Гибридные облачные вычисления позволяют организациям развертывать конфиденциальные рабочие нагрузки локально или в частном облаке, а менее важные для бизнеса ресурсы размещать в общедоступных облаках. Но, несмотря на многочисленные преимущества, гибридная среда также создает проблемы с безопасностью. Соучредитель и технический директор AlgoSec профессор Авишай Вул делится своим экспертным мнением по этим проблемам и предлагает передовые методы повышения безопасности гибридного облака.
Гибридные облачные вычисления объединяют локальную инфраструктуру, частные облачные службы и одно или несколько общедоступных облаков. Гибридный подход обеспечивает компаниям повышенную гибкость, динамичность, экономию средств и масштабируемость для инноваций, роста и получения конкурентных преимуществ. Итак, как можно упростить и усилить операции по обеспечению безопасности в гибридном облаке?
Все начинается с видимости — вы все равно не сможете защитить то, чего не видите
Чтобы защитить всю гибридную инфраструктуру, приложения, рабочие нагрузки и данные, специалистам по безопасности необходимо знать, что это за активы и где они находятся. Им также необходимо видеть весь гибридный комплекс, а не только отдельные элементы.
Однако полная видимость — серьезная проблема безопасности гибридного облака. Гибридные среды очень сложны, что может создавать слепые зоны безопасности, которые затем мешают командам выявлять, оценивать и, что наиболее важно, снижать риски.
Еще одна проблема безопасности гибридного облака заключается в том, что вы не можете реализовать фрагментированный подход к безопасности для контроля всей сети. При обмене тысячами интегрированных и взаимозависимых ресурсов и данных между ними возникают уязвимости, увеличивая риск кибератак или взломов. Для полной безопасности гибридного облака вам нужен целостный подход, который поможет вам контролировать всю сеть.
Является ли DevSecOps панацеей? Не совсем
Во многих организациях группы DevSecOps управляют облачной безопасностью, потому что у них есть представление о том, что происходит внутри облака. Однако в гибридном облаке многие приложения имеют серверы или клиенты, существующие за пределами облака, которые DevSecOps может не видеть. Кроме того, защита данных, входящих и исходящих из облака, не всегда входит в их компетенцию.
Чтобы восполнить эти пробелы, другие команды должны управлять операциями безопасности и минимизировать риски гибридного облака. Эти дополнительные процессы и члены команды должны быть скоординированы, чтобы обеспечить непрерывную безопасность во всей гибридной сетевой среде. Но это легче сказать, чем сделать.
Использование IaC для баланса между автоматизацией и надзором является ключевым, но вот почему вы не должны полагаться исключительно на него
Инфраструктура как код (IaC) поможет вам автоматически развертывать элементы управления безопасностью в гибридном облаке, чтобы предотвратить ошибки неправильной настройки, несоблюдение требований и нарушения на этапе производства и перед тестированием приложений. С помощью безопасности на основе IaC вы можете определить передовые методы безопасности в файлах шаблонов, что сведет к минимуму риски и повысит уровень вашей безопасности.
Но есть неотъемлемый риск сложить все яйца в корзину автоматизации и IAC. Из-за того, что все элементы управления находятся на операционной стороне, это может создать серьезные проблемы с безопасностью гибридного облака. И без человеческого внимания и действий уязвимости могут остаться неустраненными и открыть дверь для кибератак.
Поскольку за облачной средой должны следить специалисты по безопасности, не занимающиеся оперативной работой, это может легко привести к недопониманию и человеческим ошибкам, что очень дорого обходится организациям. Именно по этой причине вы также должны внедрить процесс регулярного развертывания автоматических обновлений, не требующих длительных утверждений, которые замедляют рабочие процессы и ослабляют безопасность. Стремитесь к тому, чтобы 95 % изменений были автоматизированы, а для оставшихся 5 %, требующих участия человека, привлекайте человека.
Рекомендации по обеспечению безопасности гибридного облака
При переходе с локальной среды на облачную вы можете выбрать миграцию с нуля или миграцию с переносом. Greenfield означает развертывание совершенно нового приложения. В этом случае убедитесь, что соображения безопасности «заложены» с самого начала и во всех процессах. Этот подход «сдвиг влево» помогает создать безопасную среду с самого начала. Это гарантирует, что все члены команды придерживаются единого набора правил политики безопасности, чтобы свести к минимуму уязвимости и снизить риски безопасности в гибридной облачной среде.
Если вы переносите локальные приложения в облако, обратите внимание на все предположения о безопасности, сделанные при их разработке. Это важно, потому что они не были созданы для облака и могут включать протоколы, повышающие риски безопасности. Затем примите соответствующие меры во время планирования миграции. Например, внедрите Application Load Balancer, если приложения используют протоколы с открытым текстом, и используйте sidecars для шифрования приложений без изменения исходной кодовой базы. Вы также можете использовать решения безопасности гибридного облака для обнаружения и устранения проблем безопасности в режиме реального времени.
Сопоставление вашей облачной безопасности со структурой приложения больше не является обязательным
Прежде чем перейти к гибридному облаку, сопоставьте бизнес-логику, структуру приложений и владельцев приложений с сетевой структурой гибридного облака. Чтобы упростить этот процесс, вот несколько проверенных способов.
- Разбейте свою среду на виртуальное частное облако (VPC) или виртуальную сеть. С помощью VPC вы можете отслеживать подключения, фильтровать трафик, создавать несколько подсетей, а также ограничивать доступ к экземплярам для повышения уровня безопасности.
- Используйте сетевые конструкции для разделения приложений на различные функциональные и сетевые области в облаке. Таким образом, вы можете развернуть сетевые элементы управления, чтобы сегментировать свое облачное пространство и гарантировать, что только авторизованные пользователи могут получить доступ к конфиденциальным данным и ресурсам.
- Маркируйте все ресурсы на основе их операционной системы, бизнес-подразделения и географического региона. Теги с описательными метаданными могут помочь идентифицировать ресурсы. Они также устанавливают право собственности и подотчетность, обеспечивают прозрачность использования облачных сред и помогают в развертывании политик безопасности.
Вывод
В современной быстро меняющейся бизнес-среде гибридные облачные вычисления могут принести вашей организации множество преимуществ. Но чтобы воспользоваться этими преимуществами, вы должны приложить усилия для повышения безопасности гибридного облака. Включите рассмотренные здесь рекомендации, чтобы улучшить безопасность и в полной мере использовать преимущества гибридной среды.
Чтобы узнать больше о безопасности гибридного облака, прослушайте Подкаст «Уроки кибербезопасности» или посетите центр ресурсов гибридного облака AlgoSec здесь.
Источник: https://bit.ly/3GOmdNH
