ข้อมูลเชิงลึกของอุตสาหกรรม: ความปลอดภัยของคลาวด์จะพัฒนาไปอย่างไรในปี 2560

ปีที่จะมาถึงนี้มีการเติบโตอย่างมากสำหรับผู้ให้บริการคลาวด์สาธารณะและผู้จำหน่ายโซลูชั่น Software-as-a-Service (SaaS) สำหรับหนึ่งเทคโนโลยีระดับรากฐานใหม่เช่นการปรับใช้ microservice และ blockchain เป็นต้นกำลังส่งช่องทางที่ไม่ได้ใช้สำหรับนวัตกรรม แต่บางทีสิ่งที่สำคัญยิ่งกว่านั้นหนึ่งในบล็อคที่ใช้ระบบคลาวด์ CIO ที่มีการอ้างถึงมากที่สุด (เช่นความปลอดภัยและความปลอดภัยของข้อมูล) ดูเหมือนจะเคลื่อนตัวไปสู่พื้นหลังในที่สุดโดยเฉพาะอย่างยิ่งสำหรับองค์กรธุรกิจและธุรกิจขนาดกลาง

ในขณะที่นักวิเคราะห์ยอมรับว่าธุรกิจส่วนใหญ่ในปัจจุบันรวมถึงองค์กรและกลุ่มขนาดกลางมีการปรับใช้ระบบคลาวด์ในระดับที่แตกต่างกันพวกเขายังยอมรับว่าองค์กรขนาดใหญ่มีความล่าช้าในการเคลื่อนย้ายปริมาณงานที่สำคัญไปยังคลาวด์ ความปลอดภัย นั่นเป็นสิ่งสำคัญสำหรับลูกค้าเหล่านี้ไม่เพียงเพราะปริมาณข้อมูลจำนวนมากที่องค์กรเหล่านี้จะต้องโยกย้าย แต่ยังเป็นเพราะผ่านการตรวจสอบการปฏิบัติตามกฎระเบียบที่เข้มงวดเช่น Health Insurance Portability and Accountability Act (HIPAA) และ ISO 27001 เป็นสิ่งสำคัญสำหรับพวกเขา เพื่อทำธุรกิจ การรักษาความปลอดภัยเป็นสิ่งที่สำคัญที่สุดสำหรับซีไอโอเหล่านี้และเมื่อไม่นานมานี้ก็ยังไม่แข็งแกร่งพอที่พวกเขาจะนำระบบคลาวด์มาใช้อย่างกว้างขวาง

แต่ตามการคาดการณ์ของนักวิเคราะห์ในปี 2560 นั่นคือทั้งหมดที่เกี่ยวกับการเปลี่ยนแปลง การรักษาความปลอดภัยบนคลาวด์ได้มานานมากในช่วงครึ่งทศวรรษที่ผ่านมาและดูเหมือนว่าผู้เชี่ยวชาญด้านไอทีจำนวนมากและซีไอโอเห็นด้วย ซึ่งหมายความว่านักวิเคราะห์คาดการณ์ว่าเราจะเห็นโครงสร้างพื้นฐานระบบคลาวด์และบริการจากภาคธุรกิจในปี 2560 ที่มีขนาดใหญ่ขึ้น

ฉันทำการสัมภาษณ์ทางอีเมลกับ Brian Kelly, หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยที่ผู้ให้บริการคลาวด์ที่มีชื่อเสียง Rackspace เพื่อค้นหาสิ่งที่เปลี่ยนแปลงเกี่ยวกับความปลอดภัยของระบบคลาวด์ในปีที่จะมาถึงและเพื่อดูว่าเขาเห็นด้วยกับคำทำนายของนักวิเคราะห์เหล่านี้หรือไม่

PCMag: Rackspace มีบทบาทอย่างไรกับเจ้าหน้าที่ไอทีของลูกค้าเมื่อพูดถึงความปลอดภัยของข้อมูลและความปลอดภัย?

Brian Kelly (BK): เราเห็นหลักฐานโดยตรงว่าลูกค้ากำลังมาที่คลาวด์เนื่องจากความปลอดภัยมากกว่าวิ่งหนีจากมัน ด้วยข้อยกเว้นบางประการ บริษัท ก็ไม่มีทรัพยากรและทักษะในการปกป้ององค์กรของพวกเขาอย่างมีประสิทธิภาพจากภัยคุกคามที่มีความซับซ้อนและต่อเนื่อง ในทำนองเดียวกันผู้ให้บริการคลาวด์ตระหนักดีว่าอนาคตของธุรกิจของเราขึ้นอยู่กับการส่งมอบความเชื่อมั่นและความมั่นใจผ่านแนวทางปฏิบัติด้านความปลอดภัยที่มีประสิทธิภาพ แม้ว่าผู้ให้บริการคลาวด์จะเพิ่มการลงทุนด้านความปลอดภัย แต่การปกป้องทรัพย์สินขององค์กรจะยังคงเป็นความรับผิดชอบร่วมกัน ในขณะที่ผู้ให้บริการคลาวด์มีความรับผิดชอบโดยตรงในการปกป้องสิ่งอำนวยความสะดวกศูนย์ข้อมูลเครือข่ายและโครงสร้างพื้นฐานเสมือนจริง แต่ผู้บริโภคก็มีความรับผิดชอบในการปกป้องระบบปฏิบัติการแอพพลิเคชั่นข้อมูลการเข้าถึงและข้อมูลรับรอง

Forrester ประกาศเกียรติคุณคำว่า "การจับมือที่ไม่สม่ำเสมอ" ในการอ้างอิงถึงความรับผิดชอบร่วมกันนี้ ในบางเรื่องผู้บริโภคเชื่อว่าพวกเขากำลังแบกภาระสำหรับความปลอดภัยของข้อมูลของพวกเขา เรื่องนี้อาจเป็นจริงไม่กี่ปีที่ผ่านมา; อย่างไรก็ตามเรากำลังเห็นการจับมือกันอย่างสมดุล นั่นคือผู้ให้บริการคลาวด์สามารถและควรทำมากขึ้นสำหรับผู้บริโภคในการแบ่งปันความรับผิดชอบด้านความปลอดภัย สิ่งนี้สามารถอยู่ในรูปแบบของการให้การมองเห็นและความโปร่งใสที่มากขึ้นในปริมาณงานที่โฮสต์ให้การเข้าถึงเครื่องบินควบคุมหรือเสนอบริการความปลอดภัยที่มีการจัดการ ในขณะที่ความรับผิดชอบด้านความปลอดภัยของผู้บริโภคจะไม่หายไปผู้ให้บริการคลาวด์จะยังคงรับผิดชอบมากขึ้นและส่งมอบข้อเสนอการรักษาความปลอดภัยที่มีการจัดการมูลค่าเพิ่มเพื่อสร้างความไว้วางใจที่จำเป็นสำหรับทั้งสองฝ่าย

PCMag: คุณมีคำแนะนำใด ๆ สำหรับมืออาชีพด้าน IT และลูกค้าธุรกิจเกี่ยวกับสิ่งที่พวกเขาสามารถทำได้นอกเหนือจากสิ่งที่ผู้ให้บริการมอบเพื่อช่วยปกป้องข้อมูลบนคลาวด์

BK: พวกเขาจะต้องดำเนินการตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดภายในวงล้อมของพวกเขา พวกเขาจำเป็นต้องแบ่งส่วนภาระงานในวงล้อมด้วยความรับผิดชอบเพื่อ จำกัด ขอบเขตของการประนีประนอมตรวจสอบให้แน่ใจว่าสภาพแวดล้อมในการทำงาน (ระบบปฏิบัติการตู้คอนเทนเนอร์ LAN เสมือน) มีความปลอดภัยและแก้ไขอย่างถูกต้องยกระดับจุดตรวจจับและเทคโนโลยีการตอบสนองระดับเครือข่าย IPS, การตรวจจับมัลแวร์และการกักกัน) และจัดการบัญชีและการเข้าถึงอย่างแข็งขัน บ่อยครั้งที่ลูกค้าสามารถรวมบริการและเทคโนโลยีเหล่านี้ไว้ในสัญญาการใช้งานระบบคลาวด์ของพวกเขา แต่หากไม่ทำเช่นนั้นผู้บริโภคจะต้องตรวจสอบให้แน่ใจว่ามันเกิดขึ้นที่ด้านข้างของพวกเขา

