0
Selv meget avancerede software virksomheder med meget intelligente mennesker, der arbejder i dem har oplevet brud.
Når angriberne komme så langt som udvikling af software systemer, de kunne – teoretisk set – brug offer kildekode og spin skadelig versioner, der er næsten umulig at skelne fra den oprindelige. De kan også udnytte data, der bruges i test miljøer.
Det viser sig, at beskytte udvikling-systemer er kompliceret, men kritisk. De skader, som en hacker kan gøre for din virksomhed med kontrol af, at disse systemer er betydelig.
Et vigtigt redskab i at beskytte sådanne systemer er segmentering. Du bør adskille de forskellige funktionelle områder i netværket, Økonomi, Menneskelige Ressourcer, Teknik, og så videre–fra en anden, så strengt som muligt.
Det samme udgangspunkt gælder, at app-dev, test-og produktionsmiljøer i den offentlige sky. Hver enkelt skal segmenteres, går så langt som til at holde apps og data separat inden for hvert segment. Rudimentære segmentering kan opnås med netværksfunktioner. Mere avanceret segmentering-baseret på anvendelse arbejdsbyrde og måske endda bruger privilegium niveauer-kan opnås med næste-generation firewalls. Disse inspicere den trafik, der flyder ind og ud af porte, der er åbne for at disse netværk segmenter og flag data-lækage. Data i transit, i mellemtiden, skal være krypteret via VPN.
Segmentering gælder for offentlige skyer, ligesom det gælder private virksomheder og on-premises installationer. Du kan og bør segmentere dine virtuelle netværk og. oprejst sikkerhed barrierer omkring hvert segment, så kun autoriserede trafik til og fra autoriserede systemer. Palo Alto Networks understøtter denne bestræbelse med Bruger-ID, en del af sin cloud-baseret på Næste Generation af Firewalls for Amazon Web Services og Microsoft Azure.
Denne praksis følger princippet om mindst privilegium: Kommunikation i hvert segment bør være begrænset til dem, der er kilde-ip-adresser, porte og programmer, der har behov for at gøre det. Start ved at blokere al trafik, derefter åbne forbindelser kun til brug for systemer. Denne retningslinje gælder mindst lige så stærkt for app-dev, og test segmenter som for alle andre. Du bør beskytte hvert segment i nettet fra hinanden, ikke kun udefra.
Det er typisk for fjernangribere at få post gennem nogle lavere profil, mindre bevogtet element, og derefter bevæge sig sideværts i andre områder af netværket, indtil de får adgang til de aktiver, de virkelig ønsker.
Anvendelse af dette koncept at udviklere i et moderne miljø, der er både svære og nødvendige. Udviklere, der almindeligvis stole på, at Internet-baserede værktøjer og biblioteker og protest mod eventuelle begrænsninger i deres frihed, men sikkerhed er at være en højere prioritet. Helt sikkert, de har brug for at have adgang til disse værktøjer, men det skal være på en separat, nøje overvåget system, der er isoleret fra det udvikler segment af politik.
Cloud arkitekturer lette segmentering, fordi alle netværk, fra kundens synspunkt, er virtuelt. Du behøver ikke at købe fysiske kasser og flytte kabler rundt; du opretter den i software. Ved hjælp af sikkerhedspolitikker, som styrker netværket segmentering kan hjælpe med at sikre din app dev og test miljøer er beskyttet.
Palo Alto Networks’ GlobalProtect produkter, for eksempel, lås ned forbindelser og inspicere alle pakker i forbindelse med den ansøgning, som de kører. Virtual security apparater som disse er nyttige værktøjer, der gør det lettere for dig at beskytte din organisation. Når du er i tvivl, isolere. Og hvis din in-house security team ikke er fuldt vidende, når det kommer til software-defineret miljøer, tøv ikke med at søge sagkyndig hjælp fra en betroet partner.
Læs mere om betydningen af segmentering her.
0