Logo Zephyrnet

Cách giải quyết các trở ngại bảo mật và đạt được Cloud Nirvana

Ngày:

Nhiều nhà bảo mật không để mắt đến bảo mật đám mây và phần mềm dưới dạng dịch vụ (SaaS) dựa trên giả định sai lầm rằng các nhà cung cấp vốn đã an toàn. Mặc dù hầu hết các nhà cung cấp đều như vậy, nhưng đám mây rất linh hoạt và có thể tùy chỉnh đến mức mọi tổ chức có thể mở những cánh cửa khác nhau - những cánh cửa mà họ chịu trách nhiệm đóng lại. Những công cụ bảo mật truyền thống thường bỏ qua.

Một số 89% tổ chức có chiến lược đa đám mây, với 48% sử dụng nhiều đám mây công cộng và riêng tư. Đến cuối năm 2021, ước tính rằng 99% tổ chức sẽ sử dụng một hoặc nhiều giải pháp SaaS. Với rất nhiều tài nguyên hiện đang ở trên đám mây, trách nhiệm phức tạp là phải bảo mật từng tài nguyên.

Rủi ro bảo mật tiếp tục hoành hành các tổ chức. Theo Varonis '“Báo cáo rủi ro SaaS năm 2021, ”44% đặc quyền của người dùng đám mây bị định cấu hình sai và 43% trong số tất cả các đặc quyền trên đám mây không được sử dụng và có nguy cơ bị đe dọa. Bằng cách cấp quyền cho dấu chân đám mây của bạn, áp dụng các biện pháp kiểm soát bảo mật mới và nhấn mạnh Quản lý bảo mật SaaS, bạn có thể đủ tự tin vào khả năng bảo mật của mình để đạt được niết bàn trên đám mây - bảo mật tự động, trực quan và dễ sử dụng đến mức bạn không bao giờ phải nghĩ về nó. Có ba giai đoạn để đạt được điều đó.

Hiểu dấu chân đám mây của bạn

Bạn phải có một cái nhìn chiến lược về bảo mật đám mây. Bước đầu tiên là thực hiện kiểm kê để tìm những dịch vụ SaaS đang được sử dụng. Những lĩnh vực kinh doanh nào phụ thuộc vào những dịch vụ SaaS nào? Những dịch vụ SaaS nào phổ biến trong toàn doanh nghiệp?

Sau đó, tạo khoảng không quảng cáo tập trung vào vị trí dữ liệu nhạy cảm nhất của bạn. Thông tin nào đang rời ứng dụng của bạn hoặc được trao đổi với các ứng dụng khác? Câu hỏi tiếp theo là: Người dùng, tài nguyên và ứng dụng nào có quyền truy cập vào dữ liệu của bạn? Chỉ khi bạn hiểu được dấu vết trên đám mây của mình, dữ liệu trên đám mây và các tài nguyên đang truy cập nó, bạn mới có thể làm việc để bảo vệ nó.

Không nhầm lẫn: đám mây và SaaS rất khó kiểm tra. Dựa theo Báo cáo gần đây của Productiv, quy mô danh mục đầu tư SaaS trung bình là 254 ứng dụng nhưng chỉ 45% trong số các ứng dụng đó được sử dụng thường xuyên. Tìm hiểu sâu và phản ánh về mục đích kinh doanh của các ứng dụng đó có thể xác định một số cách để giảm rủi ro tổng thể cho tổ chức của bạn (và chi tiêu SaaS của bạn). Việc kiểm tra dấu chân đám mây của bạn là rất quan trọng để bạn có bức tranh rõ ràng về rủi ro của mình và vì vậy bạn có thể đảm bảo rằng bạn đang đáp ứng các nghĩa vụ tuân thủ, quy định và khách hàng.

Trước khi có thể bắt đầu vượt qua các yếu tố ngăn cản bảo mật SaaS, bạn cần đảm bảo rằng bạn đang bao phủ tất cả các căn cứ của mình. Phạm vi bảo mật của bạn có bao gồm quản lý các ứng dụng và dữ liệu của bên thứ ba không? Còn về bất kỳ chính sách tuân thủ hoặc quy định cần thiết nào để kiểm tra các cấu hình sai và bất thường thì sao? Mặc dù hầu hết các công ty chỉ dừng lại ở đó, nhưng điều quan trọng là phải có phạm vi bảo mật sâu cho các ứng dụng SaaS quan trọng nhất đối với doanh nghiệp của bạn, bao gồm phát hiện mối đe dọa và giám sát liên tục.