PCMag: หนึ่งคำถามสำคัญที่เราเคยเห็นผู้อ่านถามเกี่ยวกับการป้องกันที่มีประสิทธิภาพต่อการโจมตี Internet of Things (IoT) ขนาดใหญ่ - การโจมตีแบบกระจายปฏิเสธบริการ (DDoS) คล้ายกับเหตุการณ์ที่เกิดขึ้นเมื่อเดือนตุลาคมที่ผ่านมาซึ่งผู้ขาย IoT จีน การโจมตี. การโจมตีดังกล่าวทำงานกับผู้ให้บริการอินเทอร์เน็ตต้นน้ำ (ISP) หรือไม่ และพวกเขาคอยโจมตีลูกค้ารายหนึ่งจากการทำลายทุกคนในโรงงานได้อย่างไร

BK: เป้าหมายหลักของการป้องกัน DDoS คือการรักษาความพร้อมใช้งานเมื่อถูกโจมตี ความสามารถในการโจมตี DDoS ของ IoT นั้นเป็นที่รู้จักกันดีและสามารถลดผลกระทบได้สำเร็จโดยการใช้แนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยและโดยใช้ระบบ DDoS ที่ชาญฉลาด ภัยคุกคามที่ใหญ่ที่สุดไม่ใช่วิธีการโจมตีจาก IoT แต่เป็นจำนวนมหาศาลของอุปกรณ์ที่เปิดใช้งานอินเทอร์เน็ตที่มีช่องโหว่ เครือข่ายจะต้องถูกล็อคลงเพื่อ จำกัด การสัมผัสกับภัยคุกคามบนอินเทอร์เน็ต ผู้ให้บริการเครือข่ายจะต้องดำเนินการเชิงรุกในการตรวจจับภัยคุกคามที่เป็นไปได้ทั้งหมดและรู้เทคนิคที่มีประสิทธิภาพที่สุดในการลดความเสี่ยงดังกล่าวในขณะที่ยังคงความสามารถในการวิเคราะห์และจำแนกการรับส่งข้อมูลเครือข่ายทั้งหมด

กลยุทธ์การลด DDoS ที่แข็งแกร่งต้องใช้วิธีการป้องกันแบบเลเยอร์และการป้องกัน จำนวนอุปกรณ์ IoT จำนวนมากทำให้การโจมตี IoT ลดความยากลำบากสำหรับเครือข่ายขนาดเล็ก ประสิทธิผลของการโจมตี IoT คือความยืดหยุ่นในการสร้างเวกเตอร์การโจมตีที่แตกต่างกันและสร้างทราฟฟิก DDoS ปริมาณมากในปริมาณมาก แม้แต่เครือข่ายที่แข็งแกร่งที่สุดก็สามารถถูกครอบงำได้อย่างรวดเร็วด้วยปริมาณการรับส่งข้อมูลจำนวนมหาศาลที่ IoT สามารถสร้างขึ้นได้ด้วยมือของผู้โจมตีที่มีความสามารถ ผู้ให้บริการต้นน้ำมักจะมีความพร้อมที่ดีกว่าและมีเจ้าหน้าที่คอยจัดการกับการโจมตีขนาดใหญ่เหล่านี้ซึ่งจะทำให้การเชื่อมโยงเครือข่ายขนาดเล็กเป็นไปอย่างรวดเร็ว นอกจากนี้ขนาดของการดำเนินงานเครือข่ายและเครื่องมือที่จำเป็นในการลดการโจมตีดังกล่าวทำให้การตรวจจับและการตอบสนองที่มีประสิทธิภาพออกห่างจากองค์กรส่วนใหญ่ ทางออกที่ดีกว่าคือจ้างการดำเนินการดังกล่าวกับ ISP ต้นน้ำของผู้ให้บริการคลาวด์ที่ทำงานกับเครือข่ายขนาดนี้แล้ว

