Важное преимущество облака заключается в том, что оно позволяет развертывать, управлять и размещать критически важные прикладные программы быстрее, чем при любом другом способе. При этом сотрудники и клиенты получают доступ к критической информации в режиме реального времени — где бы они ни находились и каким бы устройством ни пользовались. Для этого необходимо гибкое управление ресурсами с возможностью их масштабирования и перемещения, а также наличие простых приложений с доступом к данным в режиме реального времени и с возможностью быстрого обновления в соответствии с постоянно меняющимися тенденциями.
То же самое относится и ко внутренним рабочим процессам на различных устройствах и в разных облаках, которые должны быть высокодоступными, гибкими и отзывчивыми для поддержки критических функций и выполнения транзакций.
Безопасность — важнейший компонент любой облачной среды, особенно учитывая, что киберпреступники стремятся использовать быстро расширяющуюся поверхность атаки. Но для достижения высокой эффективности технологии безопасности должны быть такими же гибкими и динамичными, как и сама защищаемая облачная инфраструктура. Кроме того, защита облака с помощью устаревших решений безопасности — такая же неосуществимая задача, как и создание современного облака с использованием устаревших сетевых компонентов и традиционных стратегий разработки приложений.
Эффективные решения безопасности должны защищать не только связи между данными и пользователями, но и обеспечивать защиту буквально каждого подключения к каждому физическому или виртуальному устройству в распределенной инфраструктуре, причем даже для тех устройств, которые постоянно перемещаются внутри мультиоблачных инфраструктур (или даже между ними).
В подобных средах нередко возникают сложности, которые обусловлены использованием различных систем безопасности — дело в том, что развертывание решений, представленных только на какой-то одной облачной платформе, зачастую бывает неосуществимо на других платформах, или может накладывать функциональные ограничения. Это фактически ограничивают истинный потенциал облака. Слишком много организаций, увидев масштабы и серьезность проблемы, так и не сумели найти целостный подход к ее решению.
Четыре основных концепции обеспечения облачной безопасности
Для решения этих задач, организациям следует использовать следующие концепции обеспечения безопасности при реализации своих стратегий развития облака:
- Создание облачных сред с учетом требований безопасности
Как правило, утечки данных происходят в результате того, что киберпреступники используют самое слабое звено в поверхности атаки. Во многих организациях внедрение облака приводит к расширению поверхности атаки в геометрической прогрессии. Для устранения этих слабых звеньев требуется повсеместно обеспечивать единый уровень безопасности, даже когда инфраструктура постоянно меняется.
Поскольку инфраструктуры расширяются и меняются столь быстрыми темпами, важно, чтобы любые изменения в сети осуществлялись в строгом соответствии с общим планом безопасности. Требование использовать надлежащие инструменты, политики и процедуры безопасности до того, как будут задействованы какие-либо новые ресурсы, позволяет адаптировать решения безопасности к изменениям в инфраструктуре и в приложениях. Для этого необходимо выбирать инструменты безопасности, которые понимают инфраструктуру, где они будут размещены, и которые смогут обеспечить согласованную работу во всех окружениях, в том числе в мультиоблачных средах, гарантируя соблюдение политик и высокую прозрачность для безопасного запуска приложения и возможности безопасного подключения от центров обработки данных до облака. Даже незначительные различия в адаптивности и реализации могут привести к образованию брешей в безопасности, которыми охотно воспользуются киберпреступники.
- Нативная облачная безопасность
Поскольку данные и рабочие процессы должны перемещаться по всей инфраструктуре и в облаке, необходимо добиваться согласованной работы решений безопасности. Выбор облачного межсетевого экрана от того же поставщика, чьи продукты защищают и физические активы организации, вовсе не обязательно гарантирует решение этой проблемы. Подобные решения должны беспрепятственно взаимодействовать с облачными сервисами и следить за работой этих сервисов, а также уметь идентифицировать облачные ресурсы таким же логическим образом, как они идентифицируют другие ресурсы. Тем не менее, хотя базовая технология, используемая для защиты сетей, значительно отличается от технологий, используемых для защиты облачных ресурсов, практика управления аспектами безопасности должна оставаться такой же. Вот почему решающее значение имеет естественная интеграция в облачную инфраструктуру.
