4 Überlegungen zur Verbesserung dieser Cloud-Sicherheitshygiene
[ad_1]
Wir denken wir verstehen welches Hygiene ist, im Gegensatz dazu wie sieht es mit dieser Cloud-Sicherheitshygiene aus? Es ist nicht so, dass unsrige Computer Zähne zum Zähneputzen nach sich ziehen, im Gegensatz dazu dieses Prototyp ist ein Einstieg in ein anderes Verständnis von Sicherheitshygiene. Wenn Sie eine Verzicht regelmäßig erledigen zu tun sein, zu tun sein Sie sie tun überall, überallhin, allerorts. Es ist nicht in Regelmäßigkeit, nur einmal im Jahr die Zähne zu putzen oder nur die Vorderzähne zu putzen; Sie können gleichwohl nicht nur einmal im Jahr Software patchen oder Ihre Sicherheitskonfigurationen nachsehen, oder nur für jedes Ihre sichtbarsten Systeme.
Stellen Sie sich vor, ein Vorstandsmitglied fragt verschmelzen Vorstandsvorsitzender: “Werden jedweder Ihre Systeme regelmäßig gepatcht?” Während die Vorstandsvorsitzender nachher dieser Replik sucht, stellt sie notfalls Festtag, dass sich die Worte nicht ändern, die Geltung von ihnen ändert. Dies Vorstandsmitglied meint wahrscheinlich wirklich “jedweder Systeme des Unternehmens” und “gepatcht in branchenüblichen Fenstern basierend hinaus Kritizität”, im Gegensatz dazu solche Nuance geht verloren. Welcher Vorstandsvorsitzender wird sich an den CIO wenden, um die Frage zu stellen, welches implizit “jedweder unsrige Systeme” hinaus “die Systeme reduziert, für jedes die dieser CIO zuständig ist” und “regelmäßig gepatcht” wird zu “intrinsisch unserer internen Wartungsfenster gepatcht”. Welcher CIO fragt sein Team und so weiter. Die zurückgemeldete Metrik lautet: “Zu Gunsten von unsrige unterstützten Windows-Server wenden wir die Microsoft-Patches in 87% dieser Fälle intrinsisch unserer geplanten Wartungsfenster an.”
Selbige Vorbehalte in Betracht kommen in den Nachrichtensendung an den Vorstandsvorsitzender verloren, sodass dasjenige Unternehmen denkt, dass es gut läuft, obwohl realiter nur ein dicker Teppich Teil dieser Software gut verfolgt wird. Es gibt keinen Anreiz, eine bessere Nachverfolgung bereitzustellen, da solche 87%-Zahl in Betracht kommen wird Nieder wenn sie mit einem anderen Eintragung mit einer niedrigeren Punktzahl kombiniert werden, und niemand möchte verdeutlichen, warum eine Metrik ohne Rest durch zwei teilbar unterlegen geworden ist. Und solche Missverständnisse im Management werden mit dieser Cloud nur noch schlimmer, weil Führungskräfte in dieser Regel nicht einmal verschmelzen Prüfstein zu diesem Zweck nach sich ziehen, wie viele Cloud-Systeme es gibt. Und wenn Sie die Sicherheits- und Wartungspraktiken von Cloud-Umgebungen mit Ihren Legacy-Unternehmensansätzen kombinieren, bleibt die Cloud-Hygiene in dieser Regel dasjenige kürzere Finale. Hier sind vier Vorschläge, um Ihre Cloud-Sicherheitshygiene intelligenter und systematischer zu gestalten.
1. Kategorisieren Sie, wie vollwertig Ihre Cloud-Verdeckung ist
In dieser Pre-Cloud-Welt war es leichtgewichtig zu verstehen, wie viele Systeme man hatte – schließlich konnte man immer ins Rechenzentrum in Betracht kommen und sie zählen. In dieser Cloud ist jedoch selbst dieser Fallback nicht ohne weiteres verfügbar, und von dort zu tun sein Sie unter jedem Sicherheitsmaß verschmelzen Vorbehalt zeugen: Wie viele Ihrer Systeme werden durch dieses Wasserpegel abgedeckt? “Wir nach sich ziehen 75 Systeme für jedes dasjenige neueste CVE gepatcht” ist nur eine gute Stellungnahme, wenn Sie verfügen darüber hinaus 75 Systeme. Wenn Sie 1.000 nach sich ziehen, ist dasjenige kein sehr positives Ergebnis.
