Schlechte Tage in der Cloud überleben

00:03 Raghu Nandakumara: Willkommen bei The Segment: A Zero Trust Leadership Podcast. Ich bin Ihr Gastgeber, Raghu Nandakumara, Leiter der Abteilung Branchenlösungen bei Illumio, dem Unternehmen für Zero-Trust-Segmentierung. Heute gesellt sich Shawn Kirk, weltweiter Marktführer für Security Go to Market bei Amazon Web Services, zu mir. Bei AWS ist Shawn für die Leitung des globalen Spezialistenteams für Sicherheit und Compliance verantwortlich. Vor seiner aktuellen Position war Shawn 20 Jahre in der Sicherheitsbranche in Netzwerk- und Startup-Unternehmen in verschiedenen Geschäftsentwicklungs- und Vertriebspositionen tätig. Heute spricht Shawn mit uns über das Modell der gemeinsamen Verantwortung, schrittweise Zero-Trust-Verbesserungen in der Cloud und ein Verständnis der Wirtschaftlichkeit und des ROI der Cloud. Hey Shawn, vielen Dank, dass du zu uns auf The Segment gekommen bist. Es ist mir eine Freude, dich hier zu haben.

00:52 Shawn Kirk: Absolut, Raghu, ich weiß es zu schätzen, dass du mich dabei hast.

00:54 Raghu Nandakumara: Ich weiß, dass Sie jetzt seit ungefähr 20 Jahren in der Sicherheitsbranche tätig sind. Erzählen Sie uns von Ihrer Reise dorthin, wo Sie heute bei AWS sind.

01:02 Shawn Kirk: Wenn wir in die frühen 2000er Jahre zurückgehen, bin ich gerade dabei, die Air Force zu verlassen, wo ich ausgerechnet Survival-Instruktor war. Also den Leuten beizubringen, welche Käfer sie essen sollen und welche nicht, und solche Dinge. Und mir wurde klar, dass ich wahrscheinlich nicht 20 Jahre lang beim Militär in Rente gehen würde und dass ich über eine Karriere nachdenken musste, und zumindest zu dieser Zeit gab es keine große Nachfrage nach Leuten mit Überlebensfähigkeiten.

01:23 Shawn Kirk: Also musste ich anfangen, über Alternativen nachzudenken, und aus welchem Grund auch immer, fand ich mich auch als Experte für MS-DOS in unserer Jagdstaffel wieder, der ich Bericht erstattet hatte. Also rechnete ich zwei und zwei zusammen und dachte: „Nun, wenn ich rauskomme, mache ich vielleicht etwas im technischen Bereich.“ Am Ende trennte ich mich, stieg aus und wechselte in die technische Beschaffung. Ich war eine Zeit lang Einkaufsleiter, und das hat meinen Appetit auf Technik wirklich geweckt. Also wechselte ich in einen Job als Netzadministrator, ich wechselte in einen Job als Systemadministrator. Schließlich wurde ich von Cisco als Lösungsarchitekt abgeholt, oder manche Leute nennen es einen Systemingenieur. Also habe ich das eine ganze Weile lang gemacht. Während ich das noch einmal tat, relativ zu Beginn der Sicherheitsphase, steckte die Sicherheit noch in den Kinderschuhen und wurde in einige wirklich interessante Kundenprojekte einbezogen, an denen gearbeitet wurde, wenn Sie sich an Cisco PIX und die lokalen Direktoren erinnern können.

02:09 Raghu Nandakumara: Ja, ja.

02:10 Shawn Kirk: Also ich habe daran gearbeitet und dann, ja, über Nacht fand ich mich als Experte für Sicherheitsthemen wieder, manchmal passiert das. Von da an wechselte ich von der Systemtechnik zum Vertrieb und ging auf den Markt, wo ich endlose Mengen an Mist von meinen SE-Kollegen bekam und mich ständig fragte, warum ich so etwas tun würde. Und es ist lustig, meine Antwort wäre ausnahmslos — Sie erinnern sich, dass es in den 1950er Jahren einen Bankräuber gab. Es war ein Typ namens Willie Sutton. Und als sie Willie Sutton endlich erwischten, setzten sie sich zu ihm und sagten: „Hey, warum raubst du Banken aus?“ Und Willie antwortet: „Weil sie dort das Geld aufbewahren.“ Richtig? Das ist normalerweise meine Antwort darauf, warum ich von einer SE in den Vertrieb gewechselt bin.