ผู้ให้บริการต้นน้ำมีข้อได้เปรียบมากมายผ่านจุดเชื่อมต่ออินเทอร์เน็ตที่มีความหลากหลายซึ่งสามารถเปลี่ยนทราฟฟิกได้ โดยทั่วไปแล้วพวกเขาจะมีท่อข้อมูลขนาดใหญ่พอที่จะรองรับปริมาณการรับส่งข้อมูล DDoS จำนวนมากในขณะที่กิจกรรมการตอบสนองของการรับส่งข้อมูลการกำหนดเส้นทางใหม่กำลังหมุน "ต้นน้ำ" เป็นคำที่ดีเพราะค่อนข้างคล้ายกับเขื่อนหลายแห่งตามแนวแม่น้ำ ในช่วงน้ำท่วมคุณสามารถป้องกันบ้านหลังน้ำโดยใช้เขื่อนแต่ละแห่งเพื่อกักเก็บน้ำในทะเลสาบแต่ละหลังที่สร้างขึ้นโดยเขื่อนและวัดการไหลเพื่อป้องกันน้ำท่วมจากท้ายน้ำ ความหลากหลายของแบนด์วิดท์และจุดเชื่อมต่อสำหรับ ISP ที่อัปสตรีมให้ความยืดหยุ่นในลักษณะเดียวกัน พวกเขายังมีโปรโตคอลการเจรจาข้ามชุมชนอินเทอร์เน็ตเพื่อลดปริมาณการเข้าชม DDoS ใกล้แหล่งที่พวกเขาสามารถเปิดใช้งาน

เช่นเดียวกับกิจกรรมเผชิญเหตุอื่น ๆ การวางแผนการเตรียมการและการฝึกฝนเป็นสิ่งจำเป็น ไม่มีการโจมตีสองครั้งที่เหมือนกันดังนั้นการคาดการณ์ทางเลือกและสถานการณ์จากนั้นการวางแผนและฝึกซ้อมสำหรับพวกเขาจึงเป็นสิ่งสำคัญ สำหรับสถานการณ์การโจมตี IoT ซึ่งรวมถึงการสแกนเครือข่ายของคุณสำหรับอุปกรณ์ที่มีช่องโหว่และดำเนินการแก้ไข คุณควรแน่ใจว่าได้ยับยั้งการสแกนจากนอกเครือข่ายของคุณสำหรับอุปกรณ์ IoT ที่มีช่องโหว่ เพื่อช่วยให้ใช้การควบคุมการเข้าถึงอย่างเข้มงวดและการทำให้ระบบปฏิบัติการแข็งตัวขึ้นและพัฒนาขั้นตอนการแพตช์รหัสรุ่นต่าง ๆ อุปกรณ์เครือข่ายและแอพพลิเคชั่น

คลิกที่ภาพเพื่อดูข้อมูลทั้งหมด เครดิตภาพ: Twistlock

PCMag: อีกคำถามที่ผู้อ่านถามเราเกี่ยวกับความปลอดภัยของคอนเทนเนอร์ คุณกังวลเกี่ยวกับภาชนะบรรจุอาวุธที่อาจมีระบบการโจมตีที่ซับซ้อนหรือคุณคิดว่าสถาปัตยกรรมป้องกันการโจมตีแบบนี้หรือไม่?

BK: การ รักษาความปลอดภัยด้วยเทคโนโลยีใหม่ที่เน้นความกังวลมากขึ้นเสมอ - ตู้คอนเทนเนอร์ไม่ซ้ำกันในด้านนี้ แต่เช่นเดียวกับความท้าทายด้านความปลอดภัยจำนวนมากมีการแลกเปลี่ยนกัน แม้ว่าอาจมีความเสี่ยงเพิ่มขึ้น แต่เราก็เชื่อว่ามีกลยุทธ์การลดความเสี่ยงที่มีประสิทธิภาพสำหรับความเสี่ยงที่เราสามารถควบคุมได้

คอนเทนเนอร์โดยพื้นฐานแล้วเป็นสภาพแวดล้อมระบบปฏิบัติการแบบเสมือนที่มีลักษณะชั่วคราวและมีน้ำหนักเบาสูง เครื่องเสมือนปลอดภัยน้อยกว่าเซิร์ฟเวอร์จริงหรือไม่ โดยส่วนใหญ่แล้ว อย่างไรก็ตามธุรกิจจำนวนมากเห็นประโยชน์ด้านต้นทุนจากการทำเวอร์ช่วลไลเซชั่น (ใช้จ่ายน้อยกว่าจัดการได้ง่ายขึ้นสามารถ re-purpose machine ได้อย่างง่ายดาย) และพวกเขาเลือกที่จะใช้ประโยชน์จากสิ่งเหล่านั้นในขณะเดียวกันก็ลดความเสี่ยงให้มากที่สุด Intel เองก็รู้ว่าพวกเขาสามารถช่วยลดความเสี่ยงบางอย่างและนั่นคือสิ่งที่ Intel VT มาจาก

