Jak na lepší zabezpečení cloudových operací
Jedním z klíčových aspektů zajištění bezpečnosti v cloudu je schopnost začlenit bezpečnost do architektury cloudu a jeho provozních procesů. Tím jednak zajistíte, že budou pokryty základní ochranné mechanismy, a jednak budete schopni systém bezpečnosti snadno zavést a spravovat.
Existují zákazníci, kteří používají odlišný přístup. Na jedné straně to jsou organizace, které využívají výhradně cloudové prostředí, anebo organizace, které mají pro cloud pouze izolované případy použití. V obou scénářích se bezpečnost vyžaduje pouze pro toto prostředí a organizace v zásadě začínají úplně od začátku, když hledají, která bezpečnostní pravidla pro ně mají smysl. V takových případech hledejte bezpečnostní řešení, které má velký předkonfigurovaný soubor pravidel a které má schopnost doporučit, jaká bezpečnostní opatření budou mít v daném prostředí smysl a současně vyhoví podnikovým bezpečnostním standardům a požadavkům v oblasti shody s legislativními normami.
Existují však i organizace, které fungují v hybridním světě a snaží se vymyslet, jak svoji informační architekturu za využití cloudu rozšířit. V těchto případech již bývají v organizaci určitá bezpečnostní pravidla a opatření zavedena a je tyto podnikové normy dodržet. Zde je klíčové, aby byla organizace schopna najet na nový bezpečnostní systém rychle, vyhnula se duplicitním bezpečnostním procesům a vytvořila konzistentní pravidla a bezpečnost všech prostředí – cloudového, virtuálního i fyzického.
“Bezpečnostní řešení by mělo mít schopnost okamžitě zajistit ochranu pro nové instance, které do prostředí přidáte – bez ohledu na to, zda manuálně nebo automaticky. Ochrana by také měla být schopna být specifická podle toho, jak bude daná instance používána. Například instance používané v produkčním prostředí budou mít zřejmě jiné požadavky než instance používané k vývoji,” vysvětlil Rik Ferguson, Global VP Security Research ve společnosti Trend Micro. “S tím, jak se konkrétní prostředí stále více automatizuje za použití správních nástrojů typu Chef, Puppet nebo OpsWorks, měla by i bezpečnostní řešení mít schopnost být těmito nástroji spravována,” dodal.
Pro zavedení a efektivní správu cloudových technologií je podle společnosti Trend Micro důležité klást důraz na:
- doporučení, aby cloudová bezpečnost vyhovovala stávajícím bezpečnostním pravidlům ohledně jednotlivých instancí (zredukuje práci při implementaci řešení);
- schopnost využít bezpečnostní pravidla celého vašeho hybridního prostředí (zamezí se duplicitním aktivitám a procesům);
- systém nepřetržité bezpečnosti (Instant-on security) pro automatické nasazení bezpečnostních pravidel;
- schopnost automaticky porovnávat vhodnost bezpečnostních politik pro jednotlivé instance;
- integraci s nástroji pro správu cloudu typu Chef nebo Puppet (bezpečnost se intenzivněji začlení do provozních proces);
- kontrolní panely, reporty a výstrahy pro poskytování přehledu o bezpečnosti prostředí v reálném čase s důrazem na místa, kterým je potřeba věnovat pozornost.
Neměli bychom také zapomínat na bezpečnost aplikací. S tím, jak se do prostředí cloudu přesunují i produkční aplikace, stává se nepřetržitá ochrana těchto aplikací pro organizaci životně důležitou. Pokud jde o aplikace, které jsou k dispozici přes web a poskytují zákazníkům, partnerům nebo globálním zaměstnancům možnost sdílet informace, pak nestačí jen mít zaveden systém pro detekci potenciálních hrozeb nebo provádět občasné testování průniků – zejména když počet aplikací narůstá. Jakmile se aplikace dostane do produkčního režimu, doporučuje se mít systém nepřetržité ochrany a detekce potenciálních zranitelností, který doplní testování průniků a statické testování prováděné během vývoje aplikace. Jak bylo zmíněno výše, doporučuje se také šifrování komunikačního kanálu mezi prohlížeči, webovou aplikací a databází, typicky za použití SSL od ověřeného poskytovatele.
