از آنجا که مشاغل به طور فزاینده ای به زیرساخت های ابری مهاجرت می کنند ، خطرات امنیتی در کنار گسترش آنها افزایش یافته است. بوها 2023 گزارش IBM نشان داد که نقض داده ها طی سال گذشته 15 ٪ افزایش یافته است ، که عمدتاً ناشی از سوء استفاده و آسیب پذیری در محیط های ابری است. در پاسخ ، سازمانها اکنون استراتژی های امنیتی ابر را در اولویت قرار می دهند ، با اتوماسیون و مدل های صفر اعتماد به حفاظت از داده های حساس یکپارچه می شوند.
در میان این تغییر صنعت ، رهبرانی مانند آجی چاوا ، که رئیس زیرساخت های ابر در شرکت Lululemon است ، در حال اجرای شیوه های امنیتی برجسته برای اطمینان از مقیاس پذیری و مقاومت در ابر هستند. او با انگلیسی Jagran نشست تا در مورد تمام جزئیات مربوط به کار و صنعت خود صحبت کند. تا آنجا که می دانیم ، دستاوردهای آقای چاوا به طور گسترده ای شناخته شده است ، از جمله موفقیت اخیر وی در پرونده ها و با رقابت روبرو است.
آقای چاوا ، چگونه افزایش اتخاذ ابر شیوه نزدیک شدن سازمان ها به امنیت تغییر کرده است؟
Cloud از نظر مقیاس پذیری و انعطاف پذیری یک تغییر دهنده بازی برای مشاغل بوده است ، اما همچنین طیف جدیدی از چالش های امنیتی را باز کرده است. با استفاده از برنامه های بیشتر و داده ها به صورت آنلاین ، سطح حمله بزرگتر است و خطرات بالقوه بیشتر است. در Lululemon ، ما تمرکز خود را به سمت اتوماسیون و به حداقل رساندن آسیب پذیری های دسترسی از طریق استراتژی هایی مانند حداقل کنترل دسترسی به امتیاز تغییر داده ایم.
آیا می توانید نمونه ای از پروژه ای را که تلاش های اتوماسیون امنیتی تیم شما به کاهش خطرات کمک کرده است به اشتراک بگذارید؟
یکی از مهمترین چالش های امنیتی که تیم من با آن روبرو شد ، کاهش دسترسی بیش از حد در محیط های Kubernetes و ابزار مدیریت مخفی Vault Hashicorp ، به ویژه در مورد ما بود. منابع AWS مدیریت دسترسی به سیستم های موجود در داخل Kubernetes. ما فهمیدیم که بسیاری از برنامه ها دارای مجوزهای بیش از حد هستند که شعاع انفجار را گسترش می دهد – دامنه بالقوه خسارت در صورت نقض امنیتی. این خطر قابل توجهی از دسترسی غیرمجاز و سوء استفاده از داده ها را ایجاد می کند.
برای پرداختن به این موضوع ، من نقش OpenID Connect (OIDC) IAM را برای رویکرد حساب های خدمات (IRSA) اجرا کردم ، و به طور مؤثر اصل حداقل امتیاز (POLP) را اجرا کردم. با اتوماسیون و ساده سازی مجوزها ، ما اطمینان حاصل کردیم که هر برنامه فقط به منابع مورد نیاز خود دسترسی دارد. به عنوان مثال ، اگر پنج برنامه نیاز به دسترسی به پایگاه داده های AWS داشته باشد ، ما مجوزها را پیکربندی کردیم تا هر برنامه بتواند فقط به پایگاه داده خاص خود دسترسی پیدا کند و چیز دیگری نیست. این استراتژی شعاع انفجار را به شدت کاهش داد. اگر یک بازیگر بد یک برنامه را به خطر بیاندازد ، توانایی آنها در حرکت جانبی و دسترسی به سایر سیستم ها یا بانکهای اطلاعاتی به شدت محدود بود. آنها نمی توانند به پایگاه داده های اضافی AWS نفوذ کنند یا داده های مشتری را سرقت کنند. از طریق این رویکرد پیشگیرانه ، ما با موفقیت 80 ٪ خطرات امنیتی را کاهش دادیم و پتانسیل دسترسی غیرمجاز را از بین بردیم.
ما این شیوه ها را با بیان واضح کنترل کنترل دسترسی برای کاربران و سیستم های انسانی به ابزار مدیریت اسرار Vault Secrets گسترش دادیم. سیستم ها فقط به اسرار مورد نیاز خود دسترسی پیدا می کردند ، در حالی که پرسنل DevOps مانند خودم دسترسی کامل را برای مدیریت چرخه عمر این اسرار حفظ می کردند. توسعه دهندگان امتیازات خود را محدود به فقط خواندنی داشتند ، زیرا DevOps از طرف آنها دسترسی را مدیریت می کرد. این تفکیک وظایف و کنترل دسترسی دقیق بیشتر شعاع انفجار را به حداقل رساند و وضعیت امنیتی کلی ما را تقویت کرد.
