Choć przyjęcie chmury zwiększa sprawność organizacyjną, stanowi wyzwanie dla praktyków zajmujących się bezpieczeństwem. Według badania przeprowadzonego przez ESG, 47% respondentów ma problemy z bezpieczeństwem chmury hybrydowej – utrzymaniem bezpieczeństwa w sposób spójny w środowiskach centrum danych i chmury. Zero Trust Network Access (ZTNA) zapewnia dynamiczne, ujednolicone zasady dostępu i pojedynczą kontrolę w celu wzmocnienia zabezpieczeń chmury hybrydowej.
Skuteczne zabezpieczenie chmury hybrydowej zaczyna się od wydajności. Zespoły ds. bezpieczeństwa mogą szybko ugrzęznąć w natłoku kontroli, próbując chronić środowiska chmurowe i starsze zasoby lokalne.
Przestarzałe narzędzia do zabezpieczania sieci, takie jak wirtualne sieci prywatne (VPN) lub kontrola dostępu do sieci (NAC), są zbyt ryzykowne w obliczu dzisiejszych, coraz większych zagrożeń. W zabezpieczeniach chmury hybrydowej nie ma miejsca na narzędzia, które nie potrafią odpowiednio reagować na użytkowników zdalnych i biurowych, rozproszone zasoby w środowiskach heterogenicznych lub identyfikować niezabezpieczone urządzenia. Zamiast tego potrzebne jest rozwiązanie, które może obejmować bezpieczny dostęp do, z i w obrębie hybrydowych ekosystemów – zasobów w siedzibie firmy i zasobów w chmurze – za pomocą pojedynczych ram polityki.
ZTNA: kompleksowe rozwiązanie dla dostawców zabezpieczeń chmury hybrydowej?
Zero Trust Network Access (ZTNA) to kompleksowe rozwiązanie dla dostawców zabezpieczeń chmury hybrydowej. Chroni ono wszystkie połączenia między użytkownikami i zasobami w taki sam sposób, niezależnie od lokalizacji. Przyjrzyjmy się bliżej kilku wyzwaniom związanym z bezpieczeństwem chmury hybrydowej oraz temu, jak rozwiązuje je Zero Trust Network Access.
Wyzwanie związane z bezpieczeństwem chmury hybrydowej #1:
Częściowa architektura zabezpieczeń
Przestarzałe mechanizmy kontroli dostępu niepotrzebnie obciążają zespoły ds. bezpieczeństwa, utrudniają połączenia między użytkownikami i zasobami oraz pomiędzy zasobami, a także nie są w stanie zapewnić adaptacyjnego, zautomatyzowanego zabezpieczenia chmury hybrydowej dla zasobów w siedzibie firmy i w chmurze. Wiele narzędzi nie tylko obciąża zespoły ds. bezpieczeństwa i użytkowników, ale także pozostawia luki, w które mogą uderzyć podmioty stanowiące zagrożenie. Na przykład sieci VPN nie zostały stworzone do obsługi rozległych wymagań hybrydowych zabezpieczeń chmury i muszą być administrowane indywidualnie, co wymaga żonglowania wieloma politykami.
Biorąc pod uwagę architektury on-premises i cloud, zespoły ds. bezpieczeństwa mają wiele do przemyślenia – zwłaszcza, że organizacje coraz częściej korzystają z obciążeń w chmurze. Według firmy Flexera, aż 90% organizacji zwiększyło wykorzystanie chmury z powodu wirusa COVID-19, i nie jest to tylko krótkotrwały trend pandemiczny. Gartner twierdzi, że do 2023 roku 40% wszystkich obciążeń w przedsiębiorstwach będzie wdrażanych w infrastrukturze chmurowej i usługach platformowych, co podkreśla potrzebę poprawy bezpieczeństwa chmury hybrydowej.