02:51 Shawn Kirk: Und wie dem auch sei, um es abzuschließen, um es kurz zu machen, vor vier Jahren erhielt ich den Anruf des AWS-Personalvermittlers, der sagte: „Hey, wir machen hier ein paar neue Sachen. Möchten Sie unsere Markteinführungsaktivitäten im Bereich Sicherheit leiten?“ Der Rest ist also Geschichte.

03:03 Raghu Nandakumara: Ich liebe die Geschichte. Und ich kehre einfach zu etwas am Anfang zurück. Sie wurden der ansässige MS-DOS-Experte. Das muss ein ziemlicher Nischentitel sein, besonders in den frühen 2000ern. Ich frage mich, was Sie immer noch tun, wenn Sie Anfang der 2000er Jahre in MS-DOS herumstöbern?

03:16 Shawn Kirk: Ja. Hatte viel mit Edlin zu tun, meine Edlin-Fähigkeiten, falls du dich daran erinnerst.

03:22 Raghu Nandakumara: Ja. Und es ist lustig, die Geschichte auch darüber, wie Sie Ihre SE-Kollegen gesagt haben, als Sie eher auf die Marktseite übergegangen sind, wie: „Was machen Sie?“ Und das verbinde ich damit, weil, als ich vom Kunden zur Verkäuferseite wechselte, das Feedback, das ich von meinen Kollegen erhielt: „Gehen Sie auf die dunkle Seite über?“ Und ich sagte, das ist der gleiche Grund. Ich möchte nur auf das zurückkommen, was Sie über Ihre Tätigkeit als MS-DOS-Experte gesagt haben. Und von da an, wo heute die Zukunft liegt und Ihre Rolle beim weltweit größten Hyperscaler, der GTM für Sicherheit vorantreibt. Was war Ihre Beobachtung darüber, wie sich das, was wir konsumieren, aus technologischer Sicht verändert hat, wie wir es konsumieren, welche Trends das geprägt haben und wo wir uns heute befinden?

04:08 Shawn Kirk: Wir haben gerade so viele Entwicklungen gesehen, insbesondere im Sicherheitsbereich, was die Art und Weise angeht, wie wir über mentale Sicherheitsmodelle denken, und ich denke, wir werden auf einiges davon eingehen, hoffentlich etwas später, rund um Sicherheit, die gerade völlig auf den Kopf gestellt wurde. Und dann war das Aufkommen von Hyperscaling und Private Cloud und Public Cloud natürlich völlig transformativ, da sie es Unternehmen ermöglicht haben, ihr Geschäft und die Art und Weise, wie sie über ihre Markteinführungsstrategien denken, transformativ voranzutreiben. Gleichzeitig hat es aber auch großartige Möglichkeiten für die Unhöflichen geschaffen, die die technologische Ausbreitung und Technologien wie die Arbeit von zu Hause aus und nur den ständig wachsenden Rand und den Fußabdruck des Netzwerks nutzen möchten.

04:52 Raghu Nandakumara: Ich habe mir gerade Ihr Einführungsvideo über Ihre Rolle angesehen. Sie haben erwähnt, dass Sie dazu beitragen, die Cloud-Migrationen Ihrer Kunden zu sichern. Sie stellen fest, dass Kunden oft sehr gut damit vertraut sind, wie sie vor Ort schützen, aber viele Fragen dazu haben, wie sie in der Cloud schützen. Können Sie also erklären, wie Sie die wichtigsten Gemeinsamkeiten und wichtigsten Unterschiede artikulieren und sicherstellen, dass sie sich bei der Cloud-Absicherung auf die richtigen Dinge konzentrieren?

05:19 Shawn Kirk: Ich würde das noch einmal sagen, das Beste an meinem Job oder der beste Teil meines Jobs ist die Tatsache, dass wir Kunden helfen können, das zu vermeiden, was wir „einen schlechten Tag in der Cloud“ nennen. Bei wirklich allem, jedem Programm, jeder Initiative, allem, was wir tun, ob es um Schulungen und Schulungen oder Zertifizierungen geht oder darum, Kunden dabei zu helfen, bewährte Verfahren zu verstehen, dreht sich die Einführung der Technologien, entweder unserer oder unserer Partnertechnologien, wirklich um die Idee, Kunden einfach zu helfen, keinen schlechten Tag zu haben.