ابتکار عمل شما برای مجدداً زیرساخت های شبکه سیستم Eficens با فضای آدرس خصوصی بر امنیت ابر چه تأثیری گذاشت؟
ارزیابی مجدد زیرساخت های شبکه Efficens Systems با اجرای فضای آدرس خصوصی تأثیر عمیقی بر امنیت ابر ما داشت. یکی از مهمترین نتایج ، افزایش قابل توجهی در مدیریت ریسک بود. با به حداقل رساندن قرار گرفتن در معرض اینترنت عمومی – یک آسیب پذیری عمده در تنظیمات ابر – سطح حمله را به میزان قابل توجهی کاهش دادم. این امر بسیار مهم بود زیرا من یک آسیب پذیری امنیتی بزرگ را که شامل گروه های امنیتی در معرض عموم است ، شناسایی کرده ام ، که تهدیدی واقعی و فوری برای یکپارچگی سیستم ما ایجاد می کند.
من ابتکار عمل را برای ارزیابی مجدد معماری شبکه خود ، به طور خاص با تمرکز بر قوانین EKS Ingress و استفاده از فضای آدرس خصوصی برای محافظت از زیرساخت های خود هدایت کردم. این حرکت استراتژیک منجر به کاهش 80 درصدی خطرات امنیتی و از بین بردن دسترسی غیرمجاز شد – یکی از افتخارآمیزترین دستاوردهای من. علاوه بر این ، با ادغام اتوماسیون در پروتکل های امنیتی ما ، من توانایی خود را در پاسخ به تهدیدات احتمالی به سرعت و بدون مداخله دستی گسترده بهبود بخشیدم. این ابتکار نه تنها دفاع ما را تقویت کرد بلکه کنترل های داخلی ما را نیز در مورد نحوه دسترسی و مدیریت داده ها تقویت کرد.
تا آنجا که ما می دانیم ، موفقیت اخیر شما در پرونده ها و رقابت با رقابت ، توجه شما را به کار شما جلب کرده است. آیا می توانید در مورد دخالت خود در این رقابت بیشتر به اشتراک بگذارید؟
رقابت و رقابت با رقابت ، یک بستر محترم است که تعالی را در صنایع مختلف به رسمیت می شناسد ، و من افتخار می کردم که امسال بخشی از آن باشم. این رویداد بر نوآوری ، فناوری و کمک های تأثیرگذار در صنعت تأکید دارد. مشارکت من شامل داوری ارسالی در دسته های دستیابی به نوآوری فناوری ، مدیر فناوری سال و پیشرفت در مهندسی بود. این امر نیاز به ارزیابی عمیق بیش از 50 برنامه کاربردی داشت ، جایی که من پروژه هایی را برای اصالت ، پایداری و تأثیر آنها ارزیابی کردم. این تجربه فوق العاده پاداش دهنده بود ، زیرا به من اجازه می داد تا با ایده های پیشگامانه درگیر شوم و در ارتقاء نوآوری در صنعت فناوری مشارکت کنم. به عنوان عضو هیئت منصفه نیز به رسمیت شناخته شد ، تعهد من را برای پیشبرد امنیت زیرساخت های ابری و انعطاف پذیری تقویت کرد.
چگونه می بینید امنیت ابر در چند سال آینده در حال تحول است؟ اتوماسیون چه نقشی خواهد داشت؟
اتوماسیون در حال ادامه نقش اصلی در امنیت ابر است. آینده به سمت سیستم های خود درمانی و خودکشی حرکت می کند ، جایی که محیط های ابری می توانند به طور خودکار تنظیمات امنیتی خود را در زمان واقعی بر اساس تهدیدهای شناسایی شده تنظیم کنند. ابزارهایی مانند DataDog بسیار مهم خواهند بود ، زیرا به سازمانها اجازه می دهند محیط های ابری خود را در مقیاس نظارت و ایمن کنند ، بدون اینکه تیم های خود را با فرآیندهای دستی بیش از حد کنند.
