Одной из ключевых проблем, связанных с возросшей зависимостью от «облачных» ресурсов, является создание и поддержание постоянной безопасности, включая унифицированную видимость и контроль, чтобы замечать и смягчать угрозы и беспрепятственно устранять неправильные настройки. Мы обсудили проблемы безопасности облачных вычислений, с которыми сталкиваются CISO в процессе работы с организациями по всему миру с тремя представителями Fortinet Field CISO – Кортни Рэдке (Courtney Radke), Джо Робертсон (Joe Robertson) и Аленом Санчесом (Alain Sanchez).
Что думают CISO по поводу безопасности облачных вычислений в 2020 году?
Ален: Около двух лет назад я услышал, как коллеги из CISO говорили, что они возвращают на место некоторые компоненты, которые они изначально перенесли в облако в рамках своего пути цифрового преобразования. Собирались ли эти голоса превратиться в тренд? Мы должны были это выяснить. Поэтому компания Fortinet заказала исследование, проведенное независимой компанией, которая опросила 350 лиц, принимающих решения по всему миру – не обязательно клиентов Fortinet – и результаты были удивительными. Они показали, что 72% респондентов фактически перенесли один компонент обратно из облака, начиная от данных и заканчивая приложениями и процессами.
Однако эта интересная цифра не означает, что их путешествие в облако прекратилось. Облако по-прежнему является самой большой IT тенденцией, которую мы когда-либо наблюдали, и продолжает оставаться ярким пятном в 2020 году, по данным Gartner. История больше похожа на непрекращающийся процесс "туда-сюда", в котором корпорации рассматривают облако как полноразмерную, но не требующую капитальных расходов, лабораторию инноваций – место, где они могут протестировать и измерить скорость взлета новых услуг, а затем решить оставить ли это в облако или вернуть обратно. Тем не менее, одним из существенных предостережений в этой обратной связи является то, что результат не может пренебрегать безопасностью в обмен на гибкость. В тот момент, когда вам нужно вручную переиздать, передислоцировать и перепроверить один из элементов вашей политики безопасности, вы теряете преимущества этой свободы.
Джо: Еще одной важной проблемой, которая никого не должна удивлять, является то, что CISO в настоящее время сосредоточены на том, как обезопасить своих новых удаленных сотрудников, которые получают доступ к приложениям на базе облака из дома. Эта проблема взорвалась на месте, заслонив, но не устранив другие проблемы, связанные с облаком. А сейчас я сосредоточусь на основных проблемах, которые я слышу от CISO, не зависящих от кризиса Covid-19.
Управление средами компьютерного облака и обеспечение согласованности политик для рабочих нагрузок, независимо от того, в каком компьютерном облаке или центре обработки данных они работают.
Вопросы, связанные с соответствием нормативным требованиям по защите данных (особенно персонально идентифицируемой информации) при их перемещении в облако или из него.
Обеспечение защиты данных в SaaS-приложениях. CISO имеют дело с запутанной комбинацией облачных провайдеров и SaaS-приложений, что означает, что они ищут решения, обеспечивающие им видимость и контроль безопасности в многооблачных средах. Они также ищут способы предоставления отчетности о соответствии требованиям, которые предъявляют советы директоров и регулирующие органы.
Кортни: Есть три основные проблемы, которые я чаще всего слышала от CISO, поскольку они связаны со стратегией безопасности облака. Несмотря на Covid-19, CISO довольно хорошо понимают, что повышение маневренности (и получение прибыли) было главной задачей для компаний, которые хотят создать или расширить свое цифровое пространство, чтобы лучше достучаться до клиента. Это означало, что они должны были быть готовы к быстрому продвижению, когда дело доходило до правильной оценки риска и реализации полной стратегии безопасности облака. Это требует времени, и, как мы все знаем, бизнес всегда хочет двигаться быстрее.
CISO, которые методично планировали свои стратегии безопасности облака, внезапно не имели роскоши времени на обсуждение "облако или не облако". Это проблема номер один – отсутствие времени для планирования.
С вводом, но не обязательно с выбором провайдера (провайдеров) облака, проблема номер два отмечена нехваткой ресурсов и обучения. В связи с преобладанием многооблачных вычислений, командам безопасности необходимо было стать (или нанять) экспертами в различных архитектурах, инструментах и интеграции облачных вычислений, которые могут быстро превратиться в сложную нагрузку для команд, которые и так уже загружены.
Чтобы ускорить миграцию в облако и увеличить количество команд, связанных с безопасностью, предприятия обращаются за помощью и рекомендациями к третьим лицам, особенно благодаря Covid-19. Сейчас как никогда важно тщательно проверять и регулярно оценивать эти партнерские отношения, чтобы убедиться, что их стандарты безопасности соответствуют или превосходят стандарты бизнеса. Открытие среды для интеграции с многочисленными третьими сторонами может решить временные проблемы и даже стать частью долгосрочной бизнес-стратегии. Тем не менее, необходимо позаботиться о том, чтобы избежать момента «не видно леса за деревьями». Партнерские соглашения и политики безопасности не могут быть мгновенными; они должны развиваться вместе с компанией.
Чему нас научили последние события, такие как масштабирование удаленной работы и смещение IT-ландшафта, с точки зрения обеспечения безопасности облачных вычислений?
Ален: Масштабы необходимости дистанционной работы застали врасплох даже самого дальновидного из CISO. Дело в том, что инфраструктура и политика удаленной работы никогда не были рассчитаны на то, чтобы столкнуться со всей планетой, работающей из дома. Но удивление переросло в действие через несколько недель. С помощью экспертизы все большего числа известных CISO мы разработали принципы методологии, чтобы справиться с цунами удаленной работы, обеспечивая при этом непрерывность бизнеса и защиту данных.
Джо: Правда, в последнее время большинство действий CISO были направлены на то, чтобы обеспечить безопасную работу удаленных сотрудников. Сейчас этот период "все на палубе" успокаивает, и начинают ощущаться реалии экономической ситуации. Для некоторых категорий бизнеса кризис был позитивным, но для большинства его последствия варьируются от трудных до катастрофических. Это приводит к повсеместному затягиванию поясов, и организации, занимающиеся информационными технологиями и безопасностью, не застрахованы от этого.
Хакерское сообщество, любительское и профессиональное, не было ослаблено кризисом, поэтому сокращение расходов на корпоративную кибербезопасность кажется чем-то из разряда «шампанское пьем, а на спичках экономим». Тем не менее, когда доходы компании резко падают, необходимо принимать сложные решения. Именно поэтому многие CISO, с которыми я общаюсь, пристально рассматривают вопрос об инвестировании в инструменты автоматизации.
При таком большом количестве пользователей, получающих доступ к ресурсам компьютерного облака из дома, за пределами хорошо защищенных офисных подключений, видимость того, что происходит с рабочими нагрузками в компьютерном облаке, кто получает к ним доступ, и автоматизированный анализ деятельности в компьютерном облаке важны как никогда. Решение на основе оповещений может занять у аналитика от 20 минут до нескольких часов или более. Инструменты автоматизации могут справиться со многими предупреждениями за считанные секунды, оставляя только самое трудноразрешимое для аналитиков SOC.
Кортни: Недавние события действительно были из разряда "готовы или нет, а мы уже здесь", когда речь зашла о том, чтобы справиться с огромным количеством пользователей, получающих доступ к цифровым рабочим нагрузкам и витринам магазинов. Для многих компаний это был один из немногих способов взаимодействия с клиентами, поэтому устойчивость бизнеса зависела от доступности и повышения привлекательности их предложений, чтобы привлечь больше трафика откуда-то еще. Такая потребность в привлечении клиентов во время больших потребностей, возможно, немного смягчила правила, когда речь зашла о безопасности, чтобы снизить трения по сделкам.
Точно так же, модели потребительских покупок изменились, поэтому исходные данные о пиковых (обычных) часах покупок или входе в приложения, возможно, выглядели значительно иначе, чем 90 дней назад. Это происходило параллельно с быстрым увеличением числа удаленных работников и необходимостью обеспечить безопасный доступ к критически важным системам и информации без проблем с производительностью. Если пользователи не могли добраться до того, что им нужно, и быстро, с помощью одобренных методов, таких как VPN, то они начинали искать свои собственные способы получить то, что им нужно. Точно так же и с облаком: если бы это был не самый лучший способ, наиболее привлекательный вариант, то пользователи нашли бы другой вариант. Это означало, что политики, связанные с часами доступа, длительностью, количеством сеансов и т.д., нужно было оценивать и обновлять. К тому же, сети с нулевым уровнем доверия в сочетании с адаптивными технологиями аутентификации позволяли пользователям получать то, что им нужно, не допуская при этом роста числа участников угроз.
Какие моменты являются важнейшими для CISO в плане обеспечения безопасности облака?
Ален: Комментарий, который я слышу чаще всего - это страх перед невозможностью возврата в прошлое. «В тот момент, когда я начну обналичивать все преимущества моей облачной стратегии, стоимости, гибкости, статистики в реальном времени, смогу ли я сохранить полный контроль над своей стратегией?»
Я напоминаю этим коллегам, что роль Fortinet заключается не в том, чтобы так или иначе влиять на их облачную стратегию. Мы - чистый игрок в области безопасности, и наша миссия заключается в обслуживании любого облачного сценария, принятого нашими клиентами: родного облака, гибридного облака или любой комбинации вышеперечисленного. Целью является обеспечение последовательной и надежной безопасности, включая видимость и контроль, независимо от используемой ими облачной стратегии.
Джо: Я обнаружил, что независимо от того, какие облачные среды есть у клиентов, в какой-то момент мы всегда говорим о гибкой разработке программного обеспечения и DevOps, которые могут быть сложными для команды безопасности, особенно с учетом того, что многие приложения работают в одном или нескольких облаках. Все пытаются заставить разработчиков вовлечь безопасность в процесс разработки на ранних стадиях, причем некоторые из них добиваются большего успеха, чем другие.
Этот сдвиг подразумевает участие экспертов по безопасности вместе с командой разработчиков в начале цикла. Как вы можете себе представить, при столь значительной разработке с использованием открытого исходного кода, публичных библиотек, API к другим приложениям и т.д., обеспечение безопасности современного приложения является основной задачей. Просто получить представление о том, что происходит с различными рабочими нагрузками, является сложной задачей.
Кортни: Недавно я разговаривала с коллегой, который прошел полный аудит облаков, и результаты были, мягко говоря, поучительными. Они обнаружили, что более 30% облачных рабочих нагрузок, связанных с компанией, были либо сильно недоиспользованы, грубо неправильно сконфигурированы, либо, и это самая страшная часть, неизвестны. Они сразу же подумали: "Можете ли вы представить себе экономию затрат, если бы мы правильно подобрали размеры этих сред?". Несмотря на то, что это совершенно верная точка зрения, которая, скорее всего, присутствует сегодня в головах компаний, я подумала: "Вы хоть представляете, какое положительное влияние очистка этой среды окажет на вашу безопасность?".
Это называется "разрастание облака", и оно становится все более распространенным по мере того, как "облачные" вычисления становятся все более распространенными, подобно виртуальным вычислениям и традиционным серверным архитектурам, существовавшим до них. Любой человек может раскручивать новые облачные ресурсы, которые позволяют выполнять быстрые и гибкие бизнес-операции, но они также открывают двери для угроз.