บรรจุภัณฑ์ประหยัดค่าใช้จ่ายเริ่มต้นและความยืดหยุ่นของการจำลองเสมือนเพิ่มเติม พวกมันยังมีความเสี่ยงมากกว่าเนื่องจากมีกำแพงที่บาง มาก ระหว่างแต่ละคอนเทนเนอร์กับระบบปฏิบัติการของโฮสต์ ฉันไม่ได้ตระหนักถึงการสนับสนุนฮาร์ดแวร์สำหรับการแยกดังนั้นจึงขึ้นอยู่กับเคอร์เนลเพื่อให้ทุกคนอยู่ในสาย บริษัท ต่างๆจะต้องชั่งน้ำหนักผลประโยชน์ด้านต้นทุนและความยืดหยุ่นของเทคโนโลยีใหม่นี้พร้อมกับความเสี่ยงเหล่านี้

ผู้เชี่ยวชาญด้าน Linux กังวลเพราะแต่ละคอนเทนเนอร์ใช้เคอร์เนลของโฮสต์ซึ่งทำให้พื้นที่ผิวสำหรับการใช้ประโยชน์จากเทคโนโลยีเวอร์ชวลไลเซชันแบบดั้งเดิมมีมากเช่น KVM และ Xen ดังนั้นจึงมีความเป็นไปได้ที่การโจมตีใหม่ที่ผู้โจมตีจะแฮ็คสิทธิ์ในตู้คอนเทนเนอร์หนึ่งเพื่อเข้าถึงหรือส่งผลกระทบต่อเงื่อนไขภายใน - ตู้คอนเทนเนอร์อื่น

เรายังไม่มีเซ็นเซอร์ความปลอดภัยเฉพาะภายในภาชนะบรรจุมากนัก พื้นที่ของตลาดนั้นต้องเป็นผู้ใหญ่ในความคิดของฉัน นอกจากนี้คอนเทนเนอร์ไม่สามารถใช้คุณลักษณะด้านความปลอดภัยที่มีอยู่ใน CPU (เช่น Intel VT) ที่อนุญาตให้ใช้รหัสในการเรียกใช้งานเสียงเรียกเข้าที่แตกต่างกันขึ้นอยู่กับระดับสิทธิ์

ในท้ายที่สุดมีช่องโหว่มากมายสำหรับฟิสิคัลเซิร์ฟเวอร์เครื่องเสมือนและคอนเทนเนอร์ สิ่งใหม่จะครอบตัดตลอดเวลา แม้กระทั่งเครื่องที่มีช่องโหว่ ผู้เชี่ยวชาญด้านไอทีควรกังวลเกี่ยวกับความปลอดภัยที่ลดลงในทุกระดับ การป้องกันส่วนใหญ่จะเหมือนกันสำหรับประเภทการปรับใช้เหล่านี้ แต่แต่ละประเภทมีการป้องกันความปลอดภัยเพิ่มเติมของตัวเองที่ต้องใช้

ผู้ให้บริการโฮสต์ต้องใช้ Linux Security Modules (เช่น SELinux หรือ AppArmor) เพื่อแยกคอนเทนเนอร์และระบบนั้นจะต้องได้รับการตรวจสอบอย่างใกล้ชิด สิ่งสำคัญคือการปรับปรุงโฮสต์เคอร์เนลให้ทันสมัยเพื่อหลีกเลี่ยงการหาประโยชน์เพิ่มในระดับท้องถิ่น การแยก ID ที่ไม่ซ้ำ (UID) ช่วยได้เช่นกันเนื่องจากป้องกันผู้ใช้รูทในคอนเทนเนอร์จากการเป็นรูทบนโฮสต์

PCMag: เหตุผลหนึ่งที่ PCMag.com ไม่ได้ทำการเปรียบเทียบขนาดใหญ่ของผู้ให้บริการด้านความปลอดภัยที่มีการจัดการ (MSSPs) เป็นเพราะมีความสับสนในอุตสาหกรรมเกี่ยวกับสิ่งที่คำว่าหมายถึงและสิ่งที่ระดับของผู้ให้บริการสามารถและควรส่งมอบ คุณสามารถทำลายบริการรักษาความปลอดภัยที่มีการจัดการของ Rackspace ได้หรือไม่? มันแตกต่างจากผู้ให้บริการรายอื่น ๆ และคุณจะเห็นว่ามันเกิดขึ้นเพื่อที่ผู้อ่านจะได้รับความคิดที่ดีเกี่ยวกับสิ่งที่พวกเขาสมัครใช้เมื่อใช้บริการดังกล่าว

BK: MSSP ต้องยอมรับว่าการรักษาความปลอดภัยไม่ได้ทำงานและปรับกลยุทธ์และการดำเนินงานให้มีประสิทธิภาพมากขึ้นในแนวการคุกคามในปัจจุบัน - ซึ่งประกอบด้วยฝ่ายตรงข้ามที่มีความซับซ้อนและต่อเนื่องมากขึ้น ที่ Rackspace เรารับทราบการเปลี่ยนแปลงที่คุกคามและพัฒนาความสามารถใหม่ที่จำเป็นในการลดความเสี่ยงดังกล่าว Rackspace Managed Security เป็นระบบตรวจจับและตอบสนองขั้นสูง 24/7/365 มันถูกออกแบบมาไม่เพียง แต่เพื่อปกป้อง บริษัท จากการโจมตี แต่เพื่อลดผลกระทบทางธุรกิจเมื่อการโจมตีเกิดขึ้นแม้หลังจากสภาพแวดล้อมถูกแฮ็คสำเร็จ

เพื่อให้บรรลุเป้าหมายดังกล่าวเราได้ปรับกลยุทธ์ของเราในสามวิธี:

เรามุ่งเน้นไปที่ข้อมูลไม่ใช่ในขอบเขต เพื่อตอบสนองต่อการโจมตีได้อย่างมีประสิทธิภาพเป้าหมายจะต้องลดผลกระทบทางธุรกิจให้น้อยที่สุด สิ่งนี้ต้องการความเข้าใจที่ครอบคลุมเกี่ยวกับธุรกิจของ บริษัท และบริบทของข้อมูลและระบบที่เราปกป้อง จากนั้นเราจึงสามารถเข้าใจว่าปกติดูเหมือนว่าเข้าใจการโจมตีและตอบสนองในทางที่ลดผลกระทบต่อธุรกิจ

เราคิดว่าผู้โจมตีได้เข้าสู่เครือข่ายและใช้นักวิเคราะห์ที่มีทักษะสูงเพื่อตามล่าพวกเขา เมื่ออยู่บนเครือข่ายการโจมตีนั้นยากสำหรับเครื่องมือในการระบุเพราะสำหรับเครื่องมือรักษาความปลอดภัยผู้โจมตีขั้นสูงจะมีลักษณะเหมือนผู้ดูแลระบบที่ทำหน้าที่ทางธุรกิจตามปกติ นักวิเคราะห์ของเราค้นหารูปแบบของกิจกรรมที่เครื่องมือไม่สามารถเตือนได้ - รูปแบบเหล่านี้เป็นรอยเท้าที่นำเราไปสู่ผู้โจมตี

รู้ว่าคุณกำลังถูกโจมตีไม่เพียงพอ จำเป็นอย่างยิ่งที่ต้องตอบสนองต่อการโจมตีเมื่อเกิดขึ้น ศูนย์ปฏิบัติการความปลอดภัยของลูกค้าของเราใช้พอร์ตโฟลิโอของ "การกระทำที่ได้รับการอนุมัติล่วงหน้า" เพื่อตอบสนองต่อการโจมตีทันทีที่เห็น นี่คือหนังสือที่เราพยายามทดสอบและทดสอบเพื่อจัดการกับการโจมตีเมื่อเกิดขึ้น ลูกค้าของเราเห็นหนังสือวิ่งเหล่านี้และอนุมัตินักวิเคราะห์ของเราในการดำเนินการในระหว่างกระบวนการขึ้นเครื่องบิน ด้วยเหตุนี้นักวิเคราะห์จึงไม่ใช่ผู้สังเกตการณ์ที่แฝงตัวอยู่อีกต่อไปพวกเขาสามารถปิดการโจมตีได้ทันทีที่ตรวจพบและบ่อยครั้งก่อนที่จะมีการคงอยู่และก่อนที่ธุรกิจจะได้รับผลกระทบ ความสามารถในการตอบสนองต่อการโจมตีนี้เป็นเอกลักษณ์ของ Rackspace เพราะเราจัดการโครงสร้างพื้นฐานที่เราปกป้องลูกค้าของเราด้วย