05:48 Shawn Kirk: Aber um Ihre Frage genauer zu beantworten: Einer der Bereiche, in denen wir fast ausnahmslos viel Zeit mit Kunden verbringen, ist das Konzept eines Modells der gemeinsamen Verantwortung. Und obwohl viele unserer Kunden das Konzept verstehen und verstehen, dass es sich um eine Partnerschaft zwischen dem Cloud-Dienstanbieter und dem Unternehmen handelt, das auf dieser Plattform läuft, ist dieses Modell sehr nuanciert. Und oft geht ein Großteil dieser Nuance beim Kunden verloren. Sie wissen nicht genau, wo diese Grenze verläuft, wo Sie diese Vorstellung von der Sicherheit der Cloud haben, was wiederum in der Verantwortung des Hyperscalers oder des Cloud-Sicherheitsanbieters liegt, der für physische Sicherheit, Netzwerksicherheit und Plattformsicherheit verantwortlich ist, aber dann liegt es in der Verantwortung des Kunden oder der Person, die in der Cloud arbeitet, für Datensicherheit und Anwendungssicherheit zu sorgen.

06:35 Shawn Kirk: Aber wenn Sie anfangen, diese noch ein bisschen weiter aufzuschlüsseln, wird es für unsere Kunden ein bisschen unübersichtlich, wo wir reinkommen und erklären müssen, wo diese Zeilen sind. Und wenn Sie das dann mit Managed Services überlagern, wird es noch undurchsichtiger. Deshalb verbringen wir, wie gesagt, viel Zeit damit, unseren Kunden zu helfen, die Nuancen dieses Konzepts zu verstehen und sie erneut mit all den Best Practices, Kontrollen und all den Dingen vertraut zu machen, die ihnen zur Verfügung stehen, um ihre Umgebungen ein wenig widerstandsfähiger zu machen.

07:04 Raghu Nandakumara: Ich freue mich, dass Sie das Modell der geteilten Verantwortung angesprochen haben, denn in einer meiner früheren Rollen als Leiter der Cloud-Sicherheitstechnik erinnere ich mich, dass ich dieses Modell der gemeinsamen Sicherheitsverantwortung mehrmals vorgestellt habe, und ich habe mir gerade einen ESG-Bericht über den Sicherheitsstatus im Jahr 2022 angesehen. Und um zu reflektieren, was Sie gerade gesagt haben: Vier von fünf Unternehmen, die sie befragt haben, gaben an, dass sie immer noch Unklarheiten in Bezug auf das Modell der gemeinsamen Sicherheit feststellen. Und dann haben Sie auf einige davon angespielt. Die Nuancen waren nicht klar, insbesondere was die Grenzen angeht, wo diese Verantwortlichkeiten liegen. Wenn ich noch einmal zurückdenke, weiß ich, dass beispielsweise AWS in Ihren Best Practices seit fast einem Jahrzehnt über das Modell der geteilten Verantwortung spricht. Warum mangelt es den Kunden also immer noch an Klarheit und Unverständnis?

07:55 Shawn Kirk: Ein umfassendes Verständnis setzt voraus, dass der Kunde sein Denkmodell vollständig auf lokale Steuerungen und nicht auf cloudbasierte Steuerungen umstellt. Und wir führen häufig Gespräche mit Kunden, die sich sofort eingehend mit den Steuerungen befassen. Sie wollen also versuchen zu verstehen oder besser zu rationalisieren, dass dies die Umgebung ist, aus der ich komme, und ich muss die Umgebung verstehen, in die ich gehen werde. Und sie wollen sich sofort zu Analogien ihrer aktuellen lokalen Sicherheitskontrollen hingezogen fühlen und sofort verstehen: „Okay, nun, was ist das Analogon für die Cloud und ist es wie, und kann ich einfach meine Firewall oder meinen Proxy oder meinen Endpunkt oder was auch immer es aus Kontrollsicht sein mag, einfach anheben und verschieben?“ Und ehrlich gesagt bietet AWS wie andere Hyperscaler ihre eigenen nativen Sicherheitsdienste an, und das ist ein großer Teil der Aufgabe meines Teams, den Kunden zu helfen, zu verstehen, was diese sind und wie sie verwendet werden können. Und noch einmal: Rationalisieren Sie die lokalen Kontrollen jetzt mit nativen Cloud-Kontrollen. Auch hier wird es nuanciert und es kann komplex werden, aber der Kunde muss nur diese Änderung vornehmen und die Unterschiede zwischen diesen Kontrollen verstehen und rationalisieren.

09:14 Raghu Nandakumara: Cloud-Sicherheit ist für sich genommen ein so umfangreiches und sich ständig weiterentwickelndes Thema. Um auf das zurückzukommen, was Sie gesagt haben, ist es im Wesentlichen Ihre Mission, sicherzustellen, dass Ihre Kunden keinen schlechten Tag haben. Welche Rolle spielt Zero Trust aus Ihrer Sicht bei der Cloud-Sicherheit? Besprechen Sie das regelmäßig mit Ihren Interessenten und Ihren Kunden?

