`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Мирослав Мищенко

Пять слагаемых эффективной защиты Azure

+22
голоса

По мере того, как предприятия перемещают в облако всё больше данных и приложений, безопасность становится всё более основополагающим компонентом, поскольку для того, чтобы удовлетворять отраслевым требованиям соответствия и вплетаться в общую стратегию организации, безопасность должна быть встроена в общую облачную платформу. Если безопасность добавлена напоследок, её часто приходится перенастраивать вручную при адаптации сетевых ресурсов к новым потребностям бизнеса, что обесценивает сам смысл построения и внедрения масштабируемой и высокоэластичной облачной инфраструктуры.

К сожалению, никакие облачные пакеты услуг не предусматривают обеспечения комплексной безопасности. Эта задача решается сообща вашей организацией и облачным провайдером, причём обязанности обеих сторон чётко разграничиваются. У Microsoft Azure и других крупных облачных провайдеров имеются собственные опции безопасности, но они в основном ориентированы на защиту базовой сети: предполагается, что клиенты будут сами защищать свои данные, приложения, рабочие процессы и ресурсы.

Большинство облачных провайдеров предоставляют документацию, в которой разъясняется разделение обязанностей между провайдером и потребителем. Ниже приводится пример модели Azure.

Такое разделение может казаться очевидным, однако проблемы возникают с ростом масштабов. В настоящее время около трети (в среднем, 61) всех приложений, используемых предприятиями, являются облачными, согласно отчёту Fortinet Threat Landscape за III квартал 2017 года. Многие из этих приложений часто распространяются на несколько облаков, что усложняет ситуацию. Это означает, что безопасность должна быть не просто глубоко встроена в единую облачную среду, но функциональные возможности и протоколы безопасности должны работать согласованно в различных облачных средах и единообразно применяться при перемещении приложений, данных и рабочих процессов между облачными сетями.

Помимо защиты облачной инфраструктуры, еще одной серьезной проблемой является быстрое распространение программного обеспечения в качестве услуги (SaaS). Сегодня любой, у кого есть кредитная карта, может развернуть или подписаться на облачное приложение — проблема, известная как Shadow IT. Из-за этого многие организации плохо себе представляют, где хранятся критические данные и ресурсы или какие инструменты используются для доступа к информации и её обработки. Ежегодные совокупные утечки данных и потери от теневых ИТ-приложений (которые находятся вне контроля ИТ-отдела) оцениваются компаниями в 1,5–1,8 триллиона долларов, согласно сообщению в блоге CloudCodes за 2017 г.

Озабоченность безопасностью в облаке отталкивает многих руководителей от использования публичных облачных платформ. Однако проблема заключается не в безопасности облачной инфраструктуры, а в политиках и технологиях, используемых организацией для контроля своих данных и приложений и обеспечения их защиты. Некоторые аналитики прогнозируют, что к 2022 году, не менее 95% сбоев облачной безопасности будет на совести клиента, а не облачного провайдера.

Так как же сами предприятия могут предотвратить инциденты безопасности при работе в облаке? Каждая облачная среда уникальна, поэтому требования могут меняться от одного провайдера к другому.

В этом блоге мы предлагаем пять обязательных для организаций условий эффективной защиты своих рабочих нагрузок в Microsoft Azure, особенно когда это часть более масштабной многоблачной стратегии.

1. Обеспечение простоты использования

Вы должны централизовать и упростить контроль за облачной безопасностью, автоматизировать процессы управления жизненным циклом, а также установить и применять согласованные политики безопасности. Обеспечение безопасности для всех активов и приложений может быть упрощено посредством автоматизации. Динамические политики безопасности могут строиться на метаданных рабочих нагрузок, что позволит немедленно и последовательно охватывать весь трафик приложения и задавать уровень безопасности, соразмерный потребностям рабочей нагрузки.

Поэтому для начала нужно выбрать решение, которое упростит управление, позволив вам сосредоточиться на проблемах безопасности, а не на таких вещах, как конфигурация или обеспечение согласованности между облачными и другими средами.

