Środowiska multicloud stają się coraz popularniejsze. W efekcie firmy mierzą się nie tylko z aplikacjami we własnym centrum danych, ale i ze środowiskami złożonymi z trzech-czterech chmur. Mohamed El Haddouchi odpowiada na pytanie, jak zabezpieczyć taką architekturę.
W każdym środowisku chmury można uregulować pewne kwestie bezpieczeństwa, mówi Mohamed El Haddouchi, dyrektor ds. rozwiązań i innowacji w Infradata. „Problemem jest jednak to, że z punktu widzenia bezpieczeństwa nie chcemy odrębnego sposobu zarządzania dla każdego z trzech czy czterech środowisk. W Amazon Web Services funkcjonuje to zupełnie inaczej niż w Microsoft Azure, w dodatku własna sieć firmowa posiada własną politykę bezpieczeństwa. Zanim się zorientujemy, mamy nagle cztery czy pięć różnych polityk bezpieczeństwa, którymi należy zarządzać równolegle i w taki czy inny sposób regulować je pod względem technicznym.”
Nie zastępuj. Uzupełniaj
Wkrótce sytuacja staje się zbyt skomplikowana i kosztowna. El Haddouchi: „Złożoność zabija bezpieczeństwo. Dlatego należy dokładnie przemyśleć kwestię, jak chronić firmę w najlepszy możliwy sposób przy użyciu istniejących systemów i procesów bezpieczeństwa, uzupełniając je o nowe możliwości zabezpieczeń, jakie dają chmury.”
Zdaniem Haddouchiego należy dobrze przyjrzeć się temu, jak bezpiecznie zintegrować różne środowiska chmur pod wodzą jednej architektury bezpieczeństwa dla całego środowiska multicloud. „Przykładowo AWS oferuje pewne funkcje zabezpieczeń, które można wykorzystać w Microsoft Azure. Dzięki temu bez względu na to, czy działamy w aplikacji w chmurze czy w modelu on-premise , obowiązują nas te same zasady bezpieczeństwa, możemy przeprowadzać takie same kontrole i otrzymywać te same raporty.”
Celem jest zatem ujednolicenie architektury zabezpieczeń. W ten sposób nie ma znaczenia, czy aplikacja działa w chmurze czy on-premise . Na dobre wychodzi to także administracji kosztów zabezpieczeń. Ponadto przekłada się na znaczącą poprawę bezpieczeństwa, gdyż uzyskujesz wgląd i kontrolę nad całym środowiskiem, którym zarządzasz z jednego miejsca.
Centralny punkt kontroli
Równocześnie z transferami do środowisk multicloud przedsiębiorstwa w roli użytkowników już od kilku lat biorą udział w zmianach mających wpływ na bezpieczeństwo. W dzisiejszych czasach niezwykle ważna jest mobilność. Pracownicy korzystają ze smartfonów, tabletów, laptopów, a nawet smartwatchy.
„Mamy zatem do czynienia z wieloma urządzeniami na jednego pracownika. Dochodzą do tego urządzenia IoT, takie jak drukarki, kamery, czujniki i alarmy. Razem daje to ogromną ilość urządzeń, z którymi nie mierzyliśmy się wcześniej.”
Myślenie z poziomu identyfikacji
Wszystkie urządzenia są podłączone do sieci i coraz częściej wymagają łączności z chmurą. „Oznacza to zmianę sposobu myślenia”, podkreśla El Haddouchi. „Nie możemy dłużej myśleć: mam obwód, na który nałożę kilka warstw zabezpieczeń. Zapory sieciowe, zabezpieczenia punktów końcowych, może jakiś anty-DDoS, na szczycie SIEM i gotowe. Nie, teraz trzeba myśleć o tożsamości użytkownika.”
Zabezpieczenia muszą być całkowicie niezależne od stosowanych urządzeń. „Należy dokładnie wiedzieć, kim jest zalogowana osoba. Czy logowanie odbywa się z komputera, smartfona czy tabletu, nie ma już znaczenia. Chodzi wyłącznie o tożsamość, osobę po drugiej stronie ekranu. Na jakie działania zezwolić jej w ramach sieci czy środowiska. Tożsamość jest tu kluczem.”
Następnie należy się upewnić, czy osoba ta naprawdę jest tym, za kogo się podaje, ponieważ w przypadku kradzieży tożsamości lub hasła może dojść do nadużyć. El Haddouchi: „W architekturze zabezpieczeń rozwiązania sprowadzają się do uwierzytelniania wieloskładnikowego, zarządzania tożsamością i dostępu uprzywilejowanego. W skrócie, do wszystkiego, co służy do rozpoznawania i identyfikacji użytkownika urządzenia. Aby dokładnie wiedzieć, kim on jest.”
Tożsamość a chmura
Aby zamknąć koło, zabezpieczenia oparte na identyfikacji muszą być skorelowane z zabezpieczeniami środowiska multicloud. Można wdrożyć nowoczesne rozwiązania, takie jak Cloud Access Security Broker (CASB), mówi El Haddouchi. „To rozwiązanie, które niezależnie od pochodzenia aplikacji i użytkownika pokazuje, kto co robi z aplikacjami w chmurze. Pozwala także chronić dane w obwodzie np. poprzez szyfrowanie, a zatem jeszcze przed przesłaniem ich do chmury. Nawet w przypadku kradzieży będą wówczas bezużyteczne dla osób postronnych. To coś, o czym warto pomyśleć również w kontekście RODO.”