Podstawowa rola CSPM w bezpieczeństwie chmury

Według firmy Gartner® „przewiduje się, że ogólnoświatowe usługi w chmurze publicznej wzrosną o 19,1% w bieżących dolarach amerykańskich w 2024 r. Organizacje w dalszym ciągu przyspieszają wdrażanie chmury, co zapewnia pięcioletnią złożoną roczną stopę wzrostu na poziomie 19,7% (19,1% w stałej walucie ) ”¹. Przetwarzanie w chmurze oferuje ogromną skalowalność i elastyczność, ale jednocześnie wiąże się z wyjątkowym zestawem wyzwań związanych z bezpieczeństwem. Liderzy działów wiedzą teraz, że tradycyjne metody cyberbezpieczeństwa nie są wystarczające, aby stawić czoła zagrożeniom i ryzyku operacyjnemu, jakie stwarza przetwarzanie w chmurze. Potrzebna jest strategia bezpieczeństwa natywna dla chmury, jak wiele organizacji wciąż ma problemy z tym, jak powinna wyglądać jej skuteczne wdrożenie.

„Problem zasadniczo zaczyna się na poziomie terminologii” – mówi Raphael Peyret, wiceprezes ds. produktu w Horangi Cyber Security, firmie Bitdefender. „Są dostawcy, którzy twierdzą, że oferują rozwiązania bezpieczeństwa oparte na chmurze, ale w rzeczywistości są to tradycyjne narzędzia bezpieczeństwa działające w chmurze. Są one oparte na chmurze jako model wdrażania. Tym, czego naprawdę potrzebują organizacje, są rozwiązania bezpieczeństwa natywne w chmurze.”

Rozwiązania natywne dla chmury zostały zaprojektowane z myślą o sprostaniu wyzwaniom związanym z bezpieczeństwem chmury i interakcji ze złożonymi środowiskami cloudowymi. Jednak biorąc pod uwagę złożoność wdrażania, organizacje muszą przyjąć podejście metodyczne, w przeciwnym razie ryzykują zakup zaawansowanych produktów, których nie mogą wykorzystać ze względu na brak wiedzy specjalistycznej personelu i infrastruktury. Najlepiej zacząć od wdrożenia rozwiązania do zarządzania stanem zabezpieczeń w chmurze (CSPM), które można wykorzystać w celu zapewnienia skutecznego bezpieczeństwa w cloudzie.

Dlatego w tym artykule przyjrzyjmy się, w jaki sposób organizacje zajmujące się bezpieczeństwem mogą rozpocząć tworzenie planu działania dotyczącego dojrzałości zabezpieczeń w cloudzie, zapewniając jednocześnie zrozumienie natywnego krajobrazu zabezpieczeń w chmurze.

Historia zmian w bezpieczeństwie chmury

Początkowo, gdy organizacje w minimalnym stopniu korzystały z usług w chmurze, stosowane środki bezpieczeństwa były podobne do tych, które wykorzystuje się przy ochronie zasobów lokalnych. Skupiono się przede wszystkim na zabezpieczeniu punktów końcowych i granic sieci, ale w chmurze. W rezultacie kluczowym rozwiązaniem okazały się platformy ochrony obciążeń w chmurze (CWPP).

Jednak wraz z rozwojem DevOps oraz głębszą integracją przyjęcia chmury z rozwojem produktów i oprogramowania stało się jasne, że CWPP, choć skuteczne w niektórych aspektach bezpieczeństwa cloud, nie różniły się wystarczająco od tradycyjnych platform ochrony punktów końcowych. Co więcej, nie zabezpieczały odpowiednio nowej powierzchni ataku, jaką stwarza chmura. Skuteczne bezpieczeństwo w cloudzie wymagało zmiany paradygmatu w stosunku do tradycyjnych metod zabezpieczania punktów końcowych i sieci. Rozwiązania musiały być głębiej osadzone i zintegrowane z cyklem życia oprogramowania, zapewniając płynne środki bezpieczeństwa, które wspierają wydajność i produktywność bez uszczerbku dla ochrony.