Эта проблема усугубляется тем, что облачные среды сильно отличаются друг от друга, и организации нередко используют разнородный набор технологий с разрозненными мерами безопасности в различных облачных средах. Это может создавать дополнительные проблемы для координации и обеспечения безопасности. Помимо нативной интеграции в облако, инструменты безопасности также должны уметь на лету транслировать политики безопасности, чтобы эти политики комплексно применялись в различных окружениях. Для этого необходимо выбирать поставщика с решениями, которые изначально интегрированы в максимально возможное количество облачных платформ и которые обеспечивают единый уровень безопасности и возможности подключения от центра обработки данных к облаку, независимо от используемой облачной инфраструктуры.
- Различные форм-факторы
Для комплексной, согласованной защиты необходимо, чтобы одни и те же решения безопасности были развернуты на как можно большем количестве платформ и в максимально возможном количестве различных форм-факторов. Например, приложения должны иметь возможность обращаться к облачному решению безопасности для идентификации и защиты отдельных видов данных и транзакций. Контейнерные приложения должны иметь доступ к контейнерным инструментам безопасности для удобной интеграции функций безопасности в цепочку приложений. И в идеале эти инструменты должны работать точно так же, как и решения, развернутые в вашей распределенной инфраструктуре, в том числе в филиалах и на периферийных устройствах.
Но не следует ожидать, что виртуальная версия межсетевого экрана подойдет для развертывания вашего облака или контейнера. Как говорилось ранее, если вы хотите согласованности в реализации политик безопасности и если вам необходимо уметь решать уникальные проблемы, характерные для отдельных экосистем, то каждый из форм-факторов решения должен быть изначально интегрирован в окружение, в котором оно размещено.
- Централизованное управление
Одна из самых больших претензий со стороны сетевых администраторов заключается в том, что они лишены единой консоли, с помощью которой они могли бы видеть всю инфраструктуру и управлять всей своей сетью и которая бы обеспечивала прозрачность физических и виртуальных сетей. Если для управления безопасностью использовать решения, которые способны обнаруживать атаки и защищать инфраструктуру только в отдельных сегментах сети, но не во всей сети, то, скорее всего, это приведет к компрометации инфраструктуры. Чтобы устранить пробелы в безопасности, организациям нужна единая панель управления, которая обеспечивает наглядность и позволяет сформировать согласованные политики безопасности во всей инфраструктуре для эффективного управления рисками. Решения безопасности должны обмениваться и сопоставлять сведения об угрозах, получать и внедрять централизованно согласованные политики и изменения в конфигурациях и координировать все ресурсы для своевременного реагирования на обнаруженные угрозы.
Новый взгляд на безопасность
Традиционные модели безопасности, когда на сетевом шлюзе размещаются специальное оборудование для мониторинга предсказуемого трафика и устройств, уже устарели. Сегодня решения безопасности должны охватывать всю вашу распределенную инфраструктуру, динамически масштабироваться при увеличении ресурсов приложений и автоматически адаптироваться по мере приспособления инфраструктуры к меняющимся требованиям. И, что не менее важно, эти решения должны обеспечивать согласованную функциональность и применение политик независимо от своего форм-фактора и места развертывания. Для этого вам может потребоваться переосмыслить всю существующую инфраструктуру безопасности.
Если облако будет играть значительную роль в будущем вашей организации, возможно, вам будет лучше найти единого поставщика, который будет поддерживать весь жизненный цикл ваших приложений, все ваши планы развития инфраструктуры и планы ее расширения — то есть решение, которое предлагает комплексную защиту и функциональность для нескольких публичных и частных облачных доменов, даже если это означает замену традиционного оборудования безопасности, которое уже установлено в вашей локальной инфраструктуре.
Нативные возможности интеграции широкого спектра инструментов защиты, которые предусматривают автоматизацию и централизованное управление, лежат в основе инфраструктуры безопасности и позволяют осуществлять комплексное внедрение политик, совместный сбор и использование информации об угрозах, централизованное управление и оркестровку, а также дают единое представление о всей распределенной инфраструктуре. Все это позволяет вашей организации с уверенностью развертывать любое приложение в любой облачной инфраструктуре. Без мощной, интегрированной и автоматизированной инфраструктуры безопасности, которая бы охватывала, расширялась и адаптировалась ко всей вашей сети, вы лишаетесь инструментов контроля и будете действовать вслепую, и сегодняшние киберпреступники с готовностью воспользуются этой слабостью.