Коли «достатньо добре» не достатньо для безпеки міграції в хмару. Частина І

Що потрібно зробити, щоб захистити хмарну мережу під час і після міграції у хмару? Це питання стає ще більш складним, оскільки більшість організацій мігрують до гібридних та мультихмарних хмар, які зараз використовуються 76% підприємств, порівняно з 62% рік тому, згідно з даними ISC.

 

Існує три основні напрямки, які можна обрати для захисту хмарних мереж та міграції:

• Захистити свої активи за допомогою рішень безпеки, що надаються постачальником хмарних послуг.
• Інвестувати в підхід «зроби сам».
• Співпрацювати з постачальником, який спеціалізується на кібербезпеці.

Кожен варіант має свої переваги та недоліки, і його слід оцінювати з точки зору вимог організації та «найкращої відповідності», а також того, наскільки добре кожен з них підтримує різні рівні хмарної безпеки.

 

Перший варіант означає те, що замовник покладається на інструменти та послуги, що надаються хмарним постачальником, для захисту від кіберзагроз. Наприклад, якщо використовується AWS, то рішення для захисту від хмарних загроз від цього оператора включають AWS GuardDuty та AWS Security Hub.

 

Серед основних переваг таких рішень можна відмітити наступні.

 

Рішення безпеки, створені кожним постачальником хмарних послуг, розроблені спеціально для хмарних сервісів, які він пропонує. Як наслідок, вони вміють виявляти загрози та ризики, які найчастіше спрямовані саме на ці сервіси. Наприклад, рішення хмарного оператора може мати особливо глибоке розуміння структури IAM цієї хмари, що робить його здатним виявляти помилки конфігурації або «погані» практики, які інші рішення можуть проігнорувати.

    

Інструменти та сервіси безпеки хмарних постачальників зазвичай легко інтегруються з хмарою, яку вони підтримують, оскільки ці рішення вбудовані безпосередньо в структуру цієї хмари. Вони зазвичай інтегруються з іншими подібними хмарними сервісами, хоча для цього може знадобитися використання декількох користувацьких інтерфейсів і порталів.

 

Інструменти хмарних постачальників можуть масштабуватися майже безмежно, що є перевагою, коли потрібно захищати дуже великі робочі навантаження та контролювати мережевий трафік з високою пропускною спроможністю.

    

Оскільки рішення є частиною власних сервісів постачальника хмарних послуг, їх зазвичай легко та просто розгортати. Аналогічно, придбання рішення часто вимагає від користувача лише простої «галочки».

 

З іншого боку, покладання на хмарного постачальника відповідальності за безпеку міграції в хмару може призвести до низки проблем.

 

 

Хмарні провайдери захищають деякі частини хмарних середовищ за моделлю спільної відповідальності, але інші обов’язки з безпеки покладаються на користувачів хмари. Якщо ви неправильно зрозумієте, як працюють ці моделі, у вашій стратегії безпеки хмарних технологій можуть виникнути прогалини. Це може ускладнити розуміння того, які частини вашої хмарної інфраструктури потрібно захищати самостійно, а які захищатиме провайдер.

 

Коли ви покладаєтесь на одного постачальника як для хмарної інфраструктури, так і для рішень безпеки, вам буде складніше перейти від нього в майбутньому, якщо ваші потреби зміняться або з’являться більш економічно ефективні рішення в інших постачальників.

 

Більшість хмарних сервісів безпеки працюють лише у власній хмарі постачальника, тому вони не є хорошим рішенням, якщо вам потрібно захистити гібридне або мультихмарне середовище, або ви плануєте його створити в майбутньому. Оскільки все більше компаній обирають мультихмарний шлях, це є суттєвою перешкодою, яку слід враховувати.

    

І ще один важливий момент - основний бізнес хмарних провайдерів - це надання послуг інфраструктури та платформи, а не забезпечення безпеки. Їхні інструменти безпеки є важливим елементом, але компанії навряд чи вирішать використовувати певного хмарного провайдера на основі його додаткової безпеки. З цієї причини вони не завжди використовують найновіші, найкращі технології та методи кібербезпеки для захисту різних рівнів вашої хмари.

 

Якщо для вас понад усе на першому місці стоїть простота та зручність покупки, то забезпечення безпеки від хмарного постачальника може бути хорошим способом захистити ваші хмарні мережі та хмарні ресурси. Але це, безумовно, не найбезпечніший, найефективніший та найгнучкіший підхід.

 

Дійсно, у звіті Gartner «Магічний квадрант мережевих брандмауерів у 2022 році» основні хмарні провайдери розглядаються як нішеві гравці в таких сферах, як мережеві брандмауери, що підкреслює важливі, але дещо нижчі можливості безпеки їхніх сервісів.

 

У наступной чстині розглянемо детально другий варіант з названих вище трьох, а саме підхід «зроби сам», його плюси та мінуси.