επιχειρηματικών εφαρμογών που βασίζονται σε νέφος σήμερα δεν επιτρέπουν πλέον την ασφάλεια μετά την εγκατάσταση ως πρόσθετο σε υπάρχουσα υποδομή. Ο διαδεδομένος θρίαμβος των DevOps απαιτεί μια προσέγγιση "ασφαλείας από προεπιλογή", η οποία ανταποκρίνεται στη δυναμική της σύγχρονης ανάπτυξης λογισμικού. Αν η ανάπτυξη γίνει μια διαδικασία, τότε η ασφάλεια πρέπει να θεωρείται διαδικασία-σοφός.

"Μέσω του σύννεφου και της ταχείας τεχνολογικής ανάπτυξης, η ασφάλεια καθίσταται λιγότερο προβλέψιμη για τις επιχειρήσεις και ένας" κινούμενος στόχος. "Όπου ήταν αρκετό για να καθορίσει και να εφαρμόσει ορισμένα μέτρα, η ασφάλεια είναι περισσότερο θέμα υποδομής σήμερα Πρέπει να αποτελεί μέρος της αναπτυξιακής διαδικασίας ", τονίζει ο Thomas Neumann, Εκτελεστικός Διευθυντής Λύσεις Υποδομής στο SHE. Ωστόσο, δεδομένου ότι δεν μπορούσαμε να περιμένουμε εξειδικευμένους προγραμματιστές να "σκέφτονται" όλη τη νύχτα, αυτό λειτουργεί μόνο αν οι σωστοί άνθρωποι ενσωματωθούν στη διαδικασία DevOps.

Αποδεικνύεται ότι η εφαρμογή μιας εθνικής στρατηγικής ασφάλειας είναι επίσης θέμα της σωστής κατανομής των πόρων σε αυτό το σημείο.

Η παραγωγικότητα και η ασφάλεια δεν πρέπει να αντιβαίνουν ο ένας στον άλλο

Πολλές εταιρείες εξακολουθούν να αντιλαμβάνονται την παραγωγικότητα και την ασφάλεια. Σύμφωνα με τους συμμετέχοντες στη συζήτηση, αυτή η εσφαλμένη εκτίμηση πρέπει να ξεπεραστεί. Εάν ληφθούν υπόψη από την αρχή οι κατάλληλες έννοιες ασφάλειας, ενσωματώνονται στη διαδικασία ανάπτυξης και επιτυγχάνουν επίσης σε πολιτιστικό επίπεδο, ασφαλή και συγχρόνως αποδοτικά λύσεις νέφους μπορούν να υλοποιηθούν.

Πληροφορίες σχετικά με τα πακέτα συνεργατών για τη Μελέτη Ασφάλειας Cloud

Η ανάγκη για μια ολοκληρωμένη αλλαγή της συνείδησης γίνεται ακόμη περισσότερο επειδή η ανάπτυξη μόλις ξεκίνησε: Οι τεχνολογικές δυνατότητες του σύννεφου δημιουργούν νέα επιχειρηματικά μοντέλα βασισμένα σε δεδομένα. Το Διαδίκτυο των πραγμάτων δημιουργεί μια πληθώρα πρόσθετων διεπαφών, οι οποίες με τη σειρά τους απαιτούν εντελώς νέες, έξυπνες έννοιες ασφάλειας. Στο τέλος αυτής της εξέλιξης είναι η χρήση της τεχνητής νοημοσύνης - τόσο στην ανάλυση, όσο και στην εφεδρεία των δεδομένων.