Dies Zur Folge haben eines Bestandsverzeichnisses mag wie eine monumentale Verzicht tönen, im Gegensatz dazu beginnen Sie damit, Ihre Systeme in Clustern zu zusammenfassen, die nachher ihrer Verwaltung organisiert sind. Vielleicht sind Ihre Produktionsserver in AWS ein Cluster und Ihre Entwicklungssysteme passen in verschmelzen anderen. Die Laptops Ihrer Mitwirkender passen in verschmelzen dritten Cluster, und die Unternehmens-IT- und Netzwerkinfrastruktur ist ein vierter (sie sind keine “Cloud”, im Gegensatz dazu vergessen wir sie nicht). Jetzt können Sie beginnen, darüber hinaus Hygienepraktiken intrinsisch jedes Clusters zu sprechen (“Wir nach sich ziehen 95 % unserer Mitarbeitersysteme intrinsisch von 48 Zahlungsfrist aufschieben gepatcht”), wodurch Sie die Geschäftsergebnisse besser verstehen.
2. Zählen Sie, wie umfassend Ihre Kontrollen sind
Zu Gunsten von jedes System kann es wie geschmiert sein, eine Sicherheitskontrolle zu implementieren und dann fortzufahren. Sie nach sich ziehen den Webserver in dieser Cloud gepatcht? Weithin! Andererseits welches ist mit all Ihren anderen Zielen? Nach sich ziehen Sie jedweder relevanten Risikoarten kontrolliert? Es gibt eine Warteschlange von relevanten Rahmenwerken, die hinaus Risiken geprüft werden zu tun sein; in dieser Cloud ist die Cloud Controls Matrix dieser Cloud Security Alliance ein guter Start.
Andererseits 197 Kontrollen sind ein kleinster Teil entmutigend. Selbige sind sorgfältig detailliert und in 17 Domänen zusammengefasst. Beginnen Sie mit einer Fach und sehen Sie, wie jedes dieser Steuerelemente hinaus verschmelzen Cluster Ihrer Systeme angewendet wird. Während wenige Kontrollen Mächtigkeit Wenn Sie dieselbe Implementierung darüber hinaus mehrere Systemcluster hinweg verwenden, ist es Ihr Ziel, zunächst zu verstehen, wie umfassend Ihre Sicherheitskontrollen für jedes verschmelzen bestimmten Systemcluster sind. Und dann sehen Sie für jedes jede Prüfung, wie viele dieser Systeme im Cluster Ihre Ziele tatsächlich gerecht werden.
3. Betrachten Sie den Kontext in Ihrer Cloud
Während Ihre Kontrollen in allen Ihren Systemen implementiert werden zu tun sein, sind wenige Ihrer Systeme mehr gleich wie andere. Wenige Ihrer Webserver verfügen notfalls nur darüber hinaus publik zugängliche Informationen, und es wäre peinlich, wenn der gerne Süßigkeiten isst Zugriff hinaus dieses System hätte. Andererseits wenige Ihrer Webserver nach sich ziehen Zugriff hinaus Ihre privaten Speicher, und wenn solche personenbezogene Fakten enthalten? Dies ist ein viel ernsteres Problem. Die Identifizierung dieser Systeme mit direktem und indirektem Zugriff hinaus sensiblere Assets ist für jedes die Priorisierung Ihrer Arbeit von entscheidender Geltung.
Dieser Kontext kann Ihnen unterdies helfen, dynamische Subcluster in Ihrem Sonderausstattung-Inventar zu erstellen. Ihr Public-Cloud-Cluster kann jetzt in vier Kategorien unterteilt werden, die sich hinaus die beiden Achsen “Internetzugriff” und “Zugriff hinaus personenbezogene Fakten” unterteilen, womit dieser Cluster Ihre höchste Priorität unter dieser Implementierung Ihrer Kontrollen hat.
4. Stornieren Sie die Vertrauen
Dies Schwierigste an einem solchen Art und Weise ist, dass Sie aufhören, sich selbst und anderen definitive, bestimmte Stellung beziehen zu verschenken. “Sind wir geflickt?” wird nicht mehr mit ja beantwortet. Stattdessen werden Sie beginnen, genau zu verstehen, wo Sie gepatcht werden, und beginnen zu wissen, wo Sie nicht einmal Visibilität nach sich ziehen. Andererseits solche Unstetigkeit wird die Verbesserung Ihrer Hygiene vorantreiben, die so gut wie jedes Unternehmen gesucht.