مع توقعات جارتنر بقفزة أخرى بنسبة 20% في الإنفاق على الخدمات السحابية العامة وزيادة بنسبة 7% في إجمالي الإنفاق على تكنولوجيا المعلومات لعام 2024، مع الحفاظ على الغطاء على الفئات الفرعية للميزانية مثل حماية للتطبيقات السحابية وDevOps تبدو مؤلمة بشكل متزايد.
نيل كلارك، مدير الخدمات السحابية في مزود الخدمات المدارة (MSP) تقول المنظمات QuoStar في كثير من الأحيان لم مواكبة، مشيراً إلى العام الماضي NetScaler الانتهاكات ونقاط الضعف غير المصححة كمثال.
إن الاختيار من بين مجموعة الأدوات ليس بالأمر السهل، ويشتري البعض عددًا كبيرًا جدًا من العروض، وغالبًا ما تكون غير متوافقة. يختار الآخرون ببساطة حلاً من جارتنر ماجيك كوادرانت ويقضون ستة أشهر في محاولة ضبطه قبل أن يدركوا أنه الشيء الخطأ بالنسبة لظروفهم.
وفي أسوأ الحالات، قد تستمر المنظمات ببساطة على هذا النحو حتى تتعرض لهجوم. إذن ما هو الحل؟
بالنسبة لكلارك، يتعلق الأمر بالتخطيط بشكل صحيح لتحديد الحلول المناسبة وتنفيذها وتحسينها. قد يكون من الضروري وجود خبير لفهم كل شيء – المنظور الأوسع ومن ثم تحديد الأجزاء التي تتناسب معًا. ولن يتمكن أي حل من إيقاف كل شيء أو يناسب الجميع، ولا يمكن أن يكون الأمن السحابي بمثابة تمرين “مربع اختيار” إذا كنا نريد الحفاظ على الإنتاجية والتحكم في التكاليف.
ويشير إلى أنه “عليك أن تزن المخاطر بشكل لا أدري وأن توفّق بين الاحتياجات الأمنية والاحتياجات التشغيلية”. “من غير المجدي أن يتفوق الأمن على العمليات، ولا يكسب المال – ولكن إذا ركزت على العمليات أكثر من اللازم، فإنك تعرض نفسك”.
يمكن أن يحدث الزحف الأمني بشكل أكبر بسبب عمليات التنفيذ “الغريبة والمعقدة” لثلاث إلى خمس أدوات حيث من المحتمل أن تكون إحداها قد قامت بهذه المهمة، أحيانًا بسبب تغير البيئة السحابية، أو بسبب اندفاع المؤسسة في مرحلة ما بعيدًا عن العمل داخل المؤسسة بدلاً من التعمق في التخطيط السحابي.
ما نحتاجه هو تنظيف كل ذلك، وإعادة العمل وطبقات الأمان وفقًا لأفضل الممارسات، وإضافة وسائل التخفيف الأساسية، مثل النسخ الاحتياطي. ويشير كلارك إلى أن الحصول على الشفافية في بيئة البيانات يمكن أن يكون أمرًا بالغ الأهمية أيضًا.
“لقد أمضينا وقتًا طويلاً في تصحيح هذا النوع من الأشياء للعملاء. يقول كلارك: “من المضحك أنهم لا ينفقون المزيد شهريًا”. “لا تنقل مشكلاتك الأمنية إلى السحابة فحسب… فلن يعمل كل شيء على السحابة الأصلية. [Think about] ما الذي يحتاج إلى الوصول إلى تطبيقاتك وما الذي لا يحتاج إليه.
يوصي أندرو جرين، محلل أبحاث الشبكات والأمن في GigaOm، بالاختيار سحابة أصلية خدمات الأمان من مجموعة مناسبة كمفتاح لتحسين أمان السحابة من منظور التكلفة.
واجهات شبكة الحاويات مفتوحة المصدر (CNIs) لـ Kubernetes و حاوياتتتمتع، مثل Calico وCilium، بقدرات أمنية “ممتازة” للتحكم في الوصول وتصفية حركة المرور، ويتم كل ذلك في طبقة الشبكة دون أي عوامل أو مكونات أخرى.
ويشير جرين إلى أنه “عندما تقوم بالربط الشبكي في Kubernetes، فإنهم لا يقدمون إمكانات أصلية”.
على الرغم من أن CNIs يمكن أن تكون حلولًا تقنية إلى حد ما تتطلب التكوين وربما تكون معززة Skillset، يمكنهم التعامل مع الاتصالات داخل الروبوتات أو المجموعات وعبر المجموعات، ويمكنهم المساعدة في تحديد السياسات، وتحديد ما يحتاج إلى التحدث مع عناصر التحكم في الوصول لبعضهم البعض، والقيام بالأمان بناءً على الهوية.
يقول جرين: “بدلاً من القول، “أريد منع الوصول إلى مورد IP هذا”، يمكنك تعيين تسمية لعبء العمل”. “وأنت تفعل ذلك قريبًا جدًا من نواة Linux. إنه خفيف الوزن، ويمكنك الحصول على قدر كبير من التحكم، ويمكنك القيام بمجموعة من الأشياء.
إذا كان تكوين CNIs باستخدام واجهة سطر الأوامر أو من خلال التكامل أمرًا صعبًا للغاية، فربما تختار العمل عبر واجهة المستخدم الرسومية (GUI). ويقول إن كاليكو وزملاؤه يقدمون وثائق فنية جيدة، ومختبرات، وتدريبًا للمساعدة.
وبدلاً من ذلك، يمكن أن تكون القدرات مغلقة المصدر جزءًا من حل أوسع مثل F5، إذا كان ذلك موجودًا بالفعل داخل الشركة، كما يقترح جرين.
تقليل التعرض
كن على دراية بالموارد المكشوفة والضعيفة والحد منها. إذا لم تكن المؤسسة مكشوفة للإنترنت العام، فقد تحتاج فقط إلى تصفية دخول “بسيطة ومباشرة”. تتطلب خدمات الويب والخدمات العامة المكشوفة على الإنترنت للمستهلكين أو الجهات الخارجية ميزات تصفية دخول أكثر تعقيدًا والتي تأتي بسعر.
الحماية من ياهو! تصفية الروبوتات أو حركة المتسوقين رفض الخدمة الموزعة (DDoS) ويشير جرين إلى أن الأمر قد يتطلب “استثمارًا كبيرًا”.
ويضيف: “هذا ليس من أجل الامتثال على وجه التحديد، ولكن من أجل الوضع الأمني العام”. “إذا كان كل ما تتعرض له هو مجرد واجهة برمجة تطبيقات شريكة [application programming interface]، قد تحتاج فقط إلى بعض حماية واجهة برمجة التطبيقات يمكنها التحقق من صحة الطلبات.”
أيضًا، لا ترفع وتحول التفكير الأولي. على سبيل المثال، يعد نشر جدار الحماية الكامل أو أجهزة جدار الحماية من الجيل التالي لإنشاء مقاطع سحابية أمرًا مكلفًا وغير فعال. من الأفضل البحث عن التقنيات التي تستخدم السمات السحابية الأصلية مثل التصنيفات أو العلامات التي يمكن ترحيلها مع عبء العمل، كما يقول جرين.
يرى كريس لوفجوي، قائد الأمن والمرونة العالمي في Kyndryl، أن الأمن السحابي غالبًا ما يتم إعاقةه بسبب التحديات المرتبطة بالإرث، وهذا هو السبب جزئيًا وراء الحديث منذ سنوات عن “فوائد أمنية هائلة”، إلى جانب الأداء وقابلية التوسع في السحابة، لم تلعب كما كان متوقعا.
لقد تم في كثير من الأحيان إهمال الحاجة إلى إعادة هيكلة التطبيقات لتكون متوافقة مع السحابة الأصلية.
“إعادة بناء التعليمات البرمجية وتقول: “يمكن أن تكون المناقشة صعبة للغاية مع مجالس الإدارة والإدارة التنفيذية”. “لكن التطبيقات القديمة تحتوي على بيانات اعتماد مشفرة، وتكوينات غير آمنة، وطرق تشفير قديمة، وفي كثير من الأحيان عندما تنتقل إلى السحابة، النقل بالحاويات.“
يمكن أن تقدم التطبيقات القديمة في كثير من الأحيان نفس نقاط الضعف التي قد تكون موجودة في البيئة المحلية، والتي يوجد فوقها طبقات من التعقيد المغلف للنقل بالحاويات. يوضح لوفجوي أن استخدام الحاويات هو في حد ذاته مصدر “كميات هائلة” من حالات التعرض المحتملة المرتبطة بالتكوين.
في حين أن المؤسسات تدرك المشكلات الأمنية، فإن كيفية إنشاء ونشر التطبيقات – الحلول القديمة ذات الأداء الضعيف غالبًا – والبيئات قد خلفت في كثير من الأحيان كميات هائلة من المعلومات الدين الفني.
إلى أي مدى يتخلف البعض؟ عندما يتعلق الأمر بعمليات التطوير السحابية، مجموعة استراتيجية المؤسسة أظهر الاستطلاع أن ثلث الفرق الأمنية التابعة للمشاركين في الاستطلاع لم تكن لديها رؤية كافية وسيطرة، وفشلت في إجراء فحوصات أمنية واختبار للإصدارات، وافتقرت إلى عمليات أمنية متسقة بين الفرق، وتخطيت الأمن للوفاء بالمواعيد النهائية، أو تم نشرها مع تكوينات خاطئة ونقاط ضعف و”مشكلات أمنية أخرى”.
التأكد من أساسيات الصوت
يلاحظ Lovejoy أن هذا متعدد هجين تحتاج البيئات السحابية إلى التكامل لتوفير إمكانية النقل وقابلية التشغيل البيني المطلوبة. وفي كثير من الأحيان، حتى حلم التحليلات المتقدمة يعاني نتيجة لذلك.
“لقد أدى هذا التعقيد إلى تكاليف غير متوقعة على الإطلاق. ومع ذلك، لم يتم تحسينه ليناسب السحابة،» كما يقول لوفجوي. “إنهم يعانون من عدم كفاءة الموارد، وسوء الاستخدام، وارتفاع تكاليف السحابة والاستضافة، بسبب الاستهلاك الضخم”.
إنهم يقعون في نوع من فخ فقر تكنولوجيا المعلومات، إذا صح التعبير. قد يبدو الإنفاق على الأمن، في مثل هذه الظروف، وكأنه مبلغ إضافي غير مرغوب فيه.
ويرى لوفجوي أن الحل الأفضل ربما ينطوي على التراجع عما يسمى غالبا بالتحديث ــ العودة إلى الوراء ــ من أجل بناء أساس أقوى يمكن البناء عليه في نهاية المطاف. حتى لو كان ذلك يعني الانتقال إلى السحابة الخاصة أو المحلية، فإن إعادة تشغيل السحابة الكبيرة تسير على الطريق الصحيح.
وتقول: “يمكن للسحابة أن توفر الفوائد والأمن والمرونة، ولكن قد تحتاج المؤسسة إلى تطبيق الاستثمار المناسب في إعادة الهيكلة الفعلية للتطبيقات، بدلاً من تجميع الكثير من الضوابط الأمنية، على سبيل المثال”.
وهذا “مهم بشكل خاص” بالنظر إلى توسع ونطاق التنظيم الناشئ، بما في ذلك استخدام البيانات والشفافية.
بدلاً من التركيز الضيق على الأمن المنفصل عن الباقي، يقترح لوفجوي أنه يجب على المؤسسات أن تفكر في “الحد الأدنى من خدمات الأعمال القابلة للحياة” لتمكينها من تشغيل المؤسسات والبيانات والأنظمة. قم بتخطيط كل ذلك، ثم قم بإعطاء الأولوية للمرونة الأمنية حول ذلك.
وتؤكد أن هذا هو المكان الذي يجب أن تستثمر فيه المؤسسات لتحسين تكاليف السحابة في نهاية المطاف، بما في ذلك الأمن.
“بينما الثقة صفر أمر عظيم، وينبغي حقا أن يتم تنفيذه في سياق الهندسة المعمارية الأكثر حداثة. النظر في الأساسيات – هل تمتلك المصادقة متعددة العوامل (MFA)والتدريب والترقيع الجيد؟ – قبل أن تصل زتنا [zero-trust network access]”.