นอกจากนี้เราพบว่าการปฏิบัติตามกฎระเบียบเป็นผลพลอยได้จากความปลอดภัยที่ทำได้ดี เรามีทีมงานที่ใช้ประโยชน์จากความเข้มงวดและแนวทางปฏิบัติที่ดีที่สุดที่เราใช้ในการดำเนินงานด้านความปลอดภัยโดยการพิสูจน์และรายงานเกี่ยวกับข้อกำหนดการปฏิบัติตามที่เราช่วยให้ลูกค้าของเราพบ

PCMag: Rackspace เป็นผู้สนับสนุนที่ยิ่งใหญ่ซึ่งเป็นผู้ก่อตั้ง OpenStack ผู้อ่านด้านไอทีของเราบางคนถามว่าการพัฒนาความปลอดภัยสำหรับแพลตฟอร์มเปิดดังกล่าวช้ากว่าจริงและมีประสิทธิภาพน้อยกว่าระบบปิดเช่น Amazon Web Services (AWS) หรือ Microsoft Azure เนื่องจากการรับรู้ที่ลำบาก "พ่อครัวมากเกินไป" ที่เป็นภัยพิบัติ โครงการโอเพ่นซอร์สขนาดใหญ่จำนวนมาก คุณตอบโต้อย่างไร

BK: ด้วยซอฟต์แวร์โอเพนซอร์ซ "บั๊ก" ถูกพบในชุมชนเปิดและแก้ไขในชุมชนเปิด ไม่มีวิธีที่จะซ่อนขอบเขตหรือผลกระทบของปัญหาด้านความปลอดภัย ด้วยซอฟต์แวร์ลิขสิทธิ์คุณอยู่ในความเมตตาของผู้ให้บริการซอฟต์แวร์ในการแก้ไขช่องโหว่ ถ้าพวกเขาไม่ทำอะไรเลยเกี่ยวกับความอ่อนแอเป็นเวลาหกเดือน? ถ้าพวกเขาพลาดรายงานจากนักวิจัย เรามองว่า "พ่อครัวมากเกินไป" ทุกคนที่คุณอ้างถึงว่าเป็นเครื่องมือรักษาความปลอดภัยซอฟต์แวร์ขนาดใหญ่ วิศวกรอัจฉริยะหลายร้อยคนมักจะมองแต่ละส่วนของแพ็คเกจโอเพนซอร์ซที่สำคัญอย่าง OpenStack ซึ่งทำให้ข้อบกพร่องในการผ่านรอยแตกได้ยาก การอภิปรายข้อบกพร่องและการประเมินผลของตัวเลือกในการซ่อมแซมมันเกิดขึ้นในที่โล่ง แพคเกจซอฟต์แวร์ส่วนตัวไม่สามารถรับการวิเคราะห์ในระดับต่อบรรทัดของรหัสและการแก้ไขจะไม่ได้รับการเปิดอ่านเช่นนั้น

ซอฟต์แวร์โอเพนซอร์ซยังช่วยให้บรรเทาผลกระทบภายนอกสแต็คซอฟต์แวร์ ตัวอย่างเช่นหากปัญหาความปลอดภัยของ OpenStack ปรากฏขึ้น แต่ผู้ให้บริการคลาวด์ไม่สามารถอัพเกรดหรือแก้ไขช่องโหว่ได้ทันทีอาจมีการเปลี่ยนแปลงอื่น ๆ ฟังก์ชันอาจถูกปิดใช้งานชั่วคราวหรือผู้ใช้สามารถป้องกันไม่ให้ใช้งานผ่านไฟล์นโยบาย การโจมตีสามารถบรรเทาลงได้อย่างมีประสิทธิภาพจนกว่าจะใช้การแก้ไขระยะยาว ซอฟต์แวร์แบบโอเพ่นซอร์สมักจะไม่อนุญาตให้ทำเช่นนั้นเนื่องจากเป็นการยากที่จะดูว่าต้องแก้ไขอะไรบ้าง

นอกจากนี้ชุมชนโอเพนซอร์สยังเผยแพร่ความรู้เกี่ยวกับช่องโหว่ด้านความปลอดภัยเหล่านี้อย่างรวดเร็ว คำถามของ "เราจะป้องกันไม่ให้เกิดเหตุการณ์นี้ในภายหลังได้อย่างไร" ถูกถามอย่างรวดเร็วและการไตร่ตรองจะดำเนินการร่วมกันและในที่โล่ง

