Verstöße gegen IaaS und Cloud Native: Warum Unternehmen gefährdet sind

Hören Sie auf, hybride Cloud-Sicherheitsrisiken zu ignorieren Karen Roby spricht mit einem Sicherheitsexperten über den Schutz des Unternehmens in einer hybriden IT-Welt.

Must-Read Cloud

  • Cloud Computing im Jahr 2020: Vorhersagen zu Sicherheit, KI, Kubernetes, mehr
  • Die wichtigsten Cloud-Fortschritte des Jahrzehnts
  • Top Desktop as a Service (DaaS) -Anbieter: Amazon, Citrix, Microsoft, VMware und mehr
  • Cloud-Computing-Richtlinie (TechRepublic Premium)

Laut einem heute veröffentlichten McAfee-Bericht besteht für Infrastructure-as-a-Service (IaaS) ein großes Risiko für Cloud-native Sicherheitsverletzungen. 99% der Vorfälle mit Fehlkonfigurationen in öffentlichen Cloud-Umgebungen bleiben unentdeckt.

IaaS ist der am schnellsten wachsende Bereich der Cloud als neue Standard-IT-Umgebung für interne und externe Anwendungen. In der Eile, IaaS einzuführen, haben viele Unternehmen die Notwendigkeit von Sicherheit übersehen, vorausgesetzt, der Cloud-Anbieter hat sich darum gekümmert.

Infolgedessen gab es zahlreiche Cloud-Native Breaches (CNB), bei denen es sich um einen opportunistischen Angriff auf Daten handelt, die durch Fehler bei der Konfiguration der Cloud-Umgebung oder Fehlkonfigurationen offen gelassen wurden.

Die beliebtesten IaaS-Anbieter sind namhafte Unternehmen wie Amazon, Microsoft, Alibaba, Google und IBM. Die Eile, diese wachsende Technologie einzuführen, lässt die Sicherheit jedoch nachträglich hinter sich, da 99% der Cloud-Fehlkonfigurationen von Unternehmen unentdeckt bleiben. McAfees Cloud Native: Der Bericht über die Einführung und das Risiko von Infrastructure-as-a-Service (IaaS) wurde gefunden.

Cloud-Anbieter 2019: Ein Einkaufsführer (kostenloses PDF) (TechRepublic)

IaaS ist ein Cloud-Computing-Modell, das von Unternehmen in Form von Speicher, Netzwerk sowie physischen oder virtuellen Servern gemietet werden kann, wie in ZDNets Was ist Cloud Computing? Alles, was Sie über die Cloud wissen müssen, erklärt. Diese Systeme sind wertvoll für Unternehmen, die Anwendungen selbst entwickeln und alle Aspekte ihrer Daten steuern möchten.

In dem am Dienstag veröffentlichten Bericht wurden 1.000 Unternehmensorganisationen weltweit befragt, um die größten IaaS-Sicherheitsprobleme zu ermitteln. Cloud-Fehlkonfigurationen dominierten die Bedrohungslandschaft und ließen Millionen von Verbraucherdatensätzen und geistigem Eigentum für Diebstahl anfällig werden.

"Eine Fehlkonfiguration der Cloud ist eines der am meisten vermeidbaren und dennoch häufig auftretenden Sicherheitsprobleme, mit denen Cloud-Kunden konfrontiert sind", sagte Sekhar Sarukkai, Vice President Engineering für Cloud-Sicherheit bei McAfee. "Cloud-Fehlkonfiguration bezieht sich auf einen Fehler bei der Konfiguration des Cloud-Dienstes, der ein Risiko für das Unternehmen und seine Daten mit sich bringt. Die Cloud-Infrastruktur oder IaaS ist am konfigurierbarsten, was ein höheres Risiko für eine Fehlkonfiguration als SaaS mit sich bringt."

Dem Bericht zufolge ist nur 1% der IaaS-Fehlkonfigurationen bekannt. Während Unternehmen glauben, durchschnittlich 37 Fehlkonfigurationen pro Monat zu haben, erleben sie tatsächlich 3.500. Selbst wenn die Probleme bekannt gemacht werden, bleiben 27% ungelöst, und ein Viertel der Befragten gab an, dass sie mehr als einen Tag benötigen, um die Probleme zu beheben.

Cloud-native Sicherheitsverletzungen tauchen nicht wie ein normaler Malware-basierter Angriff auf, sagte Sarukkai. In dem Bericht wurde ein Cloud-nativer Verstoß als "eine Reihe von Aktionen eines gegnerischen Akteurs" identifiziert, bei denen sie ihren Angriff "landen", indem sie Fehler oder Schwachstellen in einer Cloud-Bereitstellung ausnutzen, ohne Malware zu verwenden, ihren Zugriff durch schwach konfigurierte oder "erweitern" geschützte Schnittstellen zum Auffinden wertvoller Daten und 'Exfiltrieren' dieser Daten an ihren eigenen Speicherort. "

Bild: McAfee

Warum behandeln Unternehmen diese Verstöße nicht?

Dem Bericht zufolge besteht im Unternehmen eine große Kommunikationslücke, die zu diesen wiederholten Verstößen führt. Während 90% der Unternehmen angaben, Sicherheitsprobleme mit IaaS gehabt zu haben, gaben 12% der IT-Entscheidungsträger - diejenigen, die der IaaS-Umgebung am nächsten stehen - an, nie ein Problem aufgetreten zu sein, und 6% der CXOs gaben an, ebenfalls kein Problem zu haben .

"Die Trennung von Praktizierenden und Führungskräften führt zu einem falschen Sicherheitsgefühl der Praktizierenden", sagte Sarukkai. "Diese Trennung führt dazu, dass Führungskräfte selbstgefällig werden und eine suboptimale Priorisierungsentscheidung treffen. Diese Selbstzufriedenheit spiegelt sich in unserer Feststellung wider, dass derzeit nur 26% der Unternehmen mit ihren vorhandenen Sicherheitstools auf IaaS-Fehlkonfigurationen prüfen können."

Die Geschwindigkeit der Einführung von IaaS ist die Hauptursache dafür, dass die Praktizierenden nicht mithalten können, heißt es in dem Bericht. Infrastrukturen in der Cloud ändern sich schnell und schaffen Raum für mehr Fehler, da Code in kontinuierlichen Integrations- und Bereitstellungspraktiken (CI / CD) veröffentlicht wird.

"Darüber hinaus sind die meisten Unternehmen multicloud, was bedeutet, dass sie mehrere Cloud-Dienstanbieter für die Infrastruktur verwenden, was die Schwierigkeit erhöht, Konfigurationen auf mehreren Plattformen zu prüfen", sagte Sarukkai.

IaaS: Der neue Schatten IT

IT-Teams sind nicht in der Lage, Dinge zu sichern, von denen sie nichts wissen. Der Beginn der Cloud-Einführung begann mit von Mitarbeitern erworbenen Apps für die Zusammenarbeit und Dateifreigabe, die der IT nie bekannt waren und den Begriff Shadow IT prägten.

Mit dem Aufkommen von Software-as-a-Service (SaaS) konnten IT-Teams die nützlichsten Anwendungen für Unternehmen einholen und empfehlen. Ein ähnlicher Trend zeigte sich bei Infrastrukturoberflächen, insbesondere bei großen Anbietern wie Amazon Web Services und Microsoft Azure. Jeder Anbieter verfügt über spezielle Dienste, die Business Cases für die Entwicklung einer Multicloud-Umgebung unterstützen, in der mehrere IaaS-Anbieter verwendet werden. Derzeit werden viele Anwendungen in der Cloud erstellt und in die Cloud übertragen. Multicloud erschwert es Unternehmen jedoch, die Kontrolle und Sichtbarkeit aller ihrer IaaS-Architekturen aufrechtzuerhalten.

Sicherheitsmaßnahmen, die Unternehmen ergreifen sollten

Um Unternehmen dabei zu helfen, ihre IaaS-Strukturen besser zu schützen, identifizierte Sarukkai die folgenden drei Sicherheitsstrategien:

1. Bauen Sie die IaaS-Konfigurationsüberwachung in Ihren CI / CD-Prozess ein

Unternehmen müssen diesen Schritt frühzeitig ausführen, möglicherweise beim Einchecken des Codes, um die Anzahl der fehlgeschlagenen Fehlkonfigurationen zu verringern. IT-Manager sollten nach Sicherheitstools suchen, die problemlos mit Jenkins, Kubernetes und anderen zusammenarbeiten, um den Prüfungs- und Korrekturprozess effektiv zu automatisieren.

2. Bewerten Sie Ihre IaaS-Sicherheitspraxis mithilfe eines Frameworks wie Land-Expand-Exfiltrate

Indem Sie Ihre Praktiken anhand der gesamten Angriffskette überprüfen, haben Unternehmen eine bessere Chance, einen Verstoß zu stoppen, bevor er außer Kontrolle gerät.

3. Investieren Sie in Cloud-native Sicherheitstools und Schulungen für Sicherheitsteams

Einige lohnende Sicherheitstools sind Cloud Access Security Brokers (CASBs), Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platforms (CWPP). Alle drei funktionieren innerhalb von DevOps- und CI / CD-Prozessen, ohne eine Kopie der Sicherheit lokaler Rechenzentren zu sein.

Der öffentliche Cloud-Markt für Infrastructure-as-a-Service (IaaS) wuchs 2018 um 31, 3% und wurde laut Gartners Marktanteilsanalyse: IaaS und IUS zur bevorzugten IT-Umgebung für das Hosting interner und kundenorientierter Anwendungen in einem Unternehmen, Weltweit, Bericht 2018.

Weitere Informationen finden Sie unter Cloud-Sicherheit ist zu wichtig, um sie Cloud-Anbietern auf unserer Schwestersite ZDNet zu überlassen.

Cloud und alles als Service Newsletter

Dies ist Ihre Anlaufstelle für die neuesten Informationen zu AWS, Microsoft Azure, Google Cloud Platform, XaaS, Cloud-Sicherheit und vielem mehr. Montags geliefert

Heute anmelden

Siehe auch

  • Multicloud: Ein Spickzettel (TechRepublic)
  • Hybrid Cloud: Ein Leitfaden für IT-Profis (TechRepublic-Download)
  • Serverless Computing: Ein Leitfaden für IT-Verantwortliche (TechRepublic Premium)
  • Top-Cloud-Anbieter 2019: AWS, Microsoft, Azure, Google Cloud; IBM macht einen hybriden Schritt; Salesforce dominiert SaaS (ZDNet)
  • Beste Cloud-Services für kleine Unternehmen (CNET)
  • Microsoft Office gegen Google Docs Suite gegen LibreOffice (Download.com)
  • Cloud Computing: Mehr Muss-Abdeckung (TechRepublic on Flipboard)
Bild: Künstler, Getty Images / iStockphoto

© Copyright 2020 | mobilegn.com