После взлома Capital One вы знаете, кто в вашем облаке?

Недавно сообщалось Capital One утечка данных вновь обратил внимание мира технологий на облачную безопасность. Много спекуляций – это все, что индустрия может догадаться о том, что именно произошло и как произошли события. обвинительный акт расплывчаты, и компании находятся в режиме PR-кризиса.

Давайте не будем тратить это время на догадки. Важно сосредоточиться на неудобных, но полностью обоснованных проблемах облачной безопасности, пока все слушают.

Слон в комнате в области безопасности облачной платформы – это по своей сути проблемный вопрос, когда клиенты не знают, каким сотрудникам провайдера облачных услуг поручен доступ к облакам на административном уровне. Облачный клиент X не знает имен сотрудников в Облачный провайдер Y которые, поддавшись моральному недостатку, теоретически могут злоупотреблять привилегированными знаниями, учетными данными или внутренними инструментами провайдера облачных вычислений для ненадлежащего доступа, копирования или иного взаимодействия с Облачный клиент XПредоставленные системы или хранимые данные.

Чтобы было ясно, есть нет предложений что нарушение Capital One является результатом доступа инсайдеров или злоупотребления привилегированными знаниями. Хотя предыдущая история работы предполагаемого преступника включает работу в Amazon Web Services – облачном провайдере, с которого были загружены данные, – количество ноу-хау облачных сервисов, необходимое для совершения предполагаемых противоправных действий, безусловно, может получить любой, кто подключен к Интернету и достаточно любопытства.

Вместо этого нам нужно говорить о безопасности облачной платформы в более широком смысле. Нам нужно убедиться, что руководители подписывают пунктирную линию и соглашаются поставить под контроль своих собственных данных о клиентах чей-то контроль, чтобы они понимали абсолютные компромиссные реальности, а не мифы, о безопасности облачной платформы.



Проще говоря, перемещение операций в облачное пространство означает, что вы ставите себя на милость облачного хоста. В конечном счете, облачный провайдер может взять свой мяч и уйти домой, оставив ваш бизнес в затруднительном положении. Это может быть нарушением некоторых слов, которые набрал адвокат, и обе стороны согласились. Но эти слова не могут физически помешать мошенническому субподрядчику облачного провайдера злоупотреблять доверенным доступом, о котором клиент облачных систем, скорее всего, никогда не узнает.

Для такого сценария нет простых решений. Но было бы глупо ждать публичного ознакомления с вопиющими примерами злоупотреблений инсайдерами облачной платформы, прежде чем инициировать очень важный разговор, даже если поставщикам облачных услуг неудобно признавать эту тему и тревожить ее.