PCMag: เรามาจบคำถามเดิมสำหรับการสัมภาษณ์ครั้งนี้: คุณเห็นด้วยกับนักวิเคราะห์ว่า 2017 จะเป็นปีที่ "ฝ่าวงล้อม" ในแง่ของการปรับใช้ระบบคลาวด์ขององค์กรส่วนใหญ่หรืออย่างน้อยส่วนหนึ่งเนื่องจากการยอมรับขององค์กร

BK: ให้เราย้อนกลับไปสักครู่เพื่อหารือเกี่ยวกับสภาพแวดล้อมคลาวด์ที่แตกต่างกัน คำถามของคุณส่วนใหญ่ชี้ไปที่ตลาดคลาวด์สาธารณะ ดังที่ฉันได้กล่าวไว้ข้างต้นนักวิจัยของ Forrester ได้สังเกตเห็นว่า "การจับมือไม่สม่ำเสมอ" ระหว่างผู้ให้บริการคลาวด์และผู้บริโภคซึ่งผู้ให้บริการคลาวด์ให้บริการชุดหนึ่ง แต่ผู้บริโภคบนคลาวด์มักจะคิดว่าพวกเขาได้รับความปลอดภัยมากขึ้น เป็นต้นฉันได้สนับสนุนตั้งแต่เข้าร่วม Rackspace ที่ผู้ให้บริการคลาวด์ต้องจับมือกันด้วยความโปร่งใสกับผู้บริโภคของเรา ไม่มีที่ไหนที่จับมือได้น้อยกว่าแม้วันนี้กว่าในสภาพแวดล้อมคลาวด์สาธารณะ

อย่างไรก็ตามสภาพแวดล้อมคลาวด์ส่วนตัวและโดยเฉพาะอย่างยิ่งสภาพแวดล้อมของผู้บริโภคเองนั้นไม่ได้รับผลกระทบมากนักจากภาพลวงตาดังกล่าว ผู้บริโภคมีความชัดเจนมากขึ้นเกี่ยวกับสิ่งที่พวกเขากำลังซื้อและสิ่งที่ผู้ให้บริการจะให้พวกเขา แต่ในขณะที่ผู้บริโภคเพิ่มความคาดหวังในกระบวนการจัดซื้อและผู้ให้บริการคลาวด์ได้เพิ่มเกมของเราเพื่อให้บริการที่สมบูรณ์และโปร่งใสมากขึ้นอุปสรรคทางอารมณ์และความเสี่ยงที่เกี่ยวข้องกับการเคลื่อนย้ายปริมาณงานจากศูนย์ข้อมูลดั้งเดิมไปสู่สภาพแวดล้อมคลาวด์สาธารณะ .

แต่ฉันไม่คิดว่าสิ่งนี้จะสร้างความแตกต่างให้กับคลาวด์ในปี 2560 การย้ายปริมาณงานและศูนย์ข้อมูลทั้งหมดทำให้เกิดการวางแผนและการเปลี่ยนแปลงองค์กรที่สำคัญ มันแตกต่างจากการอัพเกรดฮาร์ดแวร์ในศูนย์ข้อมูล ฉันแนะนำให้ผู้อ่านศึกษาการเปลี่ยนแปลงของ Netflix พวกเขาเปลี่ยนธุรกิจของพวกเขาด้วยการย้ายไปที่คลาวด์ แต่ใช้เวลาทำงานหนักเจ็ดปี สำหรับหนึ่งพวกเขาได้รับปัจจัยใหม่และเขียนแอพส่วนใหญ่อีกครั้งเพื่อให้มีประสิทธิภาพมากขึ้นและปรับให้เข้ากับคลาวด์ได้ดีขึ้น

เรายังเห็นผู้บริโภคจำนวนมากที่ใช้คลาวด์ส่วนตัวในดาต้าเซ็นเตอร์โดยใช้สถาปัตยกรรมคลาวด์ไฮบริดเป็นจุดเริ่มต้น สิ่งเหล่านี้ดูเหมือนจะเร่งความเร็ว ฉันเชื่อว่าเส้นโค้งการรับเลี้ยงบุตรบุญธรรมจะเห็นข้อศอกขึ้นในปี 2560 แต่มันจะใช้เวลาสองสามปีกว่าที่บวมจะสร้างขึ้นจริง ๆ