09:36 Shawn Kirk: Ja.

09:37 Raghu Nandakumara: Gott sei Dank.

09:38 Shawn Kirk: Ja, eindeutig, ja. Es ist in jedem Gespräch, das wir führen, und die Kunden versuchen wirklich zu verstehen, was sie dagegen tun können. Und es ist in verschiedenen Kontexten etwas anderes, weshalb ich denke, dass es aufgrund der Vielfalt der Anwendungsfälle, auf die es angewendet werden kann, immer noch eine Menge Verwirrung herrscht. Und die Anbieter möchten, dass Sie glauben, es ist einfach dieses schlüsselfertige Produkt von der Stange, das Sie einfach kaufen können und dann können Sie einfach Zero Trust kaufen und schon sind Sie fertig. Und das ist nicht wirklich der Fall, zumindest noch nicht. Sie müssen gründlich über die Anwendungsfälle nachdenken. Geht es von Maschine zu Maschine? Handelt es sich um eine Humint-Anwendung? Handelt es sich um ein vernetztes IoT-Fahrzeug mit transformativer Steuerung, das komplett von Ihrem Netzwerk getrennt ist? Es fängt an, wirklich esoterisch zu werden, aber solche Diskussionen führen wir jeden Tag. Und wie denken Sie dann darüber aus der Sicht einer lokalen, privaten Cloud oder einer öffentlichen Cloud und wie bringen Sie das alles zusammen?

10:33 Raghu Nandakumara: Wie das, was Sie gesagt haben, dass Sie sich wirklich auf Anwendungsfälle konzentrieren und sagen: „Okay, das ist der beste Weg, um Sicherheit für diesen Anwendungsfall zu bieten.“ Und das dann wieder in einen Ansatz wie Zero Trust einzubinden, und ich denke, das ist ein bisschen wie eine Henne-Ei-Frage. Wie kommt die Frage nach Zero Trust bei Ihren Kunden auf? Ist es ein Kunde, der sagt: „Oh, hey, wir wollen AWS einführen und übrigens, die Sicherheit muss einem Zero-Trust-Ansatz unterliegen“, oder ist es eher so, dass Sie mit dem Anwendungsfall beginnen und ihnen dann letztendlich zeigen, wie Sie darauf basierende Sicherheit aufbauen können, die einem Modell mit den geringsten Privilegien folgt, das dann offensichtlich Zero Trust entspricht?

11:11 Shawn Kirk: Ich denke, man kann mit ziemlicher Sicherheit sagen, dass wir, wenn wir solche Gespräche mit Kunden führen, was wiederum jeden Tag der Fall ist, sehr ungern, die eigentliche Technologie, die Funktion oder die Steuerung an den Anfang des Gesprächs zu stellen. Denn gerade bei etwas so Nuanciertem wie Zero Trust muss man wirklich ein viel tieferes Verständnis des Problems haben, das die Kunden zu lösen versuchen. Das ist wirklich das Wichtigste. Was ist das Problem, das sie zu lösen versuchen, und was sind die ganz spezifischen Anwendungsfälle? Sobald Sie also verstanden haben, und das ist die Art und Weise, wie Amazon die Dinge betrachtet, besteht im Allgemeinen darin, vom Kunden und dem Kundenproblem und dem, was er zu lösen versucht, ausgehend, sind diese Arten von Gesprächen nicht anders.

11:56 Shawn Kirk: Und wenn wir das hinter uns haben und die Probleme verstehen, die sie zu lösen versuchen, sind wir immer noch nicht bereit für ein Technologiegespräch. Worüber wir dann nachdenken sollten, ist vor allem in diesem Umfeld, in dem die makroökonomischen Bedingungen und Reserven ihre Ausgaben sehr genau unter die Lupe nehmen. Also, welche vorhandenen Technologien, ob es sich bei lokalen Netzwerktechnologien um einen Cloud-Dienstanbieter handelt, sind Technologien wie VPCs und dergleichen vorhanden, die dann durch die einfache Erweiterung detaillierterer Identitätskontrollfunktionen genutzt werden können. Und hier fangen wir an. Und wir wollen nicht, dass der Kunde sofort darüber nachdenkt, das Problem zu 100% zu lösen, weil es einfach zu groß ist. Lassen Sie uns versuchen, 80% anzustreben und dann im Laufe der Zeit konstante, aber stetige schrittweise Verbesserungen vorzunehmen. So denken wir darüber nach.