به سازمان هایی که امروز با امنیت ابری دست و پنجه نرم می کنند ، چه توصیه ای می کنید؟
برای تقویت امنیت ابر ، اولین و مهمترین مرحله ، پذیرش اتوماسیون در فرایندهای امنیتی است. وظایف دستی ذاتاً خطر بالای خطای انسانی را به همراه دارد که می تواند منجر به آسیب پذیری های جدی شود. کنترل خودکار کنترل ، اصل حداقل امتیاز (POLP) را به طور مداوم تقویت می کند و احتمال دسترسی غیرمجاز را کاهش می دهد. در سیستم های Eficens ، ما POLP را در میان ابزارهای خود ، مانند AWS و Hashicorp طاق ، پیاده سازی کردیم تا اطمینان حاصل کنیم که هر برنامه و کاربر فقط به منابع مورد نیاز خود دسترسی دارند و سطح حمله ما را به میزان قابل توجهی کاهش می دهد.
سرمایه گذاری در ابزارهای جامع مشاهده نیز برای امنیت فعال ضروری است. بینش در زمان واقعی در مورد بهداشت و فعالیت زیرساخت ها به سازمان ها اجازه می دهد قبل از تهدید ، ناهنجاری ها را تشخیص دهند. ابزارهایی مانند DataDog دید عمیقی در معیارها و ردپاها فراهم می کنند و ما را قادر می سازد تا مسائل را پیش بینی کنیم و پاسخ حادثه را ساده تر کنیم. برای شروع سازمانها ، اجرای ابزارهایی که به خوبی در پشته فناوری ادغام شوند و بتوانند با نیازهای امنیتی کسب و کار مقیاس بندی کنند ، مهم است.
به همان اندازه مهم اطمینان از تراز عملکردی در پروتکل های امنیتی است. امنیت فقط مسئولیت تیم های فناوری اطلاعات یا امنیت نیست. این یک تلاش گسترده سازمان است. آموزش و آموزش همه تیم ها در مورد بهترین شیوه های امنیتی و امنیت را به بخش اساسی فرهنگ سازمانی تبدیل کنید. بسیاری از نقض ها به دلیل شکاف در ارتباطات یا مرزهای مسئولیت نامشخص رخ می دهند ، بنابراین سیاست های واضح و مالکیت مشترک ضروری است. در امنیت ابر ، هوشیاری و همکاری به همان اندازه خود ابزارهای مهم است.
این تغییر به سمت اتوماسیون چگونه بر تیم های شما در سیستم های Eficens تأثیر گذاشته است؟
تغییر به سمت اتوماسیون تأثیر تحول آمیز بر تیم های ما در سیستم های Eficens داشته است. با خودکار کردن بسیاری از کارهای امنیتی روتین ، ما به طور قابل توجهی بهره وری عملیاتی را افزایش داده ایم و مهندسان خود را برای تمرکز روی ابتکارات استراتژیک تر آزاد کرده ایم. پیش از این ، زمان قابل توجهی برای تأمین دستی محیط های ما صرف شده بود-یک تلاش وقت گیر که اکنون اتوماسیون ساده شده است. با استفاده از سیستم هایی برای انجام وظایف تکراری ، ما پتانسیل خطای انسانی را کاهش داده ایم ، تشخیص تهدید را تسریع کرده و زمان پاسخ کلی ما را در برابر آسیب پذیری ها بهبود بخشیده ایم.
در نتیجه ، مهندسان ما اکنون می توانند وقت خود را برای بهینه سازی عملکرد ، مقیاس بندی زیرساخت های ما و توسعه اقدامات امنیتی پیشرفته اختصاص دهند ، که مستقیماً در نوآوری و رشد شرکت ما نقش دارند. این رویکرد نه تنها باعث افزایش بهره وری تیم شده بلکه با ایجاد یک استراتژی فعال و نه واکنشی ، وضعیت امنیتی ما را تقویت کرده است.
سرانجام ، پاداش ترین بخش اجرای این اقدامات امنیتی چیست؟
با ارزش ترین بخش اجرای این اقدامات امنیتی ، شاهد تحول در وضعیت خطر ما و افزایش مقاومت در زیرساخت های ابری ما بوده است. دانستن اینکه ما آسیب پذیری ها را به میزان قابل توجهی کاهش داده ایم و پتانسیل نقض ها را به حداقل رسانده ایم ، احساس عمیق اعتماد به نفس را در سراسر تیم القا می کند. خوشحال کننده است که ببینیم رویکرد پیشگیرانه ما نه تنها از سیستم های ما محافظت می کند بلکه باعث می شود مقیاس پذیری بیشتر و کارآیی عملیاتی نیز باشد. تماشای چارچوب امنیتی ما در حال تحول و دیدن تأثیرات ملموس هم از نظر کاهش حوادث و هم در کنترل های داخلی قوی تر است ، بسیار تحقق یافته و ارزش یک فرهنگ امنیتی قوی و مشترک را تقویت می کند.