به گزارش پشتیبانی شبکه، اثر ماندگار نقاط کور در ابر. با دیده شدن در شبکه، خدمات ابری، توسعه محصول و کاربران خود، میتوانید در زمینه خطرات امنیتی و انطباق و بودجه خود به دستاوردهای قابل توجهی برسید.
حفظ تداوم کسب و کار
برای بسیاری از سازمان ها، سال 2020 سال حفظ تداوم کسب و کار بود. اگر سال گذشته چراغها روشن بود، سال 2021 در مورد عملیاتی کردن چیزی است که اکنون عادی جدید ماست. بدون شک، بیماری همه گیر ثابت کرده است که کار از هر کجا امکان پذیر است، و به آنچه اجتناب ناپذیر بود سرعت بخشید. به خاطر بهبود بهرهوری و کارایی، سازمانها قبلاً پشته فناوری خود را با اتخاذ مدلهای SaaS و مهاجرت کسبوکارهای حیاتی به ابر (یا چندین ابر) متنوع میکردند. مطالعه اخیری که شرکت من انجام داده است نشان میدهد که 92 درصد از رهبران فناوری اطلاعات گزارش میدهند که سازمانهایشان در حال حرکت هستند یا قبلاً به یک مدل کاری ترکیبی رفتهاند، علاوه بر حفظ راهحلهای قدیمی ارزشمند و در محل.
سپس ما یک تغییر ناگهانی به کار از راه دور داشتیم که در آن کاربران میتوانستند به خدمات ابری دسترسی داشته باشند و برنامهها را آزادانه بهطور مستقیم، خارج از شبکه شرکت خود دانلود کنند. فناوری اطلاعات در حال حاضر با کوهی از گسترش فناوری روبرو است، به غیر از چالش های واقعی فناوری اطلاعات در سایه. در واقع، نزدیک به 50 درصد از رهبران فناوری اطلاعات گفتند که کنترل گسترش SaaS در حال حاضر بزرگترین چالش آنها است و به دنبال آن کشف برنامه های مدیریت نشده (26 درصد) است.
و اگر این کافی نبود، در کنار اتکای فزاینده به ابر، خطرات امنیتی در حال ظهور است. در اوایل سال 2021، نفوذ SolarWinds به اطلاع عموم رسید و جزئیات نگران کننده است. این نقض دو درس مهم به ما آموخت: عدم دفاع از زنجیره تامین فناوری شما میتواند به مهاجمان فرصتی را بدهد که برای ورود به شبکه شما نیاز دارند، و پیچیدگی غیرضروری خطرناک است.
معمای پیچیدگی
تیم های فناوری اطلاعات امروزی برای عملیاتی کردن ترکیب فناوری در حال تغییر خود و مدیریت خطرات ناشی از آن، به ویژه در محیط های ابری، به چالش کشیده می شوند.
به عنوان مثال، آیا می دانید امروزه سازمان شما از چند محیط ابری استفاده می کند؟ چه حجم کاری در حال اجرا است و چه کسی از آنها استفاده می کند؟ آیا بیش از آنچه نیاز دارید مجوز دارید؟ بدون مشاهده آنچه در اختیار دارید و نحوه استفاده از آن، احتمالاً بیش از حد خرج می کنید و از آن کم استفاده می کنید و احتمالاً خطرات امنیتی قابل توجهی ایجاد می کنید و شکست های احتمالی در انطباق را ایجاد می کنید. توسعه اپلیکیشن را به عنوان یک مثال در نظر بگیرید. بسیاری از توسعه برنامه های امروزی از یک مدل کاملاً ساخت از ابتدا به مدلی تغییر کرده است که در آن هنگام مونتاژ مجموعه ای از اجزای منبع باز و خدمات ابری در حال ساختن آن هستید. این امکان توسعه سریع و آسان را فراهم می کند، اما زمانی که پروژه های منبع باز به روز رسانی/اصلاحات دریافت می کنند اما در محصول شما منتشر نمی شوند، نقاط کور ایجاد می کند. این می تواند منجر به افزایش ریسک زنجیره تامین شود، همانطور که در مورد نقض SolarWinds رخ داد.
هنگامی که در مقیاس بزرگتر در نظر گرفته شود، خطر امنیت و انطباق ناشی از پیچیدگی می تواند حتی پرهزینه تر باشد. اگر یک مشتری ترکیبی یا چند ابری هستید که به راهحلهای داخلی خاصی نیز متکی هستید، پشته امنیتی قدیمی شما احتمالاً آنطور که باید از این ترکیب پشتیبانی نمیکند. و تیم امنیتی شما ممکن است مهارت های عمیقی برای درک کامل ظروف ابری، سیستم های قدیمی داخلی، دستگاه های تلفن همراه و نقاط پایانی نداشته باشد. سپس انتخاب شما به امنیت زیر استاندارد یا آشپزهای بیش از حد در آشپزخانه تبدیل می شود، که هر کدام دستور کار فناوری خود را دارند، که فقط پیچیدگی شما را افزایش می دهد.
نیاز به تله بهتر
امروزه پیچیدهتر امنیت در فضای ابری، مدل مسئولیت مشترک است. وقتی به یک سرویس ابری شخص ثالث مانند Amazon AWS، Microsoft Azure یا Google Cloud تکیه میکنید، فقط سطح پایه امنیت را دریافت میکنید. سازمانها اغلب تصور میکنند که «آمازون از دادههای ما محافظت میکند» در حالی که، در واقع، شما یک تار عنکبوتی به هم پیوسته از برنامهها و مجوزها دارید که هر کدام بر تمام سیستمهای دیگر تأثیر میگذارند.
وقتی مشکلی پیش میآید، نمیتوانید با آمازون تماس بگیرید تا آن را برطرف کند. در عوض، چه کسی می تواند به شما در حل مشکل کمک کند؟ کارکنان داخلی شما؟ ارائه دهنده ابر؟ فهمیدن اینکه مشکل از کجا ایجاد شده است بیشتر شبیه یک بازی سرنخ است که در آن به دنبال پاسخ هستید. این یک چرخه معیوب است که نمی تواند منجر به پیشرفت واقعی شود.
بهترین دفاع در برابر این پیچیدگی این است که بفهمید ارائهدهنده (یا ارائهدهندگان) ابر شخص ثالث، همانطور که در خطمشی مسئولیت مشترک آنها نوشته شده است، چه مسئولیتی را با تیم فناوری اطلاعات و امنیت شما به اشتراک میگذارند. با وجود آن خط مبنا، میتوانید از آنجا برنامههای واکنش به حادثه ایجاد کنید.
گام دومی که می توانید در جهت بهبود امنیت و ریسک انطباق خود بردارید، اتوماسیون است. برای ادامه مثال توسعه برنامه، تیم شما ممکن است صدها مخزن کد منبع با ده ها تا صدها مؤلفه داشته باشد که همگی در مجموعه ای از محصولات کنار هم قرار گرفته اند. با یک فرآیند دستی نمیتوان در بالای همه چیز ماند. اتوماسیون سرعت را افزایش می دهد و دقت را به شدت بهبود می بخشد.
حفظ دید در منوی پیچیده سرویسهای ابری، برنامهها، سیستمهای قدیمی درون محل، و هر چیز دیگری که برای سازمان شما حیاتی است، پیچیده است، اما دید برای مدیریت ریسک امنیت و انطباق شما ضروری است و برای بررسی دقیق IT شما ضروری است. بودجه.