12:49 Raghu Nandakumara: Ich finde, das ist ein wirklich toller Ansatz und es ist ein so praktischer Ansatz, und ich glaube, je mehr wir das hören und viele meiner anderen Gäste dasselbe wiederholen, desto mehr hoffen wir, dass die Kunden ihre Adoption tatsächlich auf die gleiche Weise angehen, anstatt von Anfang an massiv transformativ zu sein, diese kleinen Schritte zu machen. Als ich anfing, mich speziell mit AWS zu befassen, habe ich mir den Ansatz zur Identitätszugriffsverwaltung angesehen, den Sie für all Ihre Services entwickelt haben. Und im Grunde wurde fast jeder Service von Anfang an mit den geringsten Privilegien ausgestattet. Und ich dachte... es vermittelt echte bewährte Sicherheitsmethoden von dem Moment an, in dem Sie es einführen. Angesichts dessen und angesichts all der bewährten Verfahren usw., die Sie veröffentlicht haben und die verfügbar sind, warum sehen wir dann immer noch Beispiele für öffentlich lesbare S3-Buckets oder für weltweit beschreibbare S3-Buckets, weil es einfach so aussieht, als würden Kunden die Tools, die ihnen zur Verfügung stehen, nicht nutzen, um es besser zu machen.

13:53 Shawn Kirk: Ich denke, philosophisch gesehen ist AWS auf dem richtigen Weg, also dieses Konzept der am wenigsten privilegierten, dieses Konzept der standardmäßigen Sicherheit ist ein Weg, den wir weiter beschreiten werden, denn was auch immer der Grund sein mag, warum Kunden sich manchmal nicht an die Best Practices halten oder was auch immer, CSPs sollten absolut so viel wie möglich tun, um diese Funktionen intrinsischer zu machen, um sie standardmäßig sicher zu machen, was die Notwendigkeit von ein Modell der geteilten Verantwortung, das meine ich nicht. Wir sollten jedoch alles in unserer Macht Stehende tun, um die Steuern zu senken, die unsere Kunden für Sicherheit zahlen müssen, und diese Funktionen in die Architektur integrieren. So denken wir im Grunde genommen darüber nach.

14:37 Shawn Kirk: Machen Kunden manchmal immer noch Fehler? Sicher. Aber wir sollten in der Lage sein, ihnen bei diesen Fehlern zu helfen, indem wir schnell die Auswirkungen identifizieren und ihnen dann helfen, sie schnell zu beheben und sich wieder dem Geschäft zu widmen, das sie machen wollen. Als Branche glaube ich, dass wir den Kunden zu viele undifferenzierte schwere Lasten auf die Schultern legen, um loszulegen und zu versuchen, ihre IT zu betreiben und ihre Umgebung zu sichern. Und auch hier sollten wir als Branche mehr tun, um ihnen diese undifferenzierte Schwerstarbeit von den Schultern zu nehmen und einfach viele dieser Funktionen standardmäßig einzubauen.

15:07 Raghu Nandakumara: Absolut. Das finde ich wirklich interessant, wenn es darum geht, den Kunden die Übernahme dieser Funktionen zu erleichtern, anstatt zu versuchen, sich unbedingt von der Konkurrenz abzuheben. Also, wie viel von dieser Verantwortung liegt Ihrer Meinung nach bei den Cloud-Dienstanbietern, diese Funktionen nativ bereitzustellen, damit die Kunden so viel wie möglich tun können, indem sie... Ich werde sagen, die einzige Plattform, mit der sie kommunizieren, und wie viel davon liegt in den Händen von Drittanbietern, Mehrwertdienste zu entwickeln? Wo sehen Sie das Gleichgewicht zwischen all dem?

15:45 Shawn Kirk: Ja, ich glaube nicht, dass es das eine oder andere ist, aber aufgrund der Natur dieser Branche und der Sicherheit im Allgemeinen ändert sich das täglich. Es ist einfach eine sich ständig und sehr schnell entwickelnde Community. Wenn also ein Cloud-Dienstanbieter oder ein Sicherheitsanbieter behauptet, dass er alle Antworten hat, die die Fragen haben könnten, ist das eine Frage der Zeit. Warten Sie 10 Minuten und das Problem wird anders sein oder sich weiterentwickelt haben. Also ja, was ich damit sagen will, ist, dass der CSP zwar einen großen Teil der Unterstützung des Kunden beim Schutz seiner Umgebung mit nativen Tools und Funktionen übernehmen sollte, aber ich denke noch einmal, als Branche, weil es sich um ein sich wandelndes Ziel handelt, sollten wir alle mehr als Kollektiv zusammenarbeiten. Der Cloud-Dienstanbieter wird nicht in der Lage sein, alle Probleme zu lösen, die ein Kunde möglicherweise benötigt, und das ist sowohl bei uns als auch bei anderen der Fall. Wir brauchen Partner, die in der Lage sind, hereinzukommen und entweder ein Problem zu lösen, das wir einfach nicht lösen, oder vielleicht sind es die, die reinkommen und das Problem besser lösen, als wir es lösen.

16:47 Shawn Kirk: Und wir empfehlen einem Kunden genauso wahrscheinlich, sich eine Drittanbieterlösung anzusehen, wie er sich eine native AWS-Lösung ansieht, denn die richtige Antwort ist, das Problem zu lösen. Richtig? Die richtige Antwort ist nicht, das Problem unbedingt nur mit einem Tool zu lösen, das Amazon bereitstellt. Es könnte durchaus mit einem Tool geschehen, das jemand anderes bereitstellt, aber wir müssen das Problem für den Kunden lösen. Gleichzeitig arbeiten wir wieder daran, intern und in die Struktur der Plattform mehr intrinsische Funktionen einzubauen.

17:18 Raghu Nandakumara: Ja, absolut. Und ich denke, das bringt uns zu einer weiteren Frage: Wie berücksichtigen Sie aus Sicherheitsgründen die ROI-Vorteile der Cloud-Sicherheit? Ist das ein wichtiger Teil der Gespräche, die Sie führen?

17:34 Shawn Kirk: Ja, das sind sie. Und ich denke, sie rücken immer mehr in den Vordergrund. Nochmals zurück zu den makroökonomischen Bedingungen, die wir heute sehen. Wir sehen zunehmend, dass Kunden uns bitten, ihnen bei der Rationalisierung ihrer Kosten zu helfen. Und es geht nicht nur um Sicherheitskosten, sondern um all ihre Kosten, zumindest auf unserer Plattform, und ich bin mir sicher, dass andere Plattformen dasselbe sehen. Hilf uns zu verstehen, wo wir unsere Ausgaben optimieren können. Haben wir doppelte Ausgaben? Haben wir überflüssige Ausgaben? Und wir führen dieselben Gespräche, wenn es um Sicherheit geht. Die Kunden sagen: „Entweder ich gebe all dieses Geld für Technologien von Drittanbietern aus und ich möchte das reduzieren. AWS, können Sie mir helfen?“

18:17 Shawn Kirk: Und wieder schneidet das Messer in beide Richtungen, was bedeutet, dass wir auch wissen, dass Kunden zu Dritten schauen und sagen: „Hey, hören Sie, ich gebe Geld aus, ich glaube, ich gebe viel für meinen Cloud-Dienstanbieter aus. Können Sie mir auch helfen, diese Ausgaben zu optimieren?“ Und das ist großartig. Am Ende des Tages wollen wir das, was für den Kunden am besten ist, sowohl in Bezug auf Effektivität als auch auf Risikominderung, auch auf die Ausgaben. Wie ich schon sagte, es geht in beide Richtungen. Und wieder stellen sich diese Kunden zunehmend Fragen zur Kostenoptimierung und auch zu Fragen zur Kostenoptimierung bei der Sicherheit von Derivaten.

18:50 Uhr Raghu Nandakumara: Ja. Absolut, was letztlich das Beste für den Kunden ist und es ist, die Sicherheit so einzusetzen, dass sie auch die Renditen nachweisen können, genauso wie sie die Renditen bei der Migration zur Cloud nachweisen können. Wenn Sie zu Ihrer täglichen Arbeit zurückkehren, wenn Sie diese Gespräche mit Kunden führen und ihnen bei der Migration zur Cloud helfen, was sind die drei wichtigsten Sicherheitsherausforderungen, die sie ansprechen, im Vergleich zu denen, die Sie ihnen mitteilen oder die Sie bei Ihren Kunden beobachten?

19:25 Shawn Kirk: Ich denke, in erster Linie geht es jetzt um die Idee des Modells der gemeinsamen Verantwortung. Das ist von Anfang an, egal, ob sie unser MAP-Programm nutzen, um ihnen zu helfen, oder was auch immer es ist, die Frage nach Sicherheit und wie denken wir jetzt über Sicherheit in dieser hybriden Umgebung — vor Ort, dann in der Cloud und dann vielleicht sogar Hybrid und Multi-Cloud. Sie wollen verstehen, wie sie darüber nachdenken sollten und wo die Verantwortung liegt. Das ist das Gespräch, das wir von Anfang an führen. Zweitens, das Konzept der Portabilität von Steuerungen und ich habe all diese Investitionen in meine Sicherheitsumgebung vor Ort und die Kontrollen getätigt. Wie viele davon kann ich mitbringen? Kann ich sie alle mitbringen? Kann ich einige von ihnen mitbringen? Also müssen wir uns hinsetzen und rationalisieren, wie sie das machen und wie viele der Steuerelemente sie mitbringen können und es gibt nur Cloud-Versionen von, und das ist eine große Sache.

