Какие проблемы ждут Cloud Native Security в 2023 году?
5 января 2023 г., 13:02, Стивен Дж. Воан-Николс
Gartner прогнозирует, что к 2025 году мы, наконец, увидим, что более половины расходов на ИТ перекочуют из традиционной ИТ-инфраструктуры в общедоступное облако. Также мы уверены, что проблемы с безопасностью в облаке будут только расти.
Почему? Дело не в том, что в основе Kubernetes 1.26 скрывается какая-то проблема с безопасностью или что Amazon Web Services (AWS) Lambda внезапно начнет глючить ваш код. Если бы всё было так просто!
Конечно, технические проблемы могут быть чертовски раздражающими, но настоящая проблема безопасности в облаке — это живой хчеловек, как мы с вами.
Исследование Ponemon и IBM показало, что одни только неправильно настроенные облачные серверы вызывают 19% утечек данных. Просто правильно настроить облако непросто.
Проблема в том, что достаточно сложно понять, как создавать и поддерживать собственные облачные приложения, не говоря уже об их защите. Сейчас, как и всегда, разработчики работают в сжатые сроки. Это давление приводит к пренебрежению безопасностью.
Как показало недавнее исследование Цюрихского университета большинство разработчиков до сих пор не сосредотачиваются на вопросах безопасности во время проверки кода. Они скажут, что они есть, но это не так. Чаще всего безопасность игнорируется, чтобы получить результат как можно быстрее.
Это все еще происходит, потому что проблема номер один заключается в том, что руководство ваших компаний все еще недостаточно серьезно относится к безопасности. Пока у компании или проекта не будет окровавлен нос, она откажется воспринимать это всерьез.
Компания Oxeye Security, занимающаяся облачной безопасностью, надеется, что «руководители осознают риск безопасности и смогут правильно распределять ресурсы для снижения рисков».
Действительно, Gartner прогнозирует быстрый рост облачной безопасности с темпами роста 26,8% в 2023 году. В конце концов, как заметил старший аналитик Gartner, «пандемия ускорила гибридную работу и переход к облаку, бросив вызов зада.че обеспечить безопасность все более распределенного предприятия». Таким образом, в 2023 году услуги безопасности достигнут $76,5 млрд. Будет потрачено больше денег, но мы не уверены, что они пойдут туда, куда нужно.
Кроме того, если оставить в стороне финансирование безопасности, не хватает средств и на DevSecOps-инженеров. Многие компании до сих пор не проводят обучение по безопасности. Несмотря на это, они предполагают, что разработчики каким-то волшебным образом узнают, как встроить безопасность в свои программы и пайплайны. Конечно, это булщит.
Обучение безопасности должно стать неотъемлемой частью современной облачной разработки. Возможно мы не увидим этого в 2023 году до тех пор, пока у нас не произойдут еще большие облачные катастрофы. Все мы знаем, что облачные вычисления сложны, но мы не осознаем, насколько это усложняет защиту облачных программ.
Linthicum предлагает, чтобы перед тем, как вы добавите новый облачный инструмент в свою рабочую среду, вы «учитывали его влияние на и без того сложную ИТ-среду». Он прав. Придерживайтесь того, что вы знаете лучше всего, и овладейте этим, прежде чем усложнять свою инфраструктуру.
Кроме того, как сказал Рон Видер, технический директор и соучредитель Oxeye, «нативные облачные приложения меняют правила игры, когда речь идет о гибкости бизнеса, но защита этих платформ создает новые проблемы и требования, которые ограничивают безопасность традиционных приложений. Поскольку это быстро развивающаяся область, переход к безопасности облачных приложений требует нового подхода, который рассматривает все программные компоненты и базовую инфраструктуру целиком - для обеспечения отказоустойчивости операций». Конечно, это легче сказать, чем сделать.
По данным Okta, 97% компаний либо имеют инициативу нулевого доверия, либо внедрят ее в 2023–2024 годах. По словам компании Zscaler, это сделает облачную безопасность намного проще, чем зависимость от неподходящих для облака механизмов безопасности, таких как брандмауэры и VPN.
Сегодня у нас есть более полезные автоматизированные инструменты безопасности, чем раньше. И лучший автоматизированный контроль над проблемами безопасности нашего кода. Но сегодня инструменты для всех этих областей охватывают несколько частей цепочки поставок.
Итак, что вы можете сделать со всем этим? Во-первых, безопасность должна стать главным вопросом для вашей компании. Она также должна поддерживать это, вкладывая значительно больше средств не только в безопасность с большой буквы, но и в обучение всех, кто находится за ней. Тем не менее, вы также должны инвестировать в инструменты нулевого доверия и безопасности цепочки поставок программного обеспечения.
Сделайте это, и я надеюсь, что приложив много усилий, вы переживете следующий год без каких-либо серьезных проблем с безопасностью или простоев.
Удачи, ребята.