Семь соображений по поводу безопасной миграции в облака

Старший директор Fortinet по продуктам и решениям для обеспечения безопасности облаков Лайор Коэн дает на портале eWeek рекомендации организациям, планирующим миграцию в облака.

Три из четырех организаций на планете так или иначе представлены в облаках. Согласно исследованию, которое провела IDG в 2018 г., сейчас 77% предприятий имеют в облаках по крайней мере одно приложение или часть своей корпоративной вычислительной инфраструктуры. Кроме того, предприятия сообщили, что планируют вложить в среднем 3,5 млн. долл. в облачные приложения, платформы и сервисы.

Глядя в будущее, руководители предприятий в опирающихся на технологию отраслях, включая промышленность, высокотехнологичное производство и телекоммуникации, стремятся к полному переходу в облака. Это означает также, что за исключением стартапов, которые начинают с использования облачной инфраструктуры, большинство организаций сейчас активно переносят (или планируют это сделать) инфраструктуру и/или приложения в облака и пытаются связать бизнес-процессы, приложения и потоки работ в локальной физической сети и в одной или нескольких сетях в публичных облаках.

Одна из проблем, с которой сталкиваются такие организации, заключается в единообразном обеспечении безопасности локальных и облачных ресурсов. Не все политики безопасности могут быть успешно и гармонично реализованы в многооблачной среде, особенно при использовании разнообразных инструментов. Это связано с тем, что решения большинства производителей не поддерживают все основные облачные платформы. Многие не поддерживают также интеграцию с облаками. Это может создавать трудности для обеспечения единообразия и определения политики при перемещении потоков работ и приложений между различными облачными средами, что приведет к появлению пробелов в системе безопасности и слепых зон, которые могут использовать злоумышленники.

Успешный перенос безопасности в облака

Перенос инфраструктуры, приложений или сервисов в облака без увеличения площади атаки или расходов на безопасность требует тщательной подготовки. Она начинается с понимания того, что облака, идет ли речь о создании новой инфраструктуры или нового приложения, требуют отлаженного обмена информацией между производственными подразделениями, специалистами по ИТ и безопасности. Без обсуждения потребностей и целей бизнеса, а также связанных с этим угроз организации подвергаются всему спектру новых рисков, включая новые виды DoS-атак, нацеленные на облачные ресурсы, инъекции вредоносного кода в облака, использование хакерами веб-приложений, атаки на облачные API, взлом учетных записей или сервисов.

Для успешной миграции в облака требуется успешный перенос системы защиты, позволяющий организациям развернуть одну единообразную систему безопасности, защищающую всю многооблачную инфраструктуру.

Всем организациям следует учитывать приводимые ниже рекомендации при планировании перехода в облака или стратегии такой миграции.

1. Приведите в порядок систему безопасности, прежде чем переносить ее в облака

Многие организации строят архитектуру безопасности на изолированных устройствах защиты, децентрализованном управлении и непоследовательном применении политик.

Таким организациям следует начать с разработки единой стратегии безопасности, а после этого задаться следующими вопросами:

• знаете ли вы, каково сейчас состояние защиты и какие оно будет иметь последствия для целей бизнеса в будущем?
• имеются ли у вас надлежащие политики и процедуры, предназначенные для нынешней и будущей вычислительной среды?
• провели ли вы анализ пробелов в защите, которые возникнут после того, как облако изменит вашу парадигму безопасности?
• как повлияет на управление рисками распределенная сеть на базе облака?

2. Планирование требований к полосе пропускания

Чтобы система защиты обеспечивала необходимую производительность, следует смоделировать и понять потоки данных и требования к ширине полосы пропускания. Особенно это касается чувствительных к задержкам сервисов, которые будут предоставляться через туннели VPN.

3. Учет требований регуляторов

Задайтесь следующими вопросами: какие требования необходимо соблюдать при обработке и хранении данных в облаках, а также при перемещении данных между различными облачными средами и физическими сетями? Есть ли необходимость проконсультироваться с юристами, прежде чем переходить в облака?

4. Высокая доступность данных и восстановление после катастроф

После решения проблем безопасности наибольший страх у организаций, подыскивающих облачное решение, вызывает доступность облачных ресурсов. Им требуется понять, насколько им необходимо динамическое масштабирование и будет ли система безопасности соответствовать новым критериям производительности. Наконец, следует рассмотреть вопросы симметричности потоков и выравнивания нагрузки, особенно применительно к унаследованным приложениям, с целью обеспечить доступность, производительность и защиту даже при использовании динамических облачных сервисов.

5. Правильная защита в правильном месте

Для защиты облаков требуется гораздо больше, чем просто разместить брандмауэр по периметру облачной инфраструктуры. Необходимо применить широкий спектр решений в области безопасности в зависимости от используемых приложений и предоставляемых сервисов. Чаще всего устанавливается брандмауэр нового поколения, но необходимы и другие решения, включая брандмауэр веб-приложений, систему предотвращения и обнаружения вторжений, брокер безопасного доступа в облако.

6. Система управления жизненным циклом

Важно обеспечить согласованное применение систем безопасности и политик, особенно когда они охватывают несколько вычислительных сред. Необходимо тщательно выбирать инструменты защиты. Они должны не только работать на конкретной облачной платформе без адаптации, но и беспрепятственно взаимодействовать с развернутыми в других средах родственными решениями на протяжении всего жизненного цикла политики безопасности. В частности, речь идет о согласованной политике изменений в области безопасности (security change policy), динамическом предоставлении ресурсов и масштабировании, единой точке управления, включая интеграцию с центральным решением по управлению ИТ-сервисами, централизованным ведением и коррелированием журнала.

7. Не позволяйте облакам ввести себя в заблуждение и сэкономить на защите

Взять на вооружение облачный сервис так же легко, как щелкнуть по ссылке. Добавить новую облачную инфраструктуру гораздо сложнее, но все же намного легче, чем создавать физическую. Однако эта простота может оказаться обманчивой. Многим организациям приходится расплачиваться за излишнюю поспешность с переходом на новое облачное решение без тщательного изучения проблем, связанных с безопасностью. Они допускают различного рода ошибки, начиная с создания новых векторов атаки на свои сети и заканчивая неподготовленностью к новым угрозам в облаках. Их могут ошарашить штрафы и санкции за неспособность адекватно подготовиться к новым требованиям регуляторов.

Тщательная подготовка к созданию своей новой облачной инфраструктуры, платформ или сервисов может сэкономить время и деньги, сохранить репутацию и позволить вам эффективно конкурировать на новом цифровом рынке.