Инновации 23 июля 2020

Как обеспечить безопасность облачных ресурсов при переходе на удаленную работу

Облака, особенно мультиоблачные системы, продолжают играть важную роль в цифровой трансформации, проводимой бизнесом. В этом году это особенно актуально, поскольку компании столкнулись с необходимостью оперативно переводить множество сотрудников на удаленную работу
Как обеспечить безопасность облачных ресурсов при переходе на удаленную работу
Облака, особенно мультиоблачные системы, продолжают играть важную роль в цифровой трансформации, проводимой бизнесом
actian.com

Одна из ключевых проблем, связанных с возросшей зависимостью от облачных ресурсов, — создание и поддержание постоянной безопасности, включая унифицированную видимость и контроль, чтобы замечать и смягчать угрозы и беспрепятственно устранять неправильные настройки. Мы обсудили проблемы безопасности облачных вычислений, с которыми сталкиваются CISO (Chief Information Security Office, директор по информационной безопасности) в процессе работы с организациями по всему миру, с тремя представителями Fortinet Field CISO: Кортни Радке, Джо Робертсоном и Аленом Санчесом.

 

— Что думают CISO по поводу безопасности облачных вычислений в 2020 году?

Ален Санчес: Около двух лет назад я услышал, как коллеги CISO говорили, что они возвращают на место некоторые компоненты, которые перенесли в облако в рамках цифрового преобразования. Станет ли это трендом? Мы должны были это выяснить. Поэтому компания Fortinet заказала исследование, проведенное независимой компанией, которая опросила 350 человек, принимающих решения по всему миру (не обязательно клиентов Fortinet), и результаты были удивительными. Они показали, что 72 процента респондентов фактически перенесли хотя бы один компонент обратно из облака, начиная с данных и заканчивая приложениями и процессами.

Однако эта интересная цифра не означает, что их путешествие в облака прекратилось. Облака по-прежнему самая серьезная IT-тенденция из всех, что мы когда-либо наблюдали, она ярко проявляется и в 2020 году, по данным Gartner.

История это больше похожа на качели: корпорации рассматривают облако как полноценную, но не требующую капитальных расходов лабораторию инноваций — место, где они могут протестировать и измерить скорость взлета новых услуг, а затем решить, оставить ли это в облаке или вернуть обратно. Тем не менее тут можно сделать одно важное предостережение: нельзя пренебрегать безопасностью в обмен на гибкость. В тот момент, когда вам нужно вручную переиздать, передислоцировать и перепроверить один из элементов вашей политики безопасности, вы теряете преимущества этой свободы.

САНЧЕС.jpg
Ален Санчес
Fortinet

Джо Робертсон: Возникла еще одна важная проблема: CISO сейчас сосредоточены на том, как обезопасить удаленных сотрудников, которые получают доступ к приложениям на базе облака из дома. Эта проблема появилась внезапно, заслонив, но не устранив другие проблемы, связанные с облаками, так что я хочу рассказать об основных проблемах, о которых слышу от CISO, не зависящих от кризиса, вызванного COVID-19.

Во-первых, это управление средами компьютерного облака и обеспечение согласованности политик для рабочих нагрузок, независимо от того, в каком компьютерном облаке или центре обработки данных они работают.

Во-вторых, это вопросы, связанные с соответствием нормативным требованиям по защите данных (особенно персонально идентифицируемой информации) при их перемещении в облако или из него.

Во-вторых, это обеспечение защиты данных в SaaS-приложениях. CISO имеют дело с запутанной комбинацией облачных провайдеров и SaaS-приложений, и это означает, что они ищут решения, обеспечивающие им видимость и контроль безопасности в многооблачных средах. Они также ищут способы предоставления отчетности о соответствии требованиям, которые предъявляют советы директоров и регулирующие органы.

Кортни Радке: Есть три основные проблемы, которые я чаще всего слышал от CISO, поскольку они связаны со стратегией безопасности облака. Несмотря на пандемию COVID-19, CISO довольно хорошо понимают, что повышение маневренности (и получение прибыли) было главной задачей для компаний, которые хотят создать или расширить свое цифровое пространство, чтобы лучше достучаться до клиента. Это означало, что они должны были быть готовы к быстрому продвижению, когда дело доходило до правильной оценки риска и полной реализации стратегии безопасности облака. Это требует времени, и, как мы все знаем, бизнес всегда хочет двигаться быстрее.

magnifier.png Результаты исследования были удивительными. Они показали, что 72 процента респондентов фактически перенесли один компонент обратно из облака, начиная с данных и заканчивая приложениями и процессами

У CISO, которые методично планировали свои стратегии безопасности облака, вдруг не осталось времени на обсуждение «облако или не облако». Это проблема номер один — отсутствие времени для планирования.

Проблема номер два — нехватка ресурсов и компетенций. В связи с преобладанием многооблачных вычислений командам безопасности необходимо было стать экспертами (или нанять таковых) в различных архитектурах, инструментах и интеграции облачных вычислений, которые могут быстро стать слишком большой нагрузкой для команд, которые и так уже загружены.

Чтобы ускорить миграцию в облако и увеличить численность команд, связанных с безопасностью, предприятия обращаются за помощью и рекомендациями к третьим лицам (особенно это стало актуальным во время пандемии). Сейчас как никогда важно тщательно проверять и регулярно оценивать эти партнерские отношения, чтобы убедиться, что их стандарты безопасности соответствуют стандартам вашего бизнеса или превосходят их. Открытие среды для интеграции с многочисленными третьими сторонами может решить временные проблемы и даже стать частью долгосрочной бизнес-стратегии. Тем не менее необходимо позаботиться о том, чтобы избежать момента «не видно леса за деревьями». Партнерские соглашения и политики безопасности не могут отвечать лишь сиюминутным проблемам, они должны развиваться вместе с компанией.

— Чему вас научили последние события, такие как масштабирование удаленной работы и смещение IT-ландшафта с точки зрения обеспечения безопасности облачных вычислений?

А. С.: Массовость перехода на дистанционную работу застала врасплох даже самых дальновидных CISO. Дело в том, что инфраструктура и политика удаленной работы никогда не были рассчитаны на то, чтобы вся планета вдруг начала работать из дома. Но удивление переросло в действие через несколько недель. С помощью экспертизы все большего числа известных CISO мы разработали принципы методологии, чтобы справиться с этим, обеспечивая при этом непрерывность бизнеса и защиту данных.

РОБЕРТСОН.jpg
Джо Робертсон
Fortinet

Д. Р.: Да, в последнее время большинство действий CISO были направлены на то, чтобы обеспечить безопасную работу удаленных сотрудников. Сейчас этот период «все на палубе» заканчивается, и становится понятно, в какой экономической ситуации мы оказались. На некоторые категории бизнеса кризис оказал позитивный эффект, но для большинства его последствия варьируются от тяжелых до катастрофических. Компаниям повсеместно приходится затягивать пояса, и организации, занимающиеся информационными технологиями и безопасностью, не застрахованы от этого.

magnifier.png У CISO, которые методично планировали свои стратегии безопасности облака, вдруг не осталось времени на обсуждение «облако или не облако». Это проблема номер один — отсутствие времени для планирования

Хакерское сообщество, любительское и профессиональное, не было ослаблено кризисом, поэтому сокращение расходов на корпоративную кибербезопасность кажется чем-то из разряда «шампанское пьем, а на спичках экономим». Тем не менее, когда доходы компании резко падают, необходимо принимать непростые решения. Именно поэтому многие CISO, с которыми я общаюсь, обратили серьезное внимание на вопросы инвестирования в инструменты автоматизации.

При таком большом количестве пользователей, получающих доступ к ресурсам компьютерного облака из дома, за пределами хорошо защищенных офисных подключений, видимость того, что происходит с рабочими нагрузками в компьютерном облаке, кто получает к ним доступ, а также автоматизированный анализ деятельности в компьютерном облаке важны как никогда. Решение на основе оповещений может занять у аналитика от двадцати минут до нескольких часов и более. Инструменты автоматизации могут справиться со многими предупреждениями за считанные секунды, оставляя только самое трудноразрешимое для аналитиков SOC.

К. Р.: Недавние события действительно были из разряда «готовы или нет, а мы уже здесь», когда речь зашла о том, чтобы справиться с огромным количеством пользователей, получающих доступ к цифровым рабочим нагрузкам и витринам магазинов. Для многих компаний это был один из немногих способов взаимодействия с клиентами, поэтому устойчивость бизнеса зависела от доступности и повышения привлекательности их предложений, чтобы привлечь больше трафика. Такая потребность в привлечении клиентов, возможно, немного смягчила правила, когда речь зашла о безопасности, чтобы уменьшить проблемы с заключением сделок.

magnifier.png Если пользователи не могли быстро добраться до того, что им нужно, с помощью одобренных методов, таких как VPN, то они начинали искать свои собственные способы сделать это. Точно так же и с облаком: если бы это был не лучший способ, не наиболее привлекательный вариант, то пользователи нашли бы другой вариант

Изменились и модели потребительского поведения, поэтому исходные данные о пиковых часах покупок или входе в приложения, возможно, выглядели совсем иначе, чем три месяца назад. Это происходило параллельно с быстрым увеличением числа удаленных работников и необходимостью обеспечить безопасный доступ к критически важным системам и информации без проблем с производительностью. Если пользователи не могли быстро добраться до того, что им нужно, с помощью одобренных методов, таких как VPN, то они начинали искать свои собственные способы сделать это. Точно так же и с облаком: если бы это был не лучший способ, не наиболее привлекательный вариант, то пользователи нашли бы другой вариант. Это означало, что политики, связанные с часами доступа, длительностью, количеством сеансов и так далее, нужно было пересматривать и обновлять. К тому же сети с нулевым уровнем доверия в сочетании с адаптивными технологиями аутентификации позволяли пользователям получать то, что им нужно, не допуская при этом роста числа участников угроз.

— Что самое важное для CISO в плане обеспечения безопасности облака?

А. С.: Чаще всего CISO говорят о страхе перед невозможностью вернуться в прошлое: «В тот момент, когда я начну осуществлять все преимущества моей облачной стратегии, стоимости, гибкости, статистики в реальном времени, смогу ли я сохранить полный контроль над своей стратегией?»

Я напоминаю этим своим коллегам, что роль Fortinet заключается не в том, чтобы так или иначе влиять на их облачную стратегию. Мы чистый игрок в области безопасности, и наша миссия заключается в обслуживании любого облачного сценария, принятого нашими клиентами: «родного» облака, гибридного облака или любой комбинации вышеперечисленного. Цель — обеспечение последовательной и надежной безопасности, включая видимость и контроль, независимо от используемой ими облачной стратегии.

КОРТНИ.jpg
Кортни Радке
Fortinet

Д. Р.: Я обнаружил, что независимо от того, какие облачные среды есть у клиентов, в какой-то момент мы всегда говорим о гибкой разработке программного обеспечения и DevOps (DEVelopment OPeration — набор практик для повышения эффективности процессов разработки и эксплуатации программного обеспечения за счет их непрерывной интеграции и активного взаимодействия профильных специалистов с помощью инструментов автоматизации. — «Стимул»), которые могут быть сложными для команды безопасности, особенно с учетом того, что многие приложения работают в одном или нескольких облаках. Все пытаются заставить разработчиков вовлечь безопасность в процесс разработки на ранних стадиях, причем некоторые из них добиваются большего успеха, чем другие.

Этот сдвиг подразумевает участие экспертов по безопасности вместе с командой разработчиков в начале цикла. Как вы понимаете, при столь значительной разработке с использованием открытого исходного кода, публичных библиотек, API к другим приложениям и так далее, обеспечение безопасности современного приложения — это основная задача. Даже просто получить представление о том, что происходит с различными рабочими нагрузками, — это уже сложная задача.

magnifier.png Мы чистый игрок в области безопасности, и наша миссия заключается в обслуживании любого облачного сценария, принятого нашими клиентами: «родного» облака, гибридного облака или любой комбинации вышеперечисленного. Цель — обеспечение последовательной и надежной безопасности, включая видимость и контроль, независимо от используемой ими облачной стратегии

К. Р.: Недавно я разговаривал с коллегой, который прошел полный аудит облаков, и результаты были, мягко говоря, поучительными. Они обнаружили, что более 30 процентов облачных рабочих нагрузок, связанных с компанией, были либо сильно недоиспользованы, неправильно сконфигурированы, либо, и это самая страшная часть, неизвестны. Они сразу же подумали: «Какой же могла быть экономия затрат, если бы мы правильно подобрали размеры этих сред?» Несмотря на то что это совершенно верная точка зрения, которую сегодня, скорее всего, разделяют многие компании, я подумал: «Вы хоть представляете себе, какое положительное влияние очистка этой среды окажет на вашу безопасность?»

Это называется разрастанием облака, оно становится все больше по мере того, как распространяются облачные вычисления, подобно виртуальным вычислениям и традиционным серверным архитектурам, существовавшим до них. Любой человек может раскручивать новые облачные ресурсы, которые позволяют выполнять быстрые и гибкие бизнес-операции, но они также открывают двери для угроз.

Темы: Инновации

Еще по теме:
27.03.2024
Американский стартап Boom Supersonic провел первый успешный тестовый полет своего экспериментального демонстратора XB-1....
13.03.2024
Ученые Томского политехнического университета создали установку для дезактивации радиационно загрязненного бетона
05.03.2024
Уральские ученые разработали портативную платформу для экспресс-диагностики вирусных и бактериальных заболеваний. Платфо...
01.03.2024
Американская корпорация Apple решила свернуть долгосрочный секретный проект по самостоятельной разработке электромобилей...
Наверх