Bảo vệ Dấu chân Đám mây của bạn

Khi bạn hiểu được dấu vết đám mây của mình và dữ liệu nhạy cảm nhất ở đâu, bạn cần đánh giá xem dữ liệu của mình có được bảo vệ hay không. Các biện pháp kiểm soát bảo mật thích hợp có được áp dụng để đảm bảo tất cả các lớp mã hóa và mặt nạ có thể áp dụng không? Có phải chỉ những người thích hợp mới có thể truy cập vào dữ liệu nhạy cảm? Các cấu hình có được quét một cách thường xuyên để phát hiện các cấu hình sai và quan trọng hơn là các cấu hình sai đó có được khắc phục kịp thời không?

Bạn cần xác định các biện pháp kiểm soát bảo mật để bảo vệ dữ liệu và cấu hình. Khi bạn đã xác định các biện pháp kiểm soát bảo mật, bạn cần phải tái tạo quy trình cho vô số nhà cung cấp SaaS mà bạn đang làm việc cùng trong hệ sinh thái của mình.

Ngoài Microsoft 365, bạn có thể cũng có một số kết hợp của Workday, Salesforce, ServiceNow, Atlassian và tiềm năng hàng chục ứng dụng khác giúp doanh nghiệp của bạn hoạt động. Điều thú vị là báo cáo Productiv cho thấy mối quan hệ nghịch đảo giữa quy mô của một tổ chức và mức độ tham gia ứng dụng của tổ chức đó. Các tổ chức nhỏ hơn, theo báo cáo, tương tác với 49% ứng dụng trong khi các doanh nghiệp chỉ sử dụng 39%.

Sự phân mảnh của thị trường SaaS có nghĩa là bạn không chỉ có nhiều nhà cung cấp để xem xét, mà tất cả họ đều hoạt động dựa trên các tiêu chuẩn khác nhau và với các mức độ bảo mật khác nhau. Thật không may, không có khuôn khổ chung nào cho bảo mật SaaS.

Trung tâm An ninh Internet (CIS) đã phát triển kiểm soát quan trọng cho đám mây, nhưng chúng vẫn chưa được áp dụng rộng rãi đến mức chúng cung cấp tính nhất quán trong toàn bộ ngành. Hiện tại, bạn cần khả năng bảo mật của từng ứng dụng SaaS.

Cloud Nirvana: Loại bỏ nhu cầu suy nghĩ về bảo mật

Tiến gần hơn đến niết bàn của đám mây đồng nghĩa với việc tìm kiếm hiệu quả khi đám mây tiếp tục mở rộng quy mô. SaaS dẫn đầu trong việc mở rộng áp dụng đám mây, với chi tiêu của người dùng cuối dự kiến ​​đạt hơn 176 tỷ đô la trong năm nay, theo Gartner, và tăng gần 18% trong năm tới.

Tuân thủ khuôn khổ tiêu chuẩn ngành như Kiểm soát CIS sẽ làm cho bức tranh rõ ràng hơn về bảo mật SaaS của bạn, nhưng bạn còn có thể làm được nhiều hơn thế. Qua áp dụng cấu trúc DevSecOps, bạn liên quan đến các nhóm bảo mật khi bắt đầu vòng đời phát triển để không có bất ngờ hoặc chậm trễ trong quá trình thực hiện.

Tuy nhiên, đạt được niết bàn thực sự trên đám mây thường thông qua quản lý bảo mật SaaS có thể theo dõi, phát hiện và bảo vệ khỏi các mối đe dọa. Điều này bao gồm tự động hóa bảo mật để hiển thị tức thì, giám sát 24/7 và cảnh báo về các rủi ro bảo mật SaaS phổ biến như truy cập dữ liệu bị định cấu hình sai, quyền quá rộng đối với tài khoản người dùng và dữ liệu bị lộ.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img