Въпреки че сигурността на облака със сигурност е изминала дълъг път от ранните си дни, все още трябва да се извърви дълъг път, преди повечето организации наистина да развият своите практики за сигурност в облака. Това коства изключително много на организациите по отношение на инциденти със сигурността.
Според проучване на Vanson Bourne по-рано тази година почти половината от нарушенията на сигурността, с които организациите са се сблъскали през миналата година, произхождат от облака. Същото проучване установява, че средната организация е загубила почти 4,1 млн. долара от пробиви в облака през последната година.
Пет са тежките истини, които организациите трябва да осъзнаят, за да подобрят сигурността в облака.
Сигурността в облака не е гарантирана
Един от най-големите митове за облака е, че той е вродено по-сигурен от повечето локални среди. Проблемът е, че макар доставчиците на хипермащабни облаци да са много добри в защитата на инфраструктурата, контролът и отговорността, която имат върху позицията на сигурност на своите клиенти, са много ограничени.
В киберсигурността прехвърляне на риск няма. Фундаменталният проблем е, че хората смятат, че има модел на споделена отговорност, което е погрешно схващане. Пазителят на данните е само един - това е организацията.
Вътрешните контроли за сигурност са трудни за управление в хибриден свят
Въпреки че много доставчици на облачни решения предлагат на клиентите повече контрол върху техните работни натоварвания, самоличности и видимост, това качество е непостоянно. Истинският проблем е, че управлението е трудно в реалния свят, извън изолацията на средата на един доставчик.
Единственият начин за решаване на този проблем е наличието на контрол на сигурността за управление на множество облаци. Това е един от големите фактори, които стимулират дискусиите за нулево доверие в облака.
Идентичността няма да спаси вашия облак
С толкова голям акцент върху управлението на идентичността в облака и непропорционално внимание върху компонента на идентичността при нулево доверие, за организациите е важно да разберат, че идентичността е само част от добре балансираното нулево доверие в облака.
Идентификационните данни не дават автоматично на потребителите достъп до нищо под слънцето в даден облак или мрежа. Политиката на нулево доверие ограничава точно кой, кога и до какво може да има достъп. Това е т.нар. сегментиране - на мрежи, натоварвания, активи, данни.
Твърде много фирми не знаят какво се опитват да защитят
Докато организациите решават как да сегментират защитата си в облака, те първо трябва ясно да дефинират какво се опитват да защитят. Това е от ключово значение, защото всеки актив, система или процес ще носи свой собствен уникален риск и това ще определи политиките за достъп и защитата около него.
Според проучване на Cloud Security Alliance само 23% от организациите имат пълна видимост в облачните среди. Според друго проучване на Illumio 46% от организациите нямат пълна видимост за свързаността на своите облачни услуги.
Стимулите за местно развитие в облака са неподходящи
DevOps практиките и облачната разработка са значително подобрени чрез скоростта, скалируемостта и гъвкавостта на облачните платформи и инструменти. Повечето организации за разработка обаче не са правилно стимулирани да направят това, което означава, че облачната инфраструктура и всички приложения, които почиват върху нея, са изложени на риск.