Przenoszenie obciążeń roboczych do chmury często prowadzi do powstania mozaiki rozwiązań bezpieczeństwa, które zazwyczaj rozwijają się wraz z migracją do chmury, ale nie współpracują ze sobą dobrze. Nawet w obrębie chmury wiele osób korzysta z więcej niż jednego narzędzia zabezpieczającego. Według badania przeprowadzonego przez Cloud Security Alliance większość respondentów zarządza wieloma narzędziami w swoim arsenale bezpieczeństwa chmury hybrydowej, przy czym 74% korzysta z natywnych zabezpieczeń dostawcy chmury, 71% z dodatkowych zabezpieczeń dostawcy chmury, a 49% z wirtualnych edycji tradycyjnych zapór sieciowych wdrożonych w środowisku chmury.
Przy rozproszonej infrastrukturze może być trudno uzyskać wgląd w bezpieczeństwo chmury hybrydowej. Bez tej widoczności niezabezpieczone urządzenia i nieautoryzowane połączenia mogą rozprzestrzeniać złośliwe oprogramowanie lub w niewykryty sposób pobierać dane z sieci. Aby zrozumieć ogólny krajobraz zagrożeń, trzeba mieć jasny obraz bezpieczeństwa każdego środowiska. Dlatego właśnie ważne jest, aby zaprzestać stosowania rozwiązań wspomagających bezpieczeństwo chmury hybrydowej i przejść na pojedyncze rozwiązanie bezpiecznego dostępu od sprawdzonego dostawcy zabezpieczeń chmury hybrydowej.
Wyzwanie związane z bezpieczeństwem chmury hybrydowej #2:
Szersza powierzchnia ataku
Bezpieczeństwo chmury hybrydowej jest trudniejsze, ponieważ rozproszone obciążenia i użytkownicy w wielu środowiskach tworzą większe powierzchnie ataku dla sieci korporacyjnej. Wraz ze wzrostem popularności chmury wśród organizacji, zwiększa się liczba powierzchni do ataków. Według IDC, w 2022 roku 90% nowych usług cyfrowych będzie opierać się na chmurze, co skomplikuje bezpieczeństwo chmury hybrydowej. Organizacje posiadające środowisko wielochmurowe, w którym muszą zabezpieczać swoje zasoby u więcej niż jednego dostawcy chmury, muszą brać pod uwagę własne narzędzia i bramy każdego dostawcy. Im więcej dostawców chmury współpracuje z daną organizacją, tym trudniejsze może być zarządzanie strategią bezpieczeństwa chmury hybrydowej.
Bezpieczeństwo chmury hybrydowej komplikuje się jeszcze bardziej, ponieważ prawie połowa organizacji wskazuje na wzrost liczby urządzeń osobistych używanych do pracy, a 82% twierdzi, że w pewnym stopniu umożliwia korzystanie z urządzeń typu bring your own device (BYOD). Bardzo trudno jest zarządzać takim szerokim wachlarzem urządzeń bez jednego bezpiecznego rozwiązania dostępowego, które jest niezależne od urządzeń, zasobów i infrastruktury i może łatwo chronić połączenia do, z i pomiędzy wszystkimi urządzeniami i wszystkimi obciążeniami.
Wyzwanie związane z bezpieczeństwem chmury hybrydowej #3:
Luki w zabezpieczeniach DevOps
Tradycyjne rozwiązania bezpiecznego dostępu utrudniają zespołom DevOps sprawne działanie i mogą potencjalnie wprowadzać luki w zabezpieczeniach, co zwiększa ryzyko w sytuacji, gdy zespoły programistów są zmuszone do szybszej produkcji.
Model CI/CD (Continuous Integration/Continuous Delivery) był największym przełomem dla zespołów DevOps, a umożliwiła go szybkość chmury. Jeśli rozwiązanie bezpieczeństwa w chmurze hybrydowej oferuje słabe możliwości dostępu dla programistów, zaczyna działać na niekorzyść korzyści CI/CD i spowalnia zespoły DevOps.