2. Нативная интеграция

Полная интеграция в Azure средств безопасности, таких как защита контейнеров, автоматическое масштабирование, шаблоны Azure Resource Manager (ARM) и т. д. позволит вам задействовать облачную автоматизацию. Благодаря этому вы сможете формулировать согласованные политики для вашей гибридной облачной среды, работать с ней быстро и масштабно, динамически приспосабливать её к изменениям ресурсов. Интеграция с облачными административными ресурсами через API также позволит использовать облачную информацию как часть общей стратегии управления политикой безопасности и контроля за её соблюдением.

3. Внедрение систем защиты от вторжений

С перемещением сервисов организаций на платформы SaaS и IaaS, сложность их увеличивается, и возникает еще большая потребность в комплексном подходе к обнаружению угроз и реагированию на них. Системы защиты от вторжений (IPS) обеспечивают критическую защиту от вредоносных программ, атак и эксплойтов. Это особенно важно, принимая во внимание сложность существующего ландшафта угроз и постоянно расширяющуюся поверхность атаки.

Для успешного обнаружения сложных угроз в вычислительных средах публичных облаков необходима полная видимость. Команды сетевой безопасности должны иметь возможность централизованно отслеживать все компоненты безопасности и обмениваться сведения об угрозах в режиме реального времени между многими облакам — независимо от того, на которое из них она нацелена.

В средах DevOps необходимо уметь выявлять подозрительные действия и скомпрометированные учетные записи. В масштабе всей сети интегрированная архитектура безопасности должна опираться на передовые методики искусственного интеллекта и машинного обучения, позволяющие лучше комбинировать сведения об известных опасностях с детектированием новых угроз и реагировать на цифровые скорости.

4. Обеспечение контроля приложений

Кроме того для построения защищённой и эффективно работающей многооблачной инфраструктуры нужно найти решение, которое обеспечивает видимость и управление на уровне приложений. Вот несколько важнейших функций, которые должно обеспечивать такое решение:

  • Блокировка или ограничение доступа к рискованным приложениям.

  • Настройка политик безопасности в соответствии с типом приложений.

  • Оптимизация использования полосы пропускания путем повышения/понижения приоритетности или блокировки трафика в зависимости от приложения.

5. Поддержание высокой производительности и высокой готовности

Защита Azure и других облачных сред нуждается в устойчивости, порождаемой высокой готовностью. Для реализации этой новой парадигмы безопасности, сервисы должны предоставляться на более высоких уровнях обслуживания (SLA).

Для достижения высокой производительности вам необходимо решение с:

  • Безопасностью, которая соответствует масштабируемости и эластичности облачных рабочих нагрузок.

  • Внутренней облачной оркестровкой для автоматизации масштабирования, высокой готовности и сегментации.

  • Гибкой конструкцией, удовлетворяющей требованиям вашего приложения без необходимости в сложных и дорогих средствах развертывания.

Хотя публичные облака имеют уровень готовности до 99,999%, аварии в облачных ЦОД всё же случаются. Лучшая практика обеспечения безопасности — исходить из того, что рано или поздно отказать может всё, что угодно, и наращивать отказоустойчивость на уровне приложений, расположенном на вершине облачной инфраструктуры.

Во избежание досадных простоев, Azure предоставляет различные механизмы резервирования посредством Fault Zones и Availability Zones. Это позволяет архитекторам приложений реализовать избыточность на уровнях инстанса и сервиса. Помните, что меры обеспечения отказоустойчивости должны охватывать ваши решения безопасности, а также любую инфраструктуру и каждое приложение.

Заключение

Решения безопасности Fortinet для Azure предоставляют все пять этих обязательных возможностей.

Они предлагают широкий набор инструментов, охватывающих всю поверхность атаки для защиты от продвинутых угроз, возможность интеграции облачных элементов управления с локальными (онпремисными) решениями безопасности, а также органичную интеграцию и взаимодействие с решениями Fortinet, развернутыми в других средах, независимо от форм-фактора. Это означает, что предприятие получает согласованные видимость и контроль в пределах всей распределённой сети своей организации.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT