Unternehmen geraten in einen perfekten Sturm an Cloud-Risiken

Bei jeder Cloud-basierten Datenschutzverletzung, von der wir erfahren haben, spielten Fehlkonfigurationen eine zentrale Rolle. Diese „Schurkenwellen“ durch Fehlkonfigurationen haben einige der größten und fortschrittlichsten Cloud-Kunden getroffen – kürzlich Twitch und zuvor Uber, Imperva und Capital One. Alle diese Angriffe beinhalteten eine komplexe Kette von Exploits gegen API-Steuerungsebenen von Cloud-Anbietern.

Sicherheitsbedenken sind eindeutig kein Hindernis mehr für die Cloud-Einführung, aber ein perfekter Sturm von Cloud-Risiken ist da. Lassen Sie uns diesen perfekten Sturm und seine drei Treiber untersuchen und eine Strategie entwickeln, um sicher durch ihn zu navigieren.

1. Cloud-Komplexität nimmt zu
Die großen Cloud-Anbieter – vor allem Amazon Web Services (AWS), Microsoft Azure und Google Cloud – befinden sich in einem Innovationswettlauf, um neue Dienste anzubieten. Allein AWS bietet mehr als 200 Infrastrukturservices, und jeder kommt mit einzigartigen Konfigurationsoptionen und Sicherheitsüberlegungen. Und ob durch strategische Entscheidungen, Übernahmen oder Zufall – die meisten Unternehmen haben heute einen Multicloud-Fußabdruck, der eine Multicloud-Sicherheitsstrategie erfordert.

Die typische Cloud-Umgebung eines Unternehmens kann Hunderttausende miteinander verbundener Ressourcen enthalten, die sich über mehrere Cloud-Konten und Geschäftseinheiten erstrecken. Jeder Anwendungsfall bringt unterschiedliche Sicherheitsanforderungen mit sich und muss gemäß den globalen Unternehmenssicherheits- und Regulierungsrichtlinien sowie den lokalen geregelt werden. Diese Richtlinien unterliegen bei manuellen Audits unterschiedlichen menschlichen Interpretationen.

Während die Cloud-Anbieter weiterhin mehr Sicherheitstools einführen, reicht das nicht aus. Als Cloud-Sicherheitsexperte Scott Piper Leg es, „[Menschen] verstehen ihre Cloud-Umgebungen nicht so gut, wie sie es gerne hätten. … [D]hier kommen meines Erachtens viele der Fehlkonfigurationen ins Spiel.“ Viele Organisationen haben die Wahl, schnell zu handeln und zusätzliche Risiken einzugehen oder die Bereitstellung zu verlangsamen und vor der Bereitstellung zu zertifizieren, dass alles sicher und konform ist.

2. Hacker sind jetzt Cloud-Sicherheitsexperten
Da Cloud-Umgebungen immer komplexer werden, sind Hacker wirklich gut darin geworden, unsere Fehler auszunutzen. Sie haben eine Automatisierung eingeführt, die das Internet scannt, um Cloud-Schwachstellen innerhalb von Minuten nach ihrer Bereitstellung zu erkennen.

Einmal in Ihrer Umgebung wissen Hacker, wie sie Schwachstellen in der Cloud-Architektur – selbst eine Form der Fehlkonfiguration – ausnutzen können, um den Explosionsradius einer anfänglichen Sicherheitslücke zu erweitern. Diese Schwachstellen ermöglichen es den Ressourcen der Identitäts- und Zugriffsverwaltung (IAM) normalerweise, mehr über die Umgebung zu erfahren, sich seitlich zu bewegen und Daten zu stehlen. Die Twitch-Verletzung betraf zunächst einen falsch konfigurierten Server, aber der Angreifer nutzte schließlich eine Kette von Schwachstellen aus, um Kundendaten und sensiblen Quellcode nicht nur für Twitch, sondern auch für Amazon zu stehlen.

Sobald ein Angriff auf die Cloud-API-Steuerungsebene im Gange ist, ist es zu spät, ihn zu stoppen. Cloud-Kunden wissen oft nicht, dass sie gehackt wurden, bis ihre Daten im Dark Web auftauchen (in Twitchs Fall) oder der Hacker online damit prahlt (die Verletzung von Capital One). Wie der Cloud-Ökonom Corey Quinn auf seiner Seite sagte Die Wolke anschreien Podcast: „Also, was ist Ihr primäres Mittel zur Erkennung von Sicherheitsverletzungen? Und die Antwort lautet ganz ehrlich: ‚Die Titelseite der New York Times.'“

3. Der Krieg um Cloud-Engineering-Talente
Die Nachfrage nach Cloud-Engineering-Talenten explodiert, was sich in der Vergütung widerspiegelt. Laut Personalvermittler zitiert vom Wall Street Journal, „Personen mit Cloud-Kenntnissen erhalten im Allgemeinen zwei oder drei starke Angebote, oft mit Paketen im Wert von Hunderttausenden von Dollar sowie Aktienoptionen.“

Jedes Unternehmen, das in der Cloud tätig ist, konkurriert mit Technologiegiganten um Cloud-Ingenieure, einschließlich derjenigen, die bereits in ihrem Team sind. Die meisten dieser Unternehmen haben nicht die tiefen Taschen und attraktiven Aktienoptionen wie die Technologiegiganten. Und als Lydia Leong von Gartner sagte, „Es ist nicht nur Big Tech. Jeder SI und MSP auf dem Planeten jagt überall technische Leute.“

Strategien zur Steuerung durch den Sturm
1. Richten Sie ein umfassendes Bewusstsein für Ihre Umgebung und Ihren Sicherheitsstatus ein. Cloud-Verletzungen treten auf, weil Sicherheitsteams nicht die Transparenz haben, die sie benötigen, um Schwachstellen in einem komplexen Cloud-Ressourcendiagramm zu erkennen. Führungskräfte sollten um einen Bericht bitten, der den vollständigen Konfigurationsstatus und die Sicherheitslage ihrer Cloud-Umgebung beschreibt – und Sicherheitsteams sollten jederzeit einen erstellen können.

2. Konzentrieren Sie sich auf den Aufbau einer sicheren Architektur und die Vermeidung von Fehlkonfigurationen. Cloud-Sicherheit ist ein Architektur- und Prozessproblem, und jede Fehlkonfiguration ist ein Versagen entweder des Designs oder des Prozesses. Geben Sie DevOps-Ingenieuren Werkzeuge an die Hand, die Fehler in ihrer Infrastruktur als Code kennzeichnen, und erklären Sie, wie sie diese beheben können. Setzen Sie Sicherheitsleitplanken in Ihre CI/CD-Pipelines ein, um zu verhindern, dass Sicherheitslücken aufgrund von Fehlkonfigurationen bereitgestellt werden.

3. Erstellen Sie skalierbare Cloud-Sicherheit mithilfe von Richtlinien als codegesteuerter Automatisierung. Policy as Code ist die einzige Möglichkeit, mehrere Geschäftsbereiche – und ihre unzähligen Anwendungsfälle und lokalen Richtlinienanforderungen – effektiv zu unterstützen, ohne sie zu verlangsamen. Ein guter Anfang ist Richtlinien-Agent öffnen, eine Cloud Native Computing Foundation Projekt, das von großen Unternehmen wie T-Mobile, Goldman Sachs und Netflix verwendet wird.

Mit einem ganzheitlichen Ansatz für Cloud-Sicherheit, der Softwareingenieuren hilft, eine sichere Cloud-Infrastruktur zu entwickeln, Fehlkonfigurationen bei der Bereitstellung verhindert und auf einer konsistenten und skalierbaren Grundlage von Richtlinien als Code aufbaut, können Unternehmen ihre Nutzung der Cloud sicher skalieren und sich von den Gefahren fernhalten die ansonsten anspruchsvollen Enterprise-Cloud-Kunden widerfahren sind.

Quelle: https://www.darkreading.com/cloud/enterprises-are-sailing-into-a-perfect-storm-of-cloud-risk

Generative Datenintelligenz

Unternehmen segeln in einen perfekten Sturm von Cloud-Risiken

Stiftung für dezentrale Zusammenarbeit: Innovation durch Zusammenarbeit vorantreiben

Salt Labs fügt 401(k)-Erfinder Ted Benna als Berater hinzu

Neueste Intelligenz

Mit der Unterstützung von Slack AI können Sie mit weniger Aufwand mehr erreichen

Kalifornien gibt den illegalen Cannabismarkt auf: Mehr vom Gleichen

7 Schritte zur Beherrschung von MLOPs – KDnuggets

Google Maps verfügt über KI-gestützte Zusammenfassungen zur einfacheren Navigation an Ladestationen

Über 15 kleinste LLMs, die Sie auf lokalen Geräten ausführen können

Einführung in die Python-Programmierung für Data Science

Chat mit uns