Ochrona środowisk wielochmurowych

Bezpieczeństwo danych w środowiskach wielochmurowych.

Wspomaganie innowacji i prężności w każdym środowisku chmurowym.

Tempo wprowadzania rozwiązań chmurowych w przedsiębiorstwach wciąż rośnie, co wynika z dążenia do zwiększania prężności i opłacalności infrastruktury IT. Duże znaczenie ma przy tym coraz większa dojrzałość rozwiązań typu IaaS, PaaS i SaaS. Najważniejsze czynniki ograniczające wprowadzanie rozwiązań chmurowych to obecnie bezpieczeństwo i zgodność z przepisami. Niedawne badanie wykazało, że 90% organizacji przechodzących na infrastrukturę chmurową lub rozważających takie przejście ma istotne lub bardzo istotne zastrzeżenia dotyczące bezpieczeństwa. Wątpliwości dotyczą tu ogólnego poziomu zabezpieczeń, ryzyka utraty i wycieków danych oraz braku kontroli nad danymi. Są też wymagania prawne, jak na przykład regulacja GDPR, które określają dopuszczalne lokalizacje danych i aplikacji oraz wymagany poziom ochrony.

Podstawą tradycyjnych architektur zabezpieczeń jest oddzielenie sieci publicznych od prywatnych przy założeniu, że istnieje niewielka liczba punktów połączenia ze światem zewnętrznych (czy wręcz tylko jedno połączenie). Punkty połączenia zabezpiecza się rozwiązaniami ochrony brzegowej, a dane i aplikacje w sieci wewnętrznej nie są dostępne z zewnątrz, ze ściśle określonymi wyjątkami w rodzaju połączeń VPN z zabezpieczonym hostem lub lokalizacją poza granicami sieci.

Zabezpieczenia rozwiązań chmurowych są ograniczone do zapewnienia bezpieczeństwa fizycznego i dostępności (np. ochrony przed atakami DDoS). Zabezpieczenie systemów, danych i aplikacji jest już obowiązkiem użytkownika wybranego rozwiązania chmurowego. Choć dostawca zapewnia niezbędne narzędzia zabezpieczające, wymagają one prawidłowego skonfigurowania, a w dodatku odpowiadają jedynie za podstawowe bezpieczeństwo związane z pracą w sieci.

Nowe podejście do bezpieczeństwa.

Mówi się, że łańcuch jest tylko tak mocny, jak jego najsłabsze ogniwo — co jest szczególnie trafnym spostrzeżeniem w odniesieniu do zabezpieczeń. We wdrożeniach środowisk chmurowych przeważają rozwiązania hybrydowe (71%), co w praktyce oznacza, że dane i aplikacje przedsiębiorstwa mogą równie dobrze znajdować się wewnątrz sieci firmowej, co poza nią. Niezależnie od faktycznej lokalizacji zasobów konieczne jest utrzymywanie stałego, wysokiego poziomu bezpieczeństwa. Różne kryteria bezpieczeństwa wymagają różnych metod implementowania zabezpieczeń. Pojawiają się też poważne wyzwania związane z widocznością systemów, zarządzaniem i raportowaniem.

 Choć wirtualne dołączenie rozwiązania chmurowego do zabezpieczonej sieci wewnętrznej jest możliwe (co ilustruje powyższy rysunek), taka architektura ma zastosowanie jedynie do rozwiązań IaaS, a w dodatku niweluje szereg istotnych korzyści z wykorzystania chmury. Zabezpieczenie takiego systemu jest względnie proste i wystarczają do tego standardowe funkcje oferowane przez większość dostawców chmury.

Bardziej skalowalne podejście polega na utworzeniu punktów bezpośredniego dostępu do chmury. Zaletą tej metody jest odciążenie lokalnego centrum danych i zwiększenie odporności, ale konieczne jest zabezpieczenie również dodatkowych punktów dostępu. Zaleca się też utworzenie dodatkowej warstwy ochrony oddzielającej oba silosy.

Typ i zakres niezbędnych zabezpieczeń zależy od rodzaju chronionych zasobów. Użytkownicy uzyskują dostęp do aplikacji i danych spoza sieci firmowej, w tym potencjalnie również z urządzeń zewnętrznych, więc chodzi już nie tylko o kontrolowanie, kto ma dostęp do jakich zasobów — teraz trzeba też uwzględniać rodzaj urządzenia oraz lokalizację użytkownika i dozwolone dla niego zastosowania danych.

