Дослідження Vanson Bourne «Cloud Security Index 2023» показало, що майже половина порушень, що відбулися в організаціях за останній рік, була викликана хмарними обчисленнями. Те ж дослідження показало, що середня організація втратила майже 4,1 млн. дол. через хмарні зломи минулого року.

Джон Кіндерваг, розробник концепції нульової довіри (Zero Trust), акцентував на 4 основних проблемах в галузі хмарної безпеки.

1. Ви не зможете поліпшити свій захист, якщо просто перейдете у хмару

Один із найбільших міфів про хмару полягає в тому, що вона з самого спочатку безпечніша, ніж більшість локальних середовищ. Проблема в тому, що, хоча великі хмарні провайдери можуть бути дуже потужними в захисті інфраструктури, але контроль і відповідальність, які вони несуть за безпеку своїх клієнтів, дуже обмежені.

2. Нативними засобами контролю безпеки складно керувати у гібридному світі

Зараз багато йдеться про ті покращені вбудовані засоби контролю безпеки у хмарі, які провайдери створили за останнє десятиліття. Хоча багато провайдерів проробили хорошу роботу, пропонуючи клієнтам більший контроль над робочими навантаженнями, ідентифікаційними даними та видимістю, якість цих інструментів є різна, деякі з них якісні, деякі — не дуже. Справжня проблема всіх цих рішень у тому, що ними складно керувати у світі, поза ізольованого середовища одного провайдера.

Це один із важливих факторів, що стимулюють дискусії щодо перенесення нульової довіри до хмари.

3. Ідентифікація не врятує вашу хмару

Організаціям важливо розуміти, що ідентифікація — це лише частина збалансованого підходу нульової довіри у хмарі. Компанії мають зосередитися на тому, що їм потрібно захистити, і помістити важливі речі під різні захисні поверхні, наприклад, база даних кредитних карток PCI повинна бути під власною захисною поверхнею. Ваша база даних HR повинна знаходитись під власною захисною поверхнею. Ваш HMI для IoT-системи або OT-системи має знаходитися під своєю власною захисною поверхнею. Коли ми розбиваємо проблему на такі маленькі шматочки, вирішуємо їх по одному за раз і робимо це послідовно.

4. Багато компаній не знають, що вони намагаються захистити

Коли організації вирішують, як сегментувати свої захисні поверхні у хмарі, їм необхідно спочатку чітко визначити, що вони намагаються захистити. Це дуже важливо, оскільки кожен актив, система чи процес нестиме свій власний унікальний ризик, і це визначить політику доступу до них та їх захист. Очевидно, ви не будуватимете сховища вартістю мільйон доларів для зберігання цінності на кілька сотень доларів. Хмарна аналогія полягає в тому, що не має сенсу створення тонни захисту навколо хмарного активу, який ізольований від чутливих систем і не містить конфіденційної інформації.

Дуже часто організації не мають чіткого уявлення про те, що вони захищають у хмарі та за її межами. Наприклад, дослідження Cloud Security Alliance "The State of Security Remediation 2024" показало, що лише 23% організацій мають повну видимість хмарних середовищ. А дослідження Illumio, проведене на початку цього року, показало, що 46% організацій немає повної видимості підключеності своїх хмарних сервісів.

ІТ-фахівці не замислюються над тим, чого вони насправді намагаються досягти, що вони намагаються захистити. Це фундаментальна проблема, через яку компанії витрачають багато грошей на безпеку, не забезпечуючи належного захисту.