Przyjęcie chmury jest dziś niemal powszechne i coraz bardziej zróżnicowane. Jednak hybrydowe środowiska chmurowe i wielochmurowe zwiększają złożoność ekosystemu bezpieczeństwa sieci. Globalne badanie Instytutu Ponemon dotyczące bezpieczeństwa w chmurze wykazało, że tylko 40% decydentów IT i specjalistów ds. bezpieczeństwa jest przekonanych, że ich organizacja może zapewnić bezpieczny dostęp do chmury.
Tradycyjne narzędzia bezpieczeństwa nie działają i brakuje koordynacji między zespołami IT, bezpieczeństwa i DevOps, podczas gdy tempo inicjatyw DevOps i transformacji jest szybsze niż kiedykolwiek. Według badania Ponemon dotyczącego bezpieczeństwa w chmurze, sponsorowanego przez Appgate, 90% respondentów zaadoptuje DevOps, a 87% zaadoptuje kontenery w ciągu najbliższych trzech lat, lecz nowoczesne praktyki bezpieczeństwa nie są tak powszechne.
Przy innowacjach wyraźnie wyprzedzających środki bezpieczeństwa, wiele organizacji podejmuje niezamierzone ryzyko. Prawie połowa (45%) naruszeń z raportu IBM Cost of a Data Breach Report 2022 miała miejsce w chmurze. Organizacje potrzebują nowoczesnej strategii bezpieczeństwa, która zapewni odpowiednią ochronę w środowiskach prywatnych, publicznych i wielochmurowych.
Znajomość zagadnień bezpieczeństwa w chmurze
Wiele typowych zagrożeń bezpieczeństwa sieciowego występuje również w chmurze, ale większość organizacji ma problemy z zabezpieczeniem tych środowisk. Monitorowanie i widoczność sieci (48%), wiedza wewnętrzna (45%) oraz zwiększony wektor ataku przy większej ilości narażonych zasobów (38%) to trzy największe wyzwania związane z bezpieczeństwem w chmurze, jak wynika z badania Ponemon.
Chmura zwiększa złożoność, ponieważ istnieje wspólna odpowiedzialność za bezpieczeństwo z dostawcą chmury, ale zbyt wiele organizacji nie rozumie tej luki i nie potrafi dotrzymać swojej części umowy. Dostawcy usług w chmurze dokonują częstych zmian i aktualizacji, a organizacje, które nie mają odpowiedniej kontroli bezpieczeństwa lub wglądu w te zmiany, kończą jako mniej bezpieczne niż im się wydaje.
Organizacje migrują do chmury, aby zwiększyć wydajność i obniżyć koszty, ale wiele z nich nie potrafi zrealizować tych korzyści i odpowiednio zabezpieczyć swoich użytkowników i danych. Tylko 42% respondentów w naszym badaniu potrafi pewnie segmentować swoje środowiska i stosować zasadę najmniejszego uprzywilejowania dostępu, a prawie jedna trzecia twierdzi, że nie ma współpracy między działami IT, bezpieczeństwa i DevOps – co stanowi poważne zagrożenie.
Tradycyjne, wyizolowane rozwiązania bezpiecznego dostępu, takie jak VPN i NAC, nie są skalowalne i nie zapewniają odpowiedniej ochrony chmury. Zamiast tego utrudniają produktywność użytkowników i programistów, co jest sprzeczne z korzyściami wynikającymi z przejścia na środowiska chmurowe.
Dostęp Zero Trust chroni również chmurę
Bezpieczny dostęp do chmury powinien być głównym priorytetem biznesowym dla każdej organizacji. Według naszego badania, dwiema najważniejszymi praktykami w zakresie bezpieczeństwa, umożliwiającymi osiągnięcie bezpiecznego dostępu do chmury, jest egzekwowanie najmniejszych przywilejów (62%) oraz ocena tożsamości, postawy urządzenia i ryzyka kontekstowego jako kryteriów uwierzytelniania (56%). Obie te praktyki są podstawowymi elementami bezpieczeństwa Zero Trust.
Rozwiązania zbudowane na zasadach Zero Trust, takie jak Zero Trust Network Access (ZTNA), zyskały w ciągu ostatnich dwóch lat ogromną popularność ze względu na możliwość zabezpieczenia zdalnego dostępu podczas pandemii. Jednak przypadki użycia ZTNA sięgają znacznie dalej, zabezpieczając wszystkie połączenia między użytkownikami i obciążeniami roboczymi, niezależnie od tego, gdzie się znajdują.
A udowodnione korzyści operacyjne wynikające z zastosowania zabezpieczeń Zero Trust w całej sieci przedsiębiorstwa są liczne. Respondenci badania chmury Ponemon, którzy przyjęli strategię Zero Trust, zgłaszają inne korzyści, takie jak zwiększona produktywność zespołu bezpieczeństwa IT (65%), silniejsze uwierzytelnianie z wykorzystaniem tożsamości i postawy ryzyka (61%), zwiększona produktywność DevOps (58%) oraz większa widoczność sieci i możliwości automatyzacji (58%). Dodatkowe korzyści sugerują, że Zero Trust może napędzić znaczny wzrost produktywności i przyspieszyć transformację cyfrową oprócz zabezpieczenia środowisk chmurowych.
Omijając mity o Zero Trust
To prawda, że Zero Trust nie jest jeszcze powszechne. Niestety, wielu dostawców rozwiązań bezpieczeństwa cybernetycznego podchwyciło ten termin, nie oferując żadnych korzyści, co prowadzi do przekonania, że Zero Trust jest raczej marketingowym hasłem niż kompleksowym paradygmatem bezpieczeństwa. Ta opinia znajduje odzwierciedlenie w naszym badaniu w chmurze przeprowadzonym wspólnie z firmą Ponemon. 53% respondentów stwierdziło, że nie planuje przyjęcia Zero Trust i uważa, że termin ten jest „tylko marketingowy”. Jednak wielu z tych respondentów podkreśla również możliwości ZTNA jako niezbędne do ochrony zasobów chmury – co wskazuje na zamieszanie wokół tego, co właściwie oznacza Zero Trust.
Nie jest to termin marketingowy ani produkt, który można kupić i zainstalować. To ramy bezpieczeństwa cybernetycznego, które się przyjmuje i nie należy czekać, aż transformacja chmury osiągnie dojrzałość, aby dodać zasady bezpieczeństwa Zero Trust. Szczerze mówiąc, Twoje dane i użytkownicy są zbyt ważni, aby dodawać dodatkowe ryzyko sieciowe i podatności, zwłaszcza że wykorzystanie chmury ma tendencję wzrostową.
Dzięki ZTNA kontrole mogą być płynnie stosowane w całym heterogenicznym środowisku, zarówno w chmurze, jak i w siedzibie firmy czy zdalnie. Przy prawidłowym wdrożeniu strategia bezpieczeństwa Zero Trust może przyczynić się do zwiększenia efektywności i innowacyjności zarówno po stronie bezpieczeństwa, jak i biznesu organizacji.
Za artykułem na stronie AppGate.