Средства управления облачной безопасностью «все еще недостаточно хороши»

Информационная безопасность постепенно освоила облачные технологии, хотя их инструменты безопасности все еще недостаточно хороши.

В обсуждении угроз, с которыми столкнулись директора по информационной безопасности на предприятиях и гибридных облачных инфраструктурах, вопрос облачной безопасности рассматривался с точки зрения того, что сделано хорошо, а что нет.

Рональд Лейтон, вице-президент по конвергентным операциям безопасности в Sallie Mae, сказал, что в правительстве использование облачных сервисов имеет экономическое обоснование, но в частном секторе может быть адаптировано под специфические нужды.

Джо Салливан, начальник службы безопасности CloudFlare, добавил, что руководители бизнесов чаще думают о ценах облачных технологий, приоритетах бизнеса и пользовательском опыте, при этом пренебрегают командами по обеспечению безопасности. Они не смотрят на инфраструктуру. Когда же безопасники тестируют сервис, они видят риски.

Джон Киндерваг, технический директор сети Palo Alto, согласился, что сами по себе облачные сервисы «никогда не были хороши», так как они используют Linux Kernel. Он сказал, что это ошибка – полагать будто облако можно защитить внутренними инструментами.

Лейтон добавил, что, когда дело доходит до развертывания облачного сервиса, у вас есть две опции: пошаговость или «большой взрыв», то есть вы идете ва-банк. «Какой выбор бы вы ни сделали, следуйте золотому правилу: защищайте бакеты S3, используйте DLP-систему, микросегментацию и включите мультифакторную авторизацию».

«Многие взломы случаются по ошибке человека. Например, он опубликовал конфиденциальный ключ в своем аккаунте на Github и сделал его доступным», – добавила Мэри Гарднер, вице-президент и руководитель отдела безопасности F5 Networks.

Лейтон прокомментировал, что облачные технологии усложняются, поэтому к ним нужно адаптироваться.