Tempo wprowadzania rozwiązań chmurowych w przedsiębiorstwach wciąż rośnie, co wynika z dążenia do zwiększania prężności i opłacalności infrastruktury IT. Duże znaczenie ma przy tym coraz większa dojrzałość rozwiązań typu IaaS, PaaS i SaaS. Najważniejsze czynniki ograniczające wprowadzanie rozwiązań chmurowych to obecnie bezpieczeństwo i zgodność z przepisami. Niedawne badanie wykazało, że 90% organizacji przechodzących na infrastrukturę chmurową lub rozważających takie przejście ma istotne lub bardzo istotne zastrzeżenia dotyczące bezpieczeństwa. Wątpliwości dotyczą tu ogólnego poziomu zabezpieczeń, ryzyka utraty i wycieków danych oraz braku kontroli nad danymi. Są też wymagania prawne, jak na przykład regulacja GDPR, które określają dopuszczalne lokalizacje danych i aplikacji oraz wymagany poziom ochrony.
Podstawą tradycyjnych architektur zabezpieczeń jest oddzielenie sieci publicznych od prywatnych przy założeniu, że istnieje niewielka liczba punktów połączenia ze światem zewnętrznych (czy wręcz tylko jedno połączenie). Punkty połączenia zabezpiecza się rozwiązaniami ochrony brzegowej, a dane i aplikacje w sieci wewnętrznej nie są dostępne z zewnątrz, ze ściśle określonymi wyjątkami w rodzaju połączeń VPN z zabezpieczonym hostem lub lokalizacją poza granicami sieci.
Zabezpieczenia rozwiązań chmurowych są ograniczone do zapewnienia bezpieczeństwa fizycznego i dostępności (np. ochrony przed atakami DDoS). Zabezpieczenie systemów, danych i aplikacji jest już obowiązkiem użytkownika wybranego rozwiązania chmurowego. Choć dostawca zapewnia niezbędne narzędzia zabezpieczające, wymagają one prawidłowego skonfigurowania, a w dodatku odpowiadają jedynie za podstawowe bezpieczeństwo związane z pracą w sieci.
Nowe podejście do bezpieczeństwa
Mówi się, że łańcuch jest tylko tak mocny, jak jego najsłabsze ogniwo — co jest szczególnie trafnym spostrzeżeniem w odniesieniu do zabezpieczeń. We wdrożeniach środowisk chmurowych przeważają rozwiązania hybrydowe (71%), co w praktyce oznacza, że dane i aplikacje przedsiębiorstwa mogą równie dobrze znajdować się wewnątrz sieci firmowej, co poza nią. Niezależnie od faktycznej lokalizacji zasobów konieczne jest utrzymywanie stałego, wysokiego poziomu bezpieczeństwa. Różne kryteria bezpieczeństwa wymagają różnych metod implementowania zabezpieczeń. Pojawiają się też poważne wyzwania związane z widocznością systemów, zarządzaniem i raportowaniem.
Choć wirtualne dołączenie rozwiązania chmurowego do zabezpieczonej sieci wewnętrznej jest możliwe (co ilustruje powyższy rysunek), taka architektura ma zastosowanie jedynie do rozwiązań IaaS, a w dodatku niweluje szereg istotnych korzyści z wykorzystania chmury. Zabezpieczenie takiego systemu jest względnie proste i wystarczają do tego standardowe funkcje oferowane przez większość dostawców chmury.
Bardziej skalowalne podejście polega na utworzeniu punktów bezpośredniego dostępu do chmury. Zaletą tej metody jest odciążenie lokalnego centrum danych i zwiększenie odporności, ale konieczne jest zabezpieczenie również dodatkowych punktów dostępu. Zaleca się też utworzenie dodatkowej warstwy ochrony oddzielającej oba silosy.
Typ i zakres niezbędnych zabezpieczeń zależy od rodzaju chronionych zasobów. Użytkownicy uzyskują dostęp do aplikacji i danych spoza sieci firmowej, w tym potencjalnie również z urządzeń zewnętrznych, więc chodzi już nie tylko o kontrolowanie, kto ma dostęp do jakich zasobów — teraz trzeba też uwzględniać rodzaj urządzenia oraz lokalizację użytkownika i dozwolone dla niego zastosowania danych.
Dostępne rozwiązania ochrony w chmurze typu wielochmurowych
Obecnie dostępne są liczne rozwiązania do zabezpieczania architektur wielochmurowych, od prostych zabezpieczeń sieciowych po ochronę z pełnym uwzględnianiem zawartości i kontekstu. Każde rozwiązanie ma swoją cenę — nie tylko faktyczny koszt zakupu, ale również (czy nawet przede wszystkim) cenę w postaci wprowadzanej złożoności operacyjnej. Oto najczęściej dziś spotykane kategorie rozwiązań zabezpieczających:
Zapory stanowe
Zapory stanowe zapewniają podstawową ochronę sieci poprzez dopuszczanie tylko połączeń między zdefiniowanymi punktami końcowymi nawiązywanych przy użyciu dozwolonych protokołów.
Zapory NextGen (NGFW)
Zapory NextGen rozszerzają zakres zabezpieczeń sieci. Poza przepuszczaniem tylko dozwolonych protokołów mogą one również sprawdzać używane aplikacje i rodzaj przesyłanych danych. Zapory NextGen ułatwiają też przypisywanie użytkowników do punktów końcowych, a tym samym kontrolowanie dostępu użytkowników do zasobów z uwzględnieniem metody dostępu.
Data loss prevention (DLP)
Systemy DLP (Data Loss Prevention) dodatkowo zwiększają bezpieczeństwo w porównaniu z zaporą NextGen. Ich działanie polega nie tylko na dopuszczaniu lub blokowaniu określonych aplikacji, ale również na aktywnej inspekcji przesyłanych danych z możliwością identyfikowania danych zabronionych. Dają one też obraz fizycznego rozmieszczenia danych, umożliwiając stosowne dopasowanie zabezpieczeń.
Content access security brokers (CASB)
CASB rozwiązuje problemy, które pojawiają się, gdy firmy zaczynają korzystać z aplikacji opartych na chmurze, a dane nie są już zamknięte w granicach firmy. Systemy CASB (Content Access Security Broker) pozwalają kontrolować nie tylko rodzaj danych przychodzących do organizacji i z niej wysyłanych, ale również lokalizacje docelowe i format tych danych.
Zabezpieczenia punktów końcowych
Działanie starszych rozwiązań zabezpieczeń punktów końcowych ograniczało się do blokowania szkodliwych treści na urządzeniu końcowym. Rozwiązania obecnie stosowane pozwalają też kontrolować rodzaj danych zapisywanych na urządzeniu końcowym i określać możliwości ich wykorzystania. W razie problemów z urządzeniem, na przykład kradzieży lub innego incydentu powodującego utratę kontroli nad nim, możliwe jest zablokowanie dostępu do danych w celu minimalizacji konsekwencji takiego zdarzenia.
Każdy typ rozwiązania daje ochronę na innym poziomie, niekiedy kosztem pewnego pogorszenia wydajności i swobody użytkowania aplikacji. Poszczególne rozwiązania różnią się też proporcjami kosztów kapitałowych i operacyjnych ponoszonych przez organizację. Dla maksymalnej skuteczności każde rozwiązanie trzeba umieścić w strategicznie dobranym miejscu w obrębie infrastruktury IT. Stosowanie wielu rozwiązań w różnych częściach infrastruktury wymaga też osobnego rozwiązania zarządzającego, które zapewni spójność zabezpieczeń, pozwoli identyfikować słabe punkty i będzie natychmiast zgłaszać anomalie. Platforma zarządzania zabezpieczeniami jest też idealnym miejscem do automatyzacji kontroli zgodności z przepisami.
Usługi i rozwiązania w zakresie bezpieczeństwa w chmurze
![Network security]()
Bezpieczna sieć SD-WAN
Włącz bezpieczną sieć SD-WAN w Twoim całym rozproszonym przedsiębiorstwie.
![Firewall]()
Firewall nowej generacji
Chroń swoje brzegi sieci, centrum danych i aplikacje w chmurze za pomocą fizycznych, wirtualnych i skonteneryzowanych zapór sieciowych NGFW.
![Mobile security]()
Bezpieczeństwo urządzeń końcowych
Zapewniamy ujednolicone podejście do bezpieczeństwa, które umożliwia obrońcom skorelowanie aktywności w związku z zagrożeniami w całej sieci, w celu ochrony każdego urządzenia końcowego, czy to stacjonarnego, czy mobilnego.
![Digital key]()
Data Loss Prevention
Bezkompromisowa ochrona danych, która zapobiega ich utracie.
![Secure cloud]()
Bezpieczeństwo w chmurze
Zaadoptuj chmurę z ufnością i chroń swoich użytkowników, dane i aplikacje, gdziekolwiek się znajdują.
![Cloud upload]()
Ocena możliwości migracji do chmury
Budowanie strategii i uzasadnienia biznesowego dla migracji do chmury.
![Nodes]()
Zarządzana sieć SD-WAN
Zwiększ dostępność i bezpieczeństwo sieci, aby zyskać pełną kontrolę i dostęp do informacji na temat swojego przedsiębiorstwa.
![Check list]()
Ocena cyberbezpieczeństwa
Oceń poziom cyberbezpieczeństwa w swojej firmie i zrób plany na przyszłość.
![Firewall]()
Zarządzana zapora sieciowa
Pełne zarządzanie infrastrukturą zapór sieciowych Twojego przedsiębiorstwa.
Chcesz dowiedzieć się więcej na ten temat?
Nasi eksperci i opiekunowie handlowi są do Twojej dyspozycji. Zostaw swoje dane, a my wkrótce się z Tobą skontaktujemy.