20:15 Shawn Kirk: Und schließlich, was mir zur Verfügung steht, um es zu visualisieren und zu verstehen: „Jetzt habe ich alle meine Ressourcen oder einen Großteil meiner Ressourcen in der Cloud, meine Kontrollen wurden rationalisiert. Was steht mir nun zur Verfügung, das ich kontinuierlich überwachen und entweder meinem SOC-Team zur Verfügung stellen kann, oder vielleicht wird es an externe MSSP ausgelagert, um sie darüber zu informieren, ob etwas von grün auf rot übergegangen ist.“ Das sind normalerweise die drei Dinge, auf die wir sofort reagieren.

20:42 Raghu Nandakumara: Und dann in Bezug auf die Bedrohungen, über die sich die Kunden von dem Zeitpunkt, zu dem sie mit der Migration beginnen, bis zu dem Zeitpunkt, an dem sie einen gewissen Reifegrad erreicht haben, Sorgen machen, und ändert sich die Art dieser Bedrohungen, wenn ihre Cloud-Migration reift?

20:59 Shawn Kirk: Die Gespräche, die wir geführt haben, umfassen die gesamte Bandbreite. Generell werden wir versuchen, den Kunden dazu zu bringen, so früh wie möglich im Migrationsprozess über Risiken und Risikominderung nachzudenken. Und noch mehr, ehrlich gesagt, wenn wir es wieder in ein DevSecOps-Gespräch bringen und sie dazu bringen können, über SDLC und sichere Codierungspraktiken nachzudenken, solche Dinge, die sogar so viel, desto besser können wir sie dazu bringen, darüber nachzudenken. Und danach folgen wir sehr ähnlichen Framework-Konzepten, NIST. Wir verwenden NIST häufig in unterschiedlichen Phasen der Cloud-Migration, stellen sicher, dass sie über angemessene Identifikations- und Identitätskontrollen verfügen, und schauen uns die Zugriffskontrolle an. Sind sie in der Lage, Bedrohungen zu erkennen, vor Bedrohungen zu schützen, auf Bedrohungen zu reagieren, sich von Bedrohungen zu erholen, all die Standard-Frameworks, mit denen die Kunden vertraut sind?

21:55 Shawn Kirk: Auch hier arbeiten wir daran, ihnen zu helfen, zu verstehen, was das Cloud-Analogon dieser Dinge ist. Und noch einmal, um zu versuchen, diese Steuerungen so gut wie möglich zu vereinheitlichen, wenn sie sich in einer Hybridumgebung befinden. Viele unserer Kunden sind das, was wir als Cloud-native bezeichnen, und sie wurden gerade in der Cloud geboren. Daher ist es für sie in Ordnung, einfach die traditionellen Cloud-Dienste zu nutzen. Aber auch hier sind viele Kunden, die meisten Kunden, immer noch hybride Unternehmen und müssen zumindest Rationalisierungen vor Ort und bei AWS vornehmen, aber oft auch bei mehreren Cloud-Anbietern vor Ort. Jep.

22:26 Raghu Nandakumara: Ja, absolut. Also, das bringt mich zu einer eher vorausschauenden Frage. Wenn Sie sich Ihre Cloud-Kristallkugel ansehen, was sind Ihrer Meinung nach die sich entwickelnden Bedrohungen, von denen Cloud-Nutzer betroffen sein werden, und was sind Ihrer Meinung nach die wichtigsten Sicherheitsfunktionen, die entwickelt werden, um diese abzuwehren?

22:46 Shawn Kirk: Das ist eine interessante Frage, und das ist es, was mich begeistert, aufzustehen und das zu tun, was ich jeden Tag tue: Die Idee von Bedrohungen und der Bedrohungslandschaft ist wieder so im Entstehen begriffen. Das ist keine statische Branche, es ist dieses ständige Katz-und-Maus-Spiel, diese Sache mit Spion gegen Spion. Und ich schätze, meine Antwort wird wahrscheinlich niemanden überraschen, besonders angesichts der Tatsache, dass ChatGPT heutzutage einfach überall verbreitet ist. Aber die Idee, dass diese KIs auf diesen großen Sprachmodellen aufbauen, sie werden immer ausgefeilter. In der Öffentlichkeit gibt es vereinzelte Hinweise darauf, dass die Bösewichte diese großen sprachmodellgesteuerten KIs verwenden, um alles von Malware bis hin zu Social-Engineering-Skripten zu erstellen, die effektiver sind. Und dann, glaube ich, werden Sie feststellen, dass auch die Guten beginnen, diese Art von Technologien einzusetzen, um sich dagegen zu wehren. Es ist also diese Welt zwischen KI und KI, die sich entwickelt.