Zarządzanie wieloma politykami jest zbyt kłopotliwe. Lepszym rozwiązaniem byłby dostawca zabezpieczeń chmury hybrydowej, który uwzględnia bezpieczeństwo jako kod, aby odblokować automatyzacje oparte na API, które zapewniają płynne i szybkie działanie potoków CI/CD.
Według badania przeprowadzonego przez firmę Fugue, 96% respondentów twierdzi, że ujednolicone ramy polityk, które działają w całym cyklu życia oprogramowania, od infrastruktury jako kodu po środowisko uruchomieniowe w chmurze, byłyby cenne.
Dostęp do sieci o zerowym zaufaniu: klucz do bezpieczeństwa chmury hybrydowej
Aby maksymalnie wykorzystać szybkość i sprawność działania chmury, potrzebny jest dostawca zabezpieczeń chmury hybrydowej, który oferuje ujednolicone ramy zasad ochrony użytkowników i obciążeń niezależnie od ich lokalizacji lub środowiska – chmury publicznej, prywatnej, on-prem, starszej infrastruktury i chmury natywnej.
ZTNA zmniejsza złożoność administrowania dzięki ujednoliconym zasadom zapewniającym spójne zabezpieczenia chmury hybrydowej i ich egzekwowanie, niezależnie od dostawcy chmury. Wyodrębnianie metadanych od dostawców chmury publicznej, takich jak AWS, Azure czy Google Cloud Platform (GCP), umożliwia nadawanie uprawnień poszczególnym tożsamościom użytkowników, dzięki czemu można zapewnić powszechne stosowanie najmniej uprzywilejowanego dostępu.
Zabezpieczenia chmury hybrydowej z funkcją Zero Trust Network Access zmniejszają powierzchnię ataku, ponieważ wszystkie serwery wychodzące do Internetu stają się niewidoczne dla nieuwierzytelnionych i nieuprawnionych użytkowników, a wszystkie autoryzowane połączenia są widoczne. Wstępne uwierzytelnianie i wstępna autoryzacja dodatkowo zmniejszają powierzchnię ataku we wszystkich środowiskach chmury.
Integrując zasady Zero Trust z istniejącymi aplikacjami, platformami i narzędziami DevOps, uzyskuje się zabezpieczenie chmury hybrydowej, które nie zakłóca dotychczasowego przepływu pracy programistów. Zorientowany na tożsamość, kontekstowy dostęp w ramach bezpieczeństwa Zero Trust dynamicznie skaluje się z zasobami chmury, aby napędzać i zabezpieczać przyspieszone dostarczanie DevOps.
Jaki jest zatem właściwy wybór dostawcy zabezpieczeń chmury hybrydowej?
Aby zapewnić wzmocnione, sprawne i adaptacyjne bezpieczeństwo chmury hybrydowej, należy wyeliminować mozaikę rozwiązań bezpieczeństwa, które mogły się pojawić w miarę przenoszenia obciążeń do chmury. Dzięki przejściu na jedno rozwiązanie bezpiecznego dostępu oparte na zasadach bezpieczeństwa Zero Trust, można skutecznie chronić wszystkie zasoby i użytkowników w chmurze lokalnej, prywatnej i publicznej.
Appgate SDP, wiodące w branży rozwiązanie ZTNA, wykorzystuje autoryzację pojedynczego pakietu (SPA) w celu zamaskowania całej infrastruktury, tak aby tylko zweryfikowani użytkownicy i zasoby widzieli, z czym się łączą, gdy otrzymują dostęp za pomocą uprawnień. Umożliwia to bramie Appgate SDP rozróżnienie autoryzowanych i nieautoryzowanych prób połączeń, a w efekcie zmniejszenie powierzchni ataku w celu poprawy bezpieczeństwa chmury hybrydowej. Ugruntowane osiągnięcia Appgate SDP sprawiają, że jest on dostawcą zabezpieczeń chmury hybrydowej, który oferuje bezpieczne, dynamiczne ZTNA do rozwiązywania złożonych wyzwań.
Na podstawie artykułu ze strony https://www.appgate.com/blog/hybrid-cloud-security-and-zero-trust-access