Obecnie dostępne są liczne rozwiązania do zabezpieczania architektur wielochmurowych, od prostych zabezpieczeń sieciowych po ochronę z pełnym uwzględnianiem zawartości i kontekstu. Każde rozwiązanie ma swoją cenę — nie tylko faktyczny koszt zakupu, ale również (czy nawet przede wszystkim) cenę w postaci wprowadzanej złożoności operacyjnej. Oto najczęściej dziś spotykane kategorie rozwiązań zabezpieczających:

  • Zapory stanowe zapewniają podstawową ochronę sieci poprzez dopuszczanie tylko połączeń między zdefiniowanymi punktami końcowymi nawiązywanych przy użyciu dozwolonych protokołów.
  • Zapory NextGen rozszerzają zakres zabezpieczeń sieci. Poza przepuszczaniem tylko dozwolonych protokołów mogą one również sprawdzać używane aplikacje i rodzaj przesyłanych danych. Zapory NextGen ułatwiają też przypisywanie użytkowników do punktów końcowych, a tym samym kontrolowanie dostępu użytkowników do zasobów z uwzględnieniem metody dostępu.
  • Systemy DLP (Data Loss Prevention) dodatkowo zwiększają bezpieczeństwo w porównaniu z zaporą NextGen. Ich działanie polega nie tylko na dopuszczaniu lub blokowaniu określonych aplikacji, ale również na aktywnej inspekcji przesyłanych danych z możliwością identyfikowania danych zabronionych. Dają one też obraz fizycznego rozmieszczenia danych, umożliwiając stosowne dopasowanie zabezpieczeń.
  • Systemy CASB (Content Access Security Broker) pozwalają kontrolować nie tylko rodzaj danych przychodzących do organizacji i z niej wysyłanych, ale również lokalizacje docelowe i format tych danych. W ten sposób można na przykład określić, czy dozwolone jest przechowywanie pewnych informacji w postaci nieszyfrowanej w serwisie Box.com, oraz ustalić zakres ich udostępniania, np. wszystkim użytkownikom z firmowym kontem Box.com lub tylko wybranym grupom.
  • Zabezpieczenia punktów końcowych. Działanie starszych rozwiązań zabezpieczeń punktów końcowych ograniczało się do blokowania szkodliwych treści na urządzeniu końcowym. Rozwiązania obecnie stosowane pozwalają też kontrolować rodzaj danych zapisywanych na urządzeniu końcowym i określać możliwości ich wykorzystania. W razie problemów z urządzeniem, na przykład kradzieży lub innego incydentu powodującego utratę kontroli nad nim, możliwe jest zablokowanie dostępu do danych w celu minimalizacji konsekwencji takiego zdarzenia.

Każdy typ rozwiązania daje ochronę na innym poziomie, niekiedy kosztem pewnego pogorszenia wydajności i swobody użytkowania aplikacji. Poszczególne rozwiązania różnią się też proporcjami kosztów kapitałowych i operacyjnych ponoszonych przez organizację. Dla maksymalnej skuteczności każde rozwiązanie trzeba umieścić w strategicznie dobranym miejscu w obrębie infrastruktury IT. Stosowanie wielu rozwiązań w różnych częściach infrastruktury wymaga też osobnego rozwiązania zarządzającego, które zapewni spójność zabezpieczeń, pozwoli identyfikować słabe punkty i będzie natychmiast zgłaszać anomalie. Platforma zarządzania zabezpieczeniami jest też idealnym miejscem do automatyzacji kontroli zgodności z przepisami.

Infradata może pomóc

Firma Infradata ma już 13 lat doświadczenia w dziedzinie rozwiązań zabezpieczających. Pomagamy naszym klientom w identyfikowaniu wyzwań związanych z rozszerzaniem infrastruktury IT na środowiska chmurowe. Dysponujemy niezbędną wiedzą fachową do zaprojektowania skutecznego wielochmurowego rozwiązania zabezpieczeń uwzględniającego wszystkie istotne czynniki ryzyka, które będzie przy tym łatwe we wdrożeniu, zarządzaniu i rozbudowie. Może to być rozwiązanie budowane samodzielnie przez klienta, rozwiązanie zarządzane lub rozwiązanie mieszane łączące elementy obu tych podejść.

Kontakt handlowy

Porozmawiaj z ekspertem branżowym. Zadzwoń do nas lub zostaw wiadomość. Nasz zespół jest gotowy na twój biznes.

Dlaczego Infradata

Perfekcyjna realizacja projektów

Skuteczna realizacja projektów dzięki unikatowej metodologii wdrożenia

Bezpośredni dostęp do specjalistów

Wykwalifikowana kadra inżynierska posiadająca odpowiednie certyfikaty oraz doskonałą znajomość branży.

Wszechstronność i efektywność

Najwyższa jakość, szybkość działania i dopasowanie do potrzeb klienta.

Niezależność w działaniu

Projektujemy i dostarczamy najlepsze rozwiązania z bogatej oferty naszych partnerów.

Kompleksowe podejście do bezpieczeństwa

Od punktu końcowego do brzegu sieci.

Udokumentowane doświadczenie

Dostarczamy usług i rozwiązań na całym świecie.

Ready to talk?

Get in touch with us today.

Give us a call or leave a message. Our team is ready for your business.

Leave message Call now Request Quote