नो पॉवर के साथ अधिक जिम्मेदारी आती है

आपने संभावना से अधिक वाक्यांश सुना है “महान शक्ति के साथ महान जिम्मेदारी आती है।” वैकल्पिक रूप से “पीटर पार्कर सिद्धांत” कहा जाता है, यह वाक्यांश ज्यादातर स्पाइडर मैन कॉमिक्स और फिल्मों के कारण लोकप्रिय संस्कृति में जाना जाता है – जहां पीटर पार्कर नायक हैं। यह वाक्यांश आज इतनी अच्छी तरह से जाना जाता है कि वास्तव में विकिपीडिया में इसका अपना लेख है। वाक्यांश का सार यह है कि यदि आपको बेहतर के लिए बदलाव करने का अधिकार दिया गया है, तो आपको ऐसा करने का नैतिक दायित्व है।

हालाँकि, मैंने क्लाउड सुरक्षा के बारे में ग्राहकों से बात करते समय जो देखा है, विशेष रूप से इन्फ्रास्ट्रक्चर के लिए एक सेवा (IaaS) के रूप में सुरक्षा एक घटना है जिसे मैं “डबिंग” कर रहा हूंजॉन मैकक्लेन सिद्धांत“- मासूम को बचाने के लिए नाम बदल दिया गया है been

जॉन मैक्लेन सिद्धांत तब होता है जब किसी को कुछ तय करने की जिम्मेदारी दी गई है, लेकिन साथ ही आवश्यक परिवर्तन करने के लिए सशक्त नहीं किया गया है। सतह पर यह परिदृश्य बेतुका लग सकता है, लेकिन मुझे यकीन है कि कई इन्फोसिस टीमें समस्या से सहानुभूति रख सकती हैं। बातचीत कुछ इस तरह से होती है:

  • जानकारी के सीईओ: आपको यह सुनिश्चित करने की आवश्यकता है कि हम क्लाउड में सुरक्षित हैं। मैं अगला नहीं बनना चाहता [insert latest breach here]।
  • CEO को InfoSec: हाँ, इसलिए मैंने देखा कि हम क्लाउड का उपयोग कैसे कर रहे हैं और हमारी अधिकांश समस्याएं प्रक्रियाओं और ज्ञान की कमी से हैं। हमारे पास एक टन टीम है जो क्लाउड में अपना काम कर रही है, और मेरे पास पूरी दृश्यता नहीं है कि वे क्या कर रहे हैं।
  • जानकारी के सीईओ: महान, इसे ठीक करें।
  • CEO को InfoSec: खैर समस्या यह है कि उन टीमों पर मेरा कोई कहना नहीं है। वे जो चाहें कर सकते हैं। समस्या को ठीक करने के लिए वे परिवर्तन करने जा रहे हैं कि वे क्लाउड का उपयोग कैसे करते हैं। हमें प्रबंधकों से खरीदारी करने की आवश्यकता है, लेकिन उन प्रबंधकों ने मुझे बताया है कि वे कुछ भी बदलने में दिलचस्पी नहीं रखते हैं क्योंकि यह चीजों को धीमा कर देता है।
  • जानकारी के सीईओ: मुझे यकीन है कि आप इसका पता लगा लेंगे। गुड लक, और हम बेहतर एक उल्लंघन नहीं है।

जब “बिना किसी शक्ति के और अधिक जिम्मेदारी आती है” तो सही है

और यही वजह है कि? इसका कारण यह है कि आईएएएस ने मौलिक रूप से बदल दिया है कि हम आईटी का उपभोग कैसे करते हैं और इसके साथ ही हम सुरक्षा को कैसे मापते हैं। अब हम खरीद अनुरोध प्रस्तुत नहीं करते हैं और बुनियादी सुविधाओं के संसाधनों को स्पिन करने के लिए लंबी, लंबी प्रक्रियाओं से गुजरते हैं। अब क्रेडिट कार्ड वाला कोई भी व्यक्ति दुनिया भर में मिनटों के भीतर डेटा सेंटर के बराबर घूम सकता है।