23:52 Shawn Kirk: Und ich weiß nicht, wohin das führt, und ich glaube, eine der Statistiken, die ich gelesen habe, besagt, dass mehr als 80% der Unternehmen in den nächsten zwei Jahren KI-gestützte Sicherheitskontrollen einführen werden, was meiner Meinung nach viel darüber aussagt, wie die Branche über KI denkt. Ich denke, es wird eine wirklich interessante Zukunft und aus einer Vielzahl von Gründen eine wirklich aufregende Zeit sein, in dieser Branche und auf dieser Seite des Teams zu sein und zum Schutz unserer Kunden beizutragen.

24:27 Raghu Nandakumara: Absolut, und ich denke, gerade mit der Entwicklung ausgefeilteren maschinellen Lernens und der weiteren Entwicklung von Allzweck-KI ist es so wichtig, Experten zu sein und den Kunden den wahren Wert dieser Informationen zu vermitteln, weil ich denke, die ganze KI/ML, die Leute werfen einfach diesen Begriff ein und verstehen nicht wirklich, was die Unterscheidungsmerkmale sind und wie sie genutzt werden sollten. Das zum Ausdruck bringen zu können und vor allem ihre Umgebung zu schützen, finde ich faszinierend.

24:58 Raghu Nandakumara: Ich habe eine letzte Frage. Wenn wir über Sicherheit sprechen, setzen wir das mit Cyber-Resilienz und der Fähigkeit gleich, auch in schwierigen Zeiten zu funktionieren. Deshalb möchte ich zu Ihrer Zeit bei den Streitkräften als jemand zurückkehren, der sich mit Überlebenstraining beschäftigt. Was sind die besten Käfer, die man essen kann, um das Überleben und die Widerstandsfähigkeit zu sichern? Und welche veganen und vegetarischen Optionen gibt es für Veganer und Vegetarier?

25:24 Shawn Kirk: Ja, das ist eine tolle Frage. Das Bug-Gespräch ist ziemlich viel länger, als wir wahrscheinlich Zeit haben, aber als ich das gemacht habe, hatten wir Landüberleben, Überleben im Wasser, Überleben in der Arktis, Überleben im Dschungel. Aber wenn du zufällig irgendwo in einem Schlauchboot mitten auf dem Meer gestrandet bist und nach Nahrung fischst, kann ich dir sagen, iss nicht den Fisch mit dem Schnabel. Iss den Fisch nicht mit Schnäbeln. Die Fische mit den Schnäbeln fressen einige der giftigen Korallen, verschiedene Dinge, und sie werden dich heftig krank machen. Das ist ein Tipp, den ich dir in Bezug auf deine Überlebensfähigkeiten geben kann.

26:06 Raghu Nandakumara: Das ist fantastisch. Shawn, vielen Dank. Es war mir eine wahre Freude, dich heute in der Sendung zu haben. Es ist ein wunderbares Gespräch. Und für Zuhörer: Wenn Sie mehr darüber erfahren möchten, wie AWS und Illumio es Unternehmen ermöglichen, bei der Migration zur Cloud Risiken zu reduzieren und Resilienz zu erreichen, besuchen Sie Illumio.com und sehen Sie sich die AWS-Lösungen dort an. Also Shawn, danke dir noch einmal für deine Zeit heute. Ich weiß es wirklich zu schätzen.

26:31 Shawn Kirk: Darauf kannst du wetten. Danke, dass du mich eingeladen hast, Raghu.

26:33 Raghu Nandakumara: Danke, dass du dir die dieswöchige Folge von The Segment angesehen hast. Noch mehr Informationen und Zero-Trust-Ressourcen finden Sie auf unserer Website unter Illumio.com. Sie finden Illumio auch auf dem AWS Marketplace. Und um mehr über Illumio und unsere Partnerschaft mit AWS zu erfahren, sollten Sie noch in diesem Jahr an unserem Stand auf der AWS Re:Inforce vorbeischauen. Ich bin dein Gastgeber, Raghu Nandakumara, und wir werden bald zurück sein.

‍