Pojawienie się natywnych rozwiązań bezpieczeństwa dla chmury

Aby sprostać nowym potrzebom organizacji stawiających przede wszystkim na chmurę, pojawiły się platformy ochrony aplikacji Cloud-Native (CNAPP). Te rozwiązania i ich komponenty zostały opracowane z myślą o dynamicznym, skalowalnym i rozproszonym charakterze chmury. Narzędzia te zapewniają kompleksową widoczność i bezpieczeństwo, elastyczność i łatwość operacyjną, która pozwala organizacjom włączyć zabezpieczenia w cykl życia oprogramowania przy minimalnych zakłóceniach.

Składniki CNAPP

CNAPP obejmuje różne komponenty, z których każdy dotyczy określonych aspektów bezpieczeństwa chmury. Oto najważniejsze z nich:

• Zarządzanie stanem zabezpieczeń w chmurze (CSPM): koncentruje się na identyfikowaniu i naprawianiu błędnych konfiguracji oraz zagrożeń zgodności w środowiskach chmurowych.
• Zarządzanie uprawnieniami do infrastruktury chmury (CIEM): zabezpiecza zarządzanie tożsamością i dostępem w środowiskach chmurowych, zapewniając odpowiednie uprawnienia i minimalizując ryzyko nadmiernych uprawnień.
• Bezpieczeństwo infrastruktury jako kodu (IaC): przesuwa zabezpieczenia na wcześniejszy etap potoku CI-CD, szczególnie w przypadku dojrzałych organizacji korzystających z IaC, aby zapobiec wdrażaniu niepewnych konfiguracji i zapewnić bezpieczniejsze środowiska chmurowe poprzez automatyczne kontrole.
• Cloud Workload Protection (CWP): chroni obciążenia w chmurze, takie jak serwery, pamięć masowa i bazy danych, przed zagrożeniami.
• Wykrywanie i reagowanie w chmurze: zapewnia aktywne mechanizmy monitorowania i reagowania na tożsamość oraz przeciwdziała zagrożeniom bezpieczeństwa w środowiskach chmurowych, zwiększając ogólną ochronę i odporność.

Skuteczne bezpieczeństwo w chmurze wymaga czegoś więcej niż tylko rozwiązań punktowych

Chociaż te zaawansowane rozwiązania stanowią znaczący postęp w ochronie w chmurze, ich skuteczność zależy od sposobu ich wdrożenia, co częściowo jest kwestią sposobu postrzegania bezpieczeństwa i ustalania priorytetów. „Istnieje rozbieżność między tempem wdrażania chmury w zależności od czynników wpływających na przychody; aplikacje biznesowe i zespoły DevOps, które je obsługują” – mówi Peyret. „Bezpieczeństwo, które często jest postrzegane jako centrum kosztów. Aby nadrobić zaległości, organizacja może pomyśleć, że zwykły zakup CNAPP rozwiąże problem”.

To niestety nie rozwiązuje podstawowych problemów występujących w wielu organizacjach, czyli braku czasu, zasobów, wiedzy specjalistycznej i talentu. Z niedawnego raportu ISACA wynika, że 59% liderów ds. cyberbezpieczeństwa twierdzi, iż w ich zespołach brakuje personelu. Podają również, że umiejętność przetwarzania danych w chmurze jest drugą najważniejszą cechą przy zatrudnianiu nowych pracowników zajmujących się cyberbezpieczeństwem, ponieważ jeśli organizacja wyda swój budżet na główne rozwiązanie CNAPP bez odpowiedniego zespołu i programów, zostanie ono źle wdrożone i doprowadzi do zawyżonego poczucia ochrony.

Liderzy powinni zamiast tego zacząć od skromnego rozwiązania CSPM jako punktu wyjścia w kierunku dojrzałości zabezpieczeń w chmurze i stopniowo budować na dalsze warstwy ochrony.

Jak CSPM pomaga organizacjom osiągnąć dojrzałość zabezpieczeń natywnych w chmurze?

CSPM został początkowo opracowany przez ekspertów ds. bezpieczeństwa chmury, którzy całkiem dobrze rozumieli złożoność cloudu. Chociaż pierwsze narzędzia CSPM były początkowo zbyt „hałaśliwe”, nowsze zaprojektowano tak, aby minimalizować zmęczenie alertami i zapewniać analizę kontekstową. „W zasadzie są to rozwiązania typu CSPM+” – mówi Peyret. „Są bardziej wydajne i dostępne dla zespołów i osób, które mają mniejszą wiedzę na temat bezpieczeństwa w chmurze”. Peyret porównuje CSPM do korporacyjnego systemu zarządzania budynkiem. Narzędzie to sprawdza drzwi, okna, alarmy oraz raportuje, co jest otwarte, kiedy użyto kart dostępu oraz kto wchodzi i wychodzi.

W ten sam sposób CSPM gromadzi i analizuje dane w całym środowisku chmurowym, aby identyfikować oraz ujawniać potencjalne zagrożenia i słabe punkty w sposób natywny dla chmury, co oznacza, że może analizować środowiska cloudów hybrydowych. Odbywa się to w sposób ciągły i wykracza poza wykrywanie luk w zabezpieczeniach, aby wykryć błędne konfiguracje, naruszenia zgodności i zagrożenia bezpieczeństwa.

CSPM automatyzuje również krytyczne zadania związane z bezpieczeństwem, aby zapewnić specjalistyczną wiedzę dotyczącą zgodności chmury z szeregiem standardów regulacyjnych, takich jak RODO, CCPA, regulacje bankowe lub standardy dobrowolne, takie jak SOC2 i ISO 27001. Odbywa się to poprzez identyfikację obszarów niezgodności, dostarczanie kontekstowych informacji analizę i zapewnienie egzekwowania zasad bezpieczeństwa w całym środowisku chmury.

Te korzyści w zakresie widoczności i zgodności są niezbędne dla każdej organizacji, niezależnie od złożoności cloudu, dzięki czemu CSPM jest pierwszą linią obrony i zgodności z przepisami. Peyret twierdzi, że jest to analogiczne do posiadania zapory ogniowej i antywirusa w celu zapewnienia tradycyjnego bezpieczeństwa. CSPM zapewnia podstawową ochronę, która pozwala organizacjom na dalsze inwestowanie w bardziej zaawansowane narzędzia ochrony proaktywnej, które rozwijają się w stronę dojrzałości zabezpieczeń w chmurze.

Jest również skuteczne od razu po wdrożeniu, dzięki czemu korzystanie z niego jest znacznie łatwiejsze w porównaniu z innymi złożonymi narzędziami CNAPP. Dlatego zespoły posiadające minimalną wiedzę na temat bezpieczeństwa chmury mogą nadal korzystać z tego narzędzia.

Skuteczne bezpieczeństwo w chmurze wymaga podejścia opartego na modelu dojrzałości

„Zbyt często widziałem, jak organizacje kupowały CNAPP tylko po to, aby nikt nie analizował jego ustaleń ani alertów” – mówi Peyret. Według raportu oceny cyberbezpieczeństwa z 2023 r. 78,3% amerykańskich liderów ds. IT i bezpieczeństwa stwierdziło, że w ciągu ostatnich 12 miesięcy kupiło narzędzie, które „nie spełniło oczekiwań marketingowych”, a 43% respondentów na całym świecie wskazało, że ich rozwiązanie jest zbyt skomplikowane.

Nie wystarczy po prostu nabyć najbardziej zaawansowane narzędzia zabezpieczające w chmurze. Taki scenariusz jeszcze bardziej utrudnia przydzielenie budżetu na bezpieczeństwo, co skutkuje mniej chronionym systemem. Liderzy powinni priorytetowo zacząć od CSPM, który następnie umożliwi ich zespołowi maksymalne wykorzystanie działu dysponującego ograniczonymi zasobami. Pomyśl o CSPM jako o narzędziu takim jak Photoshop. Jest to potężna aplikacja, w której możesz spędzić lata, ucząc się wszystkich jej szczegółów, ale już teraz możesz wiele zdziałać, korzystając z zaledwie kilku podstawowych funkcji. Jednak przy większym zrozumieniu, czasie oraz odpowiednim zespole możliwe jest zwiększenie wykorzystania i uzyskanie jeszcze większej liczby możliwości.

W podobny sposób prawidłowe wdrożenie CSPM zapewni dobrą podstawę ochrony, jednocześnie umożliwiając organizacjom nakładanie warstw na bardziej złożone podstawowe elementy bezpieczeństwa natywne w chmurze, takie jak CIEM i CWP. Tworząc podstawy bardziej zaawansowanego bezpieczeństwa w chmurze, organizacje mogą z łatwością ominąć wyzwania operacyjne i wdrożeniowe, z którymi często wiąże się bezpieczeństwo w chmurze.