Проблемы безопасности в облачных средах решат посредники

Проблемы безопасности в облачных средах решат посредники
Перенос корпоративных вычислительных ресурсов в частные и публичные облака идет не первый год – заказчики все активнее используют виртуальные серверы и сетевую инфