Джон Киндерваг, крестный отец концепции нулевого доверия (Zero Trust), рассказал порталу Dark Reading о проблемах в области облачной безопасности.
Хотя безопасность облачных сред, безусловно, прошла долгий путь со времен своего рода Дикого Запада, когда облака только начинали внедрять, правда заключается в том, что большинству современных организаций предстоит пройти еще долгий путь, прежде чем их методы в этой сфере станут по-настоящему зрелыми. И это им дорого обходится с точки зрения инцидентов безопасности.
Исследование Vanson Bourne «Cloud Security Index 2023» показало, что почти половина нарушений, произошедших в организациях за последний год, была вызвана облачными вычислениями. То же исследование показало, что средняя организация потеряла почти 4,1 млн. долл. из-за облачных взломов в прошлом году.
Когда Киндерваг работал аналитиком в Forrester Research, он помог разработать концепцию и популяризировать модель безопасности Zero Trust. Сейчас он является главным евангелистом компании Illumio, где он по-прежнему остается сторонником модели нулевого доверия, объясняя общественности, что она является ключевым способом перестройки системы безопасности в эпоху облачных вычислений. По мнению Киндервага, для достижения успеха организации должны принять следующие суровые истины.
1. Вы не станете более защищенными, просто перейдя в облако
По словам Киндервага, один из самых больших мифов об облаке заключается в том, что оно изначально более безопасно, чем большинство локальных сред.
«Существует фундаментальное заблуждение, что в облаке изначально заложена бóльшая безопасность, что вы становитесь более защищенными, просто переходя в облако», — говорит он.
Проблема в том, что, хотя гипермасштабируемые облачные провайдеры могут быть очень хороши в защите инфраструктуры, контроль и ответственность, которые они несут за безопасность своих клиентов, очень ограничены.
«Многие люди думают, что они передают безопасность на аутсорсинг облачному провайдеру. Они думают, что передают риски, — говорит Киндерваг. — В сфере кибербезопасности вы никогда не сможете передать риск. Если вы являетесь хранителем данных, то вы всегда являетесь хранителем этих данных, независимо от того, кто их хранит для вас».
Именно поэтому он не очень любит часто повторяющуюся фразу «разделяемая ответственность», которая, по его словам, заставляет думать, что разделение труда и усилий происходит 50 на 50. Он предпочитает понятие «неравное рукопожатие» («uneven handshake»), которое придумал Джеймс Стейтен, его бывший коллега в Forrester.
«Основная проблема заключается в том, что люди думают, что существует модель разделения ответственности, а на самом деле это неравное рукопожатие», — говорит Киндерваг.
2. Нативными средствами контроля безопасности сложно управлять в гибридном мире
Сейчас много говорится о тех улучшенных встроенных средствах контроля безопасности в облаке, которые провайдеры создали за последнее десятилетие. Хотя многие провайдеры проделали хорошую работу, предлагая клиентам больший контроль над рабочими нагрузками, идентификационными данными и видимостью, качество этих инструментов различно. Как говорит Киндерваг, «некоторые из них хороши, некоторые — нет». Настоящая проблема всех этих решений заключается в том, что ими сложно управлять в реальном мире, за пределами изолированной среды одного провайдера.
«Для этого нужно много людей, и в каждом облаке они разные. Практически каждая компания, с которой я общался за последние пять лет, использует мультиоблачную и гибридную модели, причем обе одновременно, — говорит Киндерваг. — Гибридная означает: „я использую свои локальные ресурсы и облака, я использую несколько облаков, и я могу использовать несколько облаков для предоставления доступа к различным микросервисам для одного приложения“. Единственный способ решить эту проблему — иметь контроль безопасности, которым можно управлять во всех облаках».
По его словам, это один из важных факторов, стимулирующих дискуссии о переносе нулевого доверия в облако.
«Нулевое доверие работает независимо от того, где вы размещаете данные или активы, — говорит Киндерваг. — Это может быть облако. Это может быть локальная сеть. Это может быть конечная точка».
3. Идентификация не спасет ваше облако
При большом внимании к управлению идентификацией в облаке и непропорционально большом внимании к компоненту идентификации в нулевом доверии организациям важно понимать, что идентификация — это только часть сбалансированного подхода нулевого доверия в облаке.
«Большая часть повествования о нулевом доверии сводится к идентификации, идентификации и еще раз идентификации, — говорит Киндерваг. — Идентификация важна, и мы используем ее в политике нулевого доверия. Но это не все и вся. Она не решает всех проблем».
Он имеет в виду, что в модели нулевого доверия учетные данные не дают пользователям автоматического доступа ко всему, что находится в данном облаке или сети. Политика ограничивает, к чему и когда предоставляется доступ к определенным ресурсам. Киндерваг является давним сторонником сегментации — сетей, рабочих нагрузок, активов, данных — и стал им задолго до того, как начал разрабатывать модель нулевого доверия. Как он объясняет, суть определения доступа с нулевым доверием с помощью политики заключается в разделении объектов и помещении их под «защитные поверхности», поскольку уровень риска для различных типов пользователей, обращающихся к каждой защитной поверхности, будет определять политики, которые будут применяться для каждого конкретного мандата.
«В этом и заключается моя миссия — заставить людей сосредоточиться на том, что им нужно защитить, и поместить важные вещи под различные защитные поверхности, например, база данных кредитных карт PCI должна находиться под своей собственной защитной поверхностью. Ваша база данных HR должна находиться под своей собственной защитной поверхности. Ваш HMI для IoT-системы или OT-системы должен находиться под своей собственной защитной поверхностью, — говорит Киндерваг. — Когда мы разбиваем проблему на такие маленькие кусочки, мы решаем их по одному за раз и делаем это последовательно. Это делает задачу гораздо более масштабируемой и выполнимой».
4. Слишком многие компании не знают, что они пытаются защитить
Когда организации решают, как сегментировать свои защитные поверхности в облаке, им необходимо сначала четко определить, что именно они пытаются защитить. Это очень важно, поскольку каждый актив, система или процесс будет нести свой собственный уникальный риск, и это определит политику доступа к ним и их защиту. Очевидно, вы не станете строить хранилище стоимостью миллион долларов для хранения ценности на нескольких сотен центов. Облачная аналогия заключается в том, что не имеет смысл создание тонны защиты вокруг облачного актива, который изолирован от чувствительных систем и не содержит конфиденциальной информации.
По словам Киндервага, организации невероятно часто не имеют четкого представления о том, что они защищают в облаке и за его пределами. На самом деле, большинство из них сегодня даже не имеют четкого представления о том, что находится в облаке или что подключается к облаку, не говоря уже о том, что нужно защищать. Например, исследование Cloud Security Alliance «The State of Security Remediation 2024» показало, что только 23% организаций имеют полную видимость облачных сред. А исследование Illumio, проведенное в начале этого года, показало, что 46% организаций не имеют полной видимости подключенности своих облачных сервисов.
Киндерваг сетует, что люди не задумываются о том, чего они на самом деле пытаются достичь, что они пытаются защитить. Это фундаментальная проблема, из-за которой компании тратят много денег на безопасность, не обеспечивая должной защиты.
«Ко мне приходят и говорят: „Нулевое доверие не работает“, а я спрашиваю: „А что вы пытаетесь защитить?“, а они отвечают: „Я еще не думал об этом“, и я отвечаю: „Ну, тогда вы даже не приблизились к началу внедрения процесса нулевого доверия“», — объясняет он.
5. Стимулы для разработки нативных облачных решений не соответствуют реальности
Практика DevOps и нативная облачная (cloud-native) разработка значительно расширились благодаря скорости, масштабируемости и гибкости, которые обеспечиваются облачными платформами и инструментами. Когда безопасность должным образом интегрирована в эту смесь, все может складываться очень хорошо. Однако, по словам Киндервага, большинство организаций, занимающихся разработкой, не имеют должного стимула для того, чтобы так происходило, а это значит, что облачная инфраструктура и все приложения, которые на ней работают, подвергаются риску.
«Мне нравится говорить, что люди, занимающиеся DevOps-приложениями, — это своего рода „короли дороги“, как Рики Бобби, только в ИТ. Они просто хотят ехать быстро, — говорит Киндерваг. — Помню, я разговаривал с руководителем отдела разработки компании, которая в итоге подверглась взлому, и спросил его, что он делает для обеспечения безопасности. А он ответил: „Ничего, меня не волнует безопасность“. Я спросил: „Как вы можете не заботиться о безопасности?“, а он ответил: „Потому что у меня нет KPI для этого. Мой KPI гласит, что я должен делать пять пинков в день своей команде, и если я этого не делаю, то не получаю премию“».
По словам Киндервага, это иллюстрация одной из главных проблем не только в сфере AppSec, но и в переходе к нулевому доверию в облаке и за его пределами. Слишком много организаций просто не имеют правильных схем стимулирования, чтобы добиться этого — и, по сути, многие имеют порочные стимулы, которые в итоге поощряют небезопасную практику.
Именно поэтому он является сторонником создания на предприятиях центров передового опыта в области нулевого доверия, которые вовлекают в процессы планирования, разработки и принятия текущих решений не только технологов, но и бизнес-руководство. По его словам, когда эти межфункциональные команды собираются вместе, он видит, как «схемы стимулирования меняются в реальном времени», когда влиятельный бизнес-руководитель выступает вперед и говорит, что организация собирается двигаться в этом направлении.
«Наиболее успешными инициативами в области нулевого доверия были те, в которых принимали участие бизнес-руководители, — говорит Киндерваг. — В одной из производственных компаний исполнительный вице-президент — один из высших руководителей компании — стал сторонником перехода к нулевому доверию в производственной среде. И он прошел очень гладко, потому что не было никаких препятствий».