Банкеръ Daily

Свят

Как да се защитим, преминавайки към хибриден облак

Комбинацията от частна и публична облачна инфраструктура, която повечето компании или организации вече използват, поставя уникални предизвикателства пред сигурността. Много са причините, поради които те прегръщат идеята за публичния облак – от възможността за бърз растеж, без тежкото планиране на капацитета, до използването на гъвкавостта и бързината при предоставяне на услуги, ориентирани към клиента. Но тази употреба на облака може да направи така, че системите на компаниите са незащитени срещу заплахи.

Откакто регулаторните изисквания налагат определени приложения да останат на частна (on-prem) инфраструктура, много организации избират да поддържат комбинация от частна и публична инфраструктура. Освен това организациите обикновено използват няколко доставчици на „облаци” едновременно или запазват възможността за тяхната промяна.

Този смесен подход обаче поставя уникални и разнообразни предизвикателства пред киберсигурността. „Провайдърите” и частните облачни платформи предлагат възможности за различни начини за внедряване на системи за сигурност, заедно с различни инструменти за управление. Въпросът е как една организация или компания може да поддържа последователно управление и да прилага политики за контрол на информацията и на процесите  в различните „облаци”?

И как тя може да е сигурна в своята киберсигурност? За щастие има няколко стъпки, които професионалистите могат да предприемат, за да гарантират, че приложенията са непрекъснато защитени, като се започне от ранните етапи на разработка и се премине през целия цикъл на ползване.

 Старите инструменти за сигурност вече не са ефективни в облака

Инструментите за сигурност, които не са създадени в облака, са зле оборудвани за защита на приложения, работещи в него по много причини.

Първо, те не са в състояние да се справят със значително ускорените цикли на разработка на собствени облачни приложения в сравнение с традиционните водопадни методи. Освен това, в динамичната и разнообразна облачна среда решенията за сигурност вече не могат да очакват или разчитат на постоянна инфраструктура и местоположение.

Ако в миналото знаехме, че определен сървър изпълнява определено приложение (напр. Microsoft Exchange сървър или база данни), не можем да сме сигурни, че същият сценарий може да се прилага и днес. Съвременните решения за облачни приложения са обвързани със самото приложение, а не с неговия IP адрес или конкретното местоположение на сървъра.

Автоматизираното организиране на работните натоварвания означава, че дадена база данни може да работи в един контейнер сега и в друг, с различен IP адрес, само 10 минути по-късно. Или е възможно утре целият клъстер да се премести изцяло към друг доставчик на облак. Ето защо организациите трябва да използват по-модерни, специфични за облака решения, а не стари, които не са предназначени за него.

Собствени инструменти за киберсигурност на облачните доставчици: лимитиран отговор

 Всички основни доставчици на облачни услуги използват така наречения „модел на споделена отговорност“, който на много опростено ниво разграничава сигурността „на облака“ (отговорност на доставчика) и сигурността „в облака“ (отговорност на клиента).

„Споделена отговорност“ не означава споделена отчетност. Когато става въпрос за физическата сигурност на публичните облачни центрове за съхранение на данни, организациите не трябва да се тревожат, защото доставчиците на облаци ги управляват, осигурявайки им сигурност според най-високите стандарти, подобни на тези, използвани от големите банки и държавните агенции. Но за всичко останало отговорността е изцяло на клиентските организации – всъщност според някои прогнози до 2025 г. 99% от пробивите в облачната сигурност ще се дължат на поведението на клиента. Инструментите, предлагани от доставчиците на облачна сигурност (CSP), обикновено осигуряват частично покритие на нуждите на клиентите и увеличават зависимостта им от облачния доставчик, но не са еднакво ефективни при защитата на мулти-облачната среда, особено при частните облаци.

Новият „стек” предлага сигурност

Добрата новина е, че технологиите, които се използват за управление на новия стек, като контейнери и Kubernetes, позволяват по-добра сигурност, отколкото е било възможно досега, и с по-подробна видимост на детайлите и автоматизация. Те също така улесняват прехвърлянето на сигурност между частни и обществени облаци, гарантирайки, че контролите за сигурност се прилагат правилно. Тъй като контейнерите са създадени да бъдат преносими и Kubernetes е направен да оперира вътрешно с всяка облачна среда, ако прикачите инструментите за сигурност, които са специално проектирани да защитават вашите контейнери, можете да ги ползвате навсякъде еднакво ефективно, независимо къде се намират вашите приложения.

Подходът „роден в облака“

Сега компаниите не само се раждат в облака, но специално се стремят да осигурят новия стек в облака - от контейнери до виртуални машини и устройства без сървър.

Cloud Native Application Protection Platform (CNAPP) — защитава корпоративните приложения от атаки, които се увеличават с нарастването на облака. Докато бъдещето на облачната сигурност може да се каже, че е светло, настоящето е несигурно. Това се дължи на увеличаването на обема и сложността на атаките, които са насочени специално към облачната инфраструктура и веригите за доставки.

Уязвим или лошо конфигуриран Kubernetes може да бъде атакуван в рамките на по-малко от 20 минути. Тези сложни атаки могат да доведат до различни злонамерени резултати, от копаене на криптовалута до кражба на идентификационни данни и от инсталиране на вируси, до преминаване през мрежата.

Изоставането между надпреварата за складиране на повече работни натоварвания в облака и способността за тяхната сигурност произтича от дефицита на знания и умения, но има платформи за преодоляване на тези пропуски. По-важното е, че компаниите могат да постигнат безпрецедентно високо ниво на сигурност в резултат на високата автоматизация, която цели намаляването на пораженията от атаката и способността за откриване на най-малкото отклонение или поведенчески аномалии в компонентите на приложението. Методите за сигурност, които са неразделна част от разработването, внедряването и изпълнението на облачни приложения, са верният път напред.

 

Facebook logo
Бъдете с нас и във