चपलता ने हालांकि InfoSec के लिए कुछ अनपेक्षित बदलाव पेश किए और पैमाने पर, क्लाउड सुरक्षा एक टीम की एकमात्र जिम्मेदारी नहीं हो सकती। बल्कि बादल सुरक्षा प्रक्रिया में एम्बेडेड होना चाहिए और विकास, आर्किटेक्ट और संचालन के बीच सहयोग पर निर्भर करता है। क्लाउड सुरक्षा में इन टीमों की अब अधिक महत्वपूर्ण भूमिका है, और कई मामलों में केवल वही हैं जो सुरक्षा को बढ़ाने के लिए परिवर्तन को लागू कर सकते हैं। InfoSec अब गेटकीपरों के बजाय शेरपाओं के रूप में कार्य करता है, यह सुनिश्चित करने के लिए कि हर टीम उसी, सुरक्षित गति से मार्च कर रही है।

हालाँकि, जैसा कि जॉन मैकक्लेन आपको यह तथ्य बता सकते हैं कि बादल सुरक्षा के बाद अधिक टीमें देखती हैं, जरूरी नहीं कि आपके पास बेहतर समाधान हो। वास्तव में, विभिन्न प्राथमिकताओं के साथ कई टीमों में समन्वय करने से सुरक्षा और भी अधिक जटिल हो सकती है और आपको धीमा कर सकती है। इसलिए एक सुव्यवस्थित सुरक्षा समाधान की आवश्यकता है जो डेवलपर्स, वास्तुकारों और इन्फोसेक के बीच सहयोग की सुविधा प्रदान करता है, लेकिन साथ ही साथ रेलिंग भी प्रदान करता है, इसलिए कुछ भी दरारें नहीं फेंकता है।

इसके साथ, मैं विशेष रूप से क्लाउड में एप्लिकेशन को स्थानांतरित करने और विकसित करने वाले ग्राहकों के लिए निर्मित हमारी नई क्लाउड सुरक्षा सेवा की घोषणा करने के लिए उत्साहित हूं। हम इसे MVISION क्लाउड नेटिव एप्लिकेशन प्रोटेक्शन प्लेटफ़ॉर्म – या सिर्फ CNAPP कहते हैं क्योंकि हर सेवा एक संक्षिप्त रूप में योग्य है।

CNAPP क्या है? CNAPP एक नई सुरक्षा सेवा है जिसे हमने आज ही घोषित किया है जो क्लाउड सुरक्षा मुद्रा प्रबंधन (CSPM), क्लाउड वर्कलोड प्रोटेक्शन प्लेटफ़ॉर्म (CWPP), डेटा लॉस प्रिवेंशन (DLP) और एप्लिकेशन प्रोटेक्शन के समाधान को एक ही समाधान में जोड़ती है। अब Q1, 2021 की लक्ष्य लॉन्च तिथि के साथ बीटा में, हमने InfoSec टीमों को उनके क्लाउड नेटिव अनुप्रयोगों में व्यापक दृश्यता प्रदान करने के लिए CNAPP का निर्माण किया। हमारे लिए, लक्ष्य यह नहीं था कि हम सब कुछ सुरक्षित रखने के लिए चीजों को धीमा कैसे करें; इसके बजाय हम कैसे InfoSec टीमों को दृश्यता और संदर्भ को सक्षम करते हैं, जिसकी आवश्यकता उन्हें क्लाउड सुरक्षा के लिए है, जबकि देव टीमों को तेज़ी से आगे बढ़ने की अनुमति देता है।

मुझे संक्षेप में बताएं कि CNAPP में कौन सी विशेषताएं हैं और कुछ विशेषताएं सूचीबद्ध हैं जो ग्राहक पसंदीदा हैं।

CSPM

IaaS में उल्लंघनों के विशाल बहुमत आज सेवा गलतफहमी के कारण हैं। गार्टनर ने 2016 में प्रसिद्ध रूप से कहा कि “95% क्लाउड सुरक्षा विफलताएं ग्राहक की गलती होगी।” मैं उस दिन की प्रतीक्षा कर रहा हूं जब गार्टनर का कहना है कि “105% ग्राहक की गलती होगी।”

प्रतिशत इतना अधिक क्यों है? कई कारण हैं, लेकिन हम अपने ग्राहकों से बहुत सुनते हैं कि नई सेवाओं को सुरक्षित करने के बारे में ज्ञान की भारी कमी है। प्रत्येक क्लाउड प्रदाता अपनाने के लिए कोई अवरोधक के साथ एक चक्कर गति से नई सेवाओं और क्षमताओं को जारी कर रहा है। दुर्भाग्य से, उद्योग के पास ऐसी कार्यबल होने की गति से मेल नहीं खाता है जो इन नई सेवाओं और क्षमताओं को कॉन्फ़िगर करने के लिए सबसे अच्छा जानता है और समझता है। CNAPP ग्राहकों को सभी क्लाउड सेवाओं का तुरंत ऑडिट करने की क्षमता प्रदान करता है और उन सेवाओं को सर्वोत्तम सुरक्षा प्रथाओं और सीआईएस फाउंडेशन, पीसीआई, हिप्पा और एनआईएसटी जैसे उद्योग मानकों के खिलाफ बेंचमार्क प्रदान करता है।

उस ऑडिट के भीतर (हम इसे सुरक्षा घटना कहते हैं), CNAPP सुरक्षा को बेहतर बनाने के लिए सेवाओं को फिर से कॉन्फ़िगर करने के बारे में विस्तृत जानकारी प्रदान करता है, लेकिन सेवा SLAs के साथ देव टीमों को सुरक्षा घटना को असाइन करने की क्षमता भी प्रदान करती है, इसलिए इस बात पर कोई अस्पष्टता नहीं है कि कौन क्या करता है और क्या बदलने की जरूरत है। इन सभी वर्कफ़्लो को स्वचालित किया जा सकता है ताकि समस्याओं को खोजने और ठीक करने के लिए कई टीमों को वास्तविक समय के पास सशक्त बनाया जा सके।

इसके अतिरिक्त, CNAPP की एक कस्टम पॉलिसी सुविधा है, जहाँ ग्राहक अपने वातावरण के साथ-साथ जेनकींस, बिटबकेट और गीथहब जैसे डेवलपर टूल के साथ एकीकरण के लिए जोखिमपूर्ण गलतफहमी की पहचान करने के लिए नीतियां बना सकते हैं, जो सुरक्षा मानकों को पूरा नहीं करने वाली तैनाती के लिए फीडबैक प्रदान करते हैं।

CWPP

IaaS प्लेटफ़ॉर्म ओपन सोर्स सॉफ़्टवेयर (OSS) जैसे Linux (OS), Docker (कंटेनर), और Kubernetes (ऑर्केस्ट्रेशन) के उत्प्रेरक बन गए हैं। इन उपकरणों का उपयोग करने के साथ चुनौती है सॉफ्टवेयर लाइब्रेरी में पाए जाने वाले कॉमन वल्नरेबिलिटीज़ एंड एक्सपोज़र (सीवीई) का अंतर्निहित जोखिम और नई सेवाओं की तैनाती में गलतफहमी। गार्टनर का एक अन्य प्रसिद्ध उद्धरण यह है कि “कंटेनरों के खिलाफ 70% हमले ज्ञात कमजोरियों और गलतफहमियों से होंगे जिन्हें दूर किया जा सकता था।” लेकिन इन्फोकस टीम उन कमजोरियों और गलतफहमी को जल्दी से कैसे समझती है, विशेष रूप से एपी डेवलपर / सीडी पाइपलाइनों में लगातार रिलीज को आगे बढ़ाने वाली कई डेवलपर टीमों के साथ अल्पकालिक वातावरण में?

पिछले साल NanoSec के हमारे अधिग्रहण के आधार पर, CNAPP, महत्वपूर्ण CVEs की पहचान करते हुए, IAS में चल रहे सभी गणना उदाहरणों, कंटेनरों और कंटेनर सेवाओं की मरम्मत करके पूर्ण कार्यभार सुरक्षा प्रदान करता है, दोनों रिपॉजिटरी और उत्पादन कंटेनर सेवाओं में गलतफहमी, और कुछ नई सुरक्षा सुविधाओं को पेश करता है। इन सुविधाओं में जल्द ही नैनो-सेगमेंटेशन और ऑन-प्रिमाइसेस सपोर्ट शुरू करने की योजना के साथ एप्लिकेशन की अनुमति, ओएस हार्डनिंग, और फ़ाइल अखंडता निगरानी शामिल हैं।

ग्राहक पसंदीदा

CNAPP जारी करने के लिए हमारे पास हमारे ग्राहकों के साथ संयुक्त रूप से काम करने का एक शानदार समय था। मैं उन कुछ उपयोग मामलों को उजागर करना चाहता हूं जो हमारे ग्राहकों के लिए गेम चेंजर साबित हुए हैं।

  • इन-टेनेंट DLP स्कैन: हमारे कई ग्राहकों के पास सार्वजनिक रूप से उजागर क्लाउड स्टोरेज सेवाओं (कभी-कभी बाल्टी के रूप में संदर्भित) के लिए वैध उपयोग के मामले हैं, लेकिन साथ ही उन बाल्टी को संवेदनशील डेटा नहीं है यह सुनिश्चित करने की आवश्यकता है। इन सेवाओं के लिए डीएलपी का उपयोग करने की चुनौती बाजार में उपलब्ध कई समाधानों की है जो विक्रेता के स्वयं के वातावरण में डेटा की नकल करते हैं। इससे ग्राहक लागत में वृद्धि होती है और डेटा ट्रांसफर के साथ सुरक्षा चुनौतियों का भी सामना करना पड़ता है। CNAPP ग्राहकों को इन-टेनेंट DLP स्कैन करने की अनुमति देता है, जहाँ डेटा IaaS वातावरण को कभी नहीं छोड़ता, जिससे प्रक्रिया अधिक सुरक्षित और कम खर्चीली हो जाती है।
  • क्लाउड के लिए MITER ATT और CK फ्रेमवर्क: सुरक्षा संचालन केंद्रों (एसओसी) की भाषा MITER है, लेकिन इस ढांचे में क्लाउड सुरक्षा घटनाएं कैसे फिट होती हैं, इसकी बहुत बारीकियां हैं। CNAPP के साथ हमने एक एंड-टू-एंड प्रक्रिया का निर्माण किया, जो MITER को सभी CSPM और CWPP सुरक्षा घटनाओं को मैप करता है। अब इन्फोसेक और डेवलपर टीमें MITER को हर क्लाउड घटना को स्वचालित रूप से वर्गीकृत करके, तेजी से प्रतिक्रियाओं और बेहतर सहयोग की सुविधा के साथ मिलकर अधिक प्रभावी ढंग से काम कर सकती हैं।
  • एकीकृत अनुप्रयोग सुरक्षा: CNAPP हमारी MVISION क्लाउड सेवा, गार्टनर मैजिक क्वाड्रंट लीडर फॉर क्लाउड एक्सेस सिक्योरिटी ब्रोकर (CASB) के समान प्लेटफॉर्म पर बनाया गया है। ग्राहक अब अपने सास अनुप्रयोगों पर विस्तृत दृश्यता और सुरक्षा नियंत्रण प्राप्त करने में सक्षम हैं, वे एक ही समाधान के साथ आईएएएस में निर्माण कर रहे हैं। हमारे ग्राहकों को एक सांत्वना पसंद है जो सभी टीमों के लिए आवेदन जोखिम की एक समग्र तस्वीर प्रदान करता है – उपभोक्ताओं के लिए सास और बिल्डरों के लिए IaaS।

और भी बहुत सी सुविधाएँ हैं जिन्हें मैं हाइलाइट करना पसंद करता हूँ, लेकिन इसके बजाय मैं आपको अपने लिए समाधान की जाँच करने के लिए आमंत्रित करता हूँ। हमारी रिलीज़ के बारे में अधिक जानकारी के लिए https://mcafee.com/CNAPP पर जाएं या https://mcafee.com/demo पर डेमो का अनुरोध करें। हमें आपकी प्रतिक्रिया प्राप्त करना और सुनना पसंद है कि MVISION CNAPP आपको क्लाउड में अधिक सशक्त और जिम्मेदार बनने में मदद कर सकती है।

इस पोस्ट में विकास में उत्पादों, सेवाओं और / या प्रक्रियाओं की जानकारी शामिल है। यहां प्रदान की गई सभी जानकारी McAfee के एकमात्र विवेक पर सूचना के बिना परिवर्तन के अधीन है। नवीनतम पूर्वानुमान, शेड्यूल, विनिर्देशों और रोडमैप प्राप्त करने के लिए अपने McAfee प्रतिनिधि से संपर्क करें।