Multicloud Cloud security

Jak chronić swoją chmurę?

Fabien Gilis
Placeholder for Fabien GilisFabien Gilis

Fabien Gilis, Expert réseaux et sécurité

Do przeczytania w 4 min.
Placeholder for Office facade cloud reflectionOffice facade cloud reflection

Share

Tempo wprowadzania rozwiązań chmurowych w przedsiębiorstwach wciąż rośnie, co wynika z dążenia do zwiększania prężności i opłacalności infrastruktury IT. Duże znaczenie ma przy tym coraz większa dojrzałość rozwiązań typu IaaS, PaaS i SaaS. Najważniejsze czynniki ograniczające wprowadzanie rozwiązań chmurowych to obecnie bezpieczeństwo i zgodność z przepisami. Niedawne badanie wykazało, że 90% organizacji przechodzących na infrastrukturę chmurową lub rozważających takie przejście ma istotne lub bardzo istotne zastrzeżenia dotyczące bezpieczeństwa. Wątpliwości dotyczą tu ogólnego poziomu zabezpieczeń, ryzyka utraty i wycieków danych oraz braku kontroli nad danymi. Są też wymagania prawne, jak na przykład regulacja GDPR, które określają dopuszczalne lokalizacje danych i aplikacji oraz wymagany poziom ochrony.

Podstawą tradycyjnych architektur zabezpieczeń jest oddzielenie sieci publicznych od prywatnych przy założeniu, że istnieje niewielka liczba punktów połączenia ze światem zewnętrznych (czy wręcz tylko jedno połączenie). Punkty połączenia zabezpiecza się rozwiązaniami ochrony brzegowej, a dane i aplikacje w sieci wewnętrznej nie są dostępne z zewnątrz, ze ściśle określonymi wyjątkami w rodzaju połączeń VPN z zabezpieczonym hostem lub lokalizacją poza granicami sieci.

Zabezpieczenia rozwiązań chmurowych są ograniczone do zapewnienia bezpieczeństwa fizycznego i dostępności (np. ochrony przed atakami DDoS). Zabezpieczenie systemów, danych i aplikacji jest już obowiązkiem użytkownika wybranego rozwiązania chmurowego. Choć dostawca zapewnia niezbędne narzędzia zabezpieczające, wymagają one prawidłowego skonfigurowania, a w dodatku odpowiadają jedynie za podstawowe bezpieczeństwo związane z pracą w sieci.

Nowe podejście do bezpieczeństwa

Mówi się, że łańcuch jest tylko tak mocny, jak jego najsłabsze ogniwo — co jest szczególnie trafnym spostrzeżeniem w odniesieniu do zabezpieczeń. We wdrożeniach środowisk chmurowych przeważają rozwiązania hybrydowe (71%), co w praktyce oznacza, że dane i aplikacje przedsiębiorstwa mogą równie dobrze znajdować się wewnątrz sieci firmowej, co poza nią. Niezależnie od faktycznej lokalizacji zasobów konieczne jest utrzymywanie stałego, wysokiego poziomu bezpieczeństwa. Różne kryteria bezpieczeństwa wymagają różnych metod implementowania zabezpieczeń. Pojawiają się też poważne wyzwania związane z widocznością systemów, zarządzaniem i raportowaniem.

Choć wirtualne dołączenie rozwiązania chmurowego do zabezpieczonej sieci wewnętrznej jest możliwe (co ilustruje powyższy rysunek), taka architektura ma zastosowanie jedynie do rozwiązań IaaS, a w dodatku niweluje szereg istotnych korzyści z wykorzystania chmury. Zabezpieczenie takiego systemu jest względnie proste i wystarczają do tego standardowe funkcje oferowane przez większość dostawców chmury.

Bardziej skalowalne podejście polega na utworzeniu punktów bezpośredniego dostępu do chmury. Zaletą tej metody jest odciążenie lokalnego centrum danych i zwiększenie odporności, ale konieczne jest zabezpieczenie również dodatkowych punktów dostępu. Zaleca się też utworzenie dodatkowej warstwy ochrony oddzielającej oba silosy.

Typ i zakres niezbędnych zabezpieczeń zależy od rodzaju chronionych zasobów. Użytkownicy uzyskują dostęp do aplikacji i danych spoza sieci firmowej, w tym potencjalnie również z urządzeń zewnętrznych, więc chodzi już nie tylko o kontrolowanie, kto ma dostęp do jakich zasobów — teraz trzeba też uwzględniać rodzaj urządzenia oraz lokalizację użytkownika i dozwolone dla niego zastosowania danych.

Dostępne rozwiązania ochrony w chmurze typu wielochmurowych

Obecnie dostępne są liczne rozwiązania do zabezpieczania architektur wielochmurowych, od prostych zabezpieczeń sieciowych po ochronę z pełnym uwzględnianiem zawartości i kontekstu. Każde rozwiązanie ma swoją cenę — nie tylko faktyczny koszt zakupu, ale również (czy nawet przede wszystkim) cenę w postaci wprowadzanej złożoności operacyjnej. Oto najczęściej dziś spotykane kategorie rozwiązań zabezpieczających:

Zapory stanowe

Zapory stanowe zapewniają podstawową ochronę sieci poprzez dopuszczanie tylko połączeń między zdefiniowanymi punktami końcowymi nawiązywanych przy użyciu dozwolonych protokołów.

Zapory NextGen (NGFW)

Zapory NextGen rozszerzają zakres zabezpieczeń sieci. Poza przepuszczaniem tylko dozwolonych protokołów mogą one również sprawdzać używane aplikacje i rodzaj przesyłanych danych. Zapory NextGen ułatwiają też przypisywanie użytkowników do punktów końcowych, a tym samym kontrolowanie dostępu użytkowników do zasobów z uwzględnieniem metody dostępu.

Data loss prevention (DLP)

Systemy DLP (Data Loss Prevention) dodatkowo zwiększają bezpieczeństwo w porównaniu z zaporą NextGen. Ich działanie polega nie tylko na dopuszczaniu lub blokowaniu określonych aplikacji, ale również na aktywnej inspekcji przesyłanych danych z możliwością identyfikowania danych zabronionych. Dają one też obraz fizycznego rozmieszczenia danych, umożliwiając stosowne dopasowanie zabezpieczeń.

Content access security brokers (CASB)

CASB rozwiązuje problemy, które pojawiają się, gdy firmy zaczynają korzystać z aplikacji opartych na chmurze, a dane nie są już zamknięte w granicach firmy. Systemy CASB (Content Access Security Broker) pozwalają kontrolować nie tylko rodzaj danych przychodzących do organizacji i z niej wysyłanych, ale również lokalizacje docelowe i format tych danych.

Zabezpieczenia punktów końcowych

Działanie starszych rozwiązań zabezpieczeń punktów końcowych ograniczało się do blokowania szkodliwych treści na urządzeniu końcowym. Rozwiązania obecnie stosowane pozwalają też kontrolować rodzaj danych zapisywanych na urządzeniu końcowym i określać możliwości ich wykorzystania. W razie problemów z urządzeniem, na przykład kradzieży lub innego incydentu powodującego utratę kontroli nad nim, możliwe jest zablokowanie dostępu do danych w celu minimalizacji konsekwencji takiego zdarzenia.

Placeholder for Engineeroover shoulder laptopEngineeroover shoulder laptop

Każdy typ rozwiązania daje ochronę na innym poziomie, niekiedy kosztem pewnego pogorszenia wydajności i swobody użytkowania aplikacji. Poszczególne rozwiązania różnią się też proporcjami kosztów kapitałowych i operacyjnych ponoszonych przez organizację. Dla maksymalnej skuteczności każde rozwiązanie trzeba umieścić w strategicznie dobranym miejscu w obrębie infrastruktury IT. Stosowanie wielu rozwiązań w różnych częściach infrastruktury wymaga też osobnego rozwiązania zarządzającego, które zapewni spójność zabezpieczeń, pozwoli identyfikować słabe punkty i będzie natychmiast zgłaszać anomalie. Platforma zarządzania zabezpieczeniami jest też idealnym miejscem do automatyzacji kontroli zgodności z przepisami.

Usługi i rozwiązania w zakresie bezpieczeństwa w chmurze

Zapisz się do naszego newslettera

Otrzymuj najnowsze wiadomości na temat bezpieczeństwa, spostrzeżenia i trendy rynkowe do swojej skrzynki pocztowej.

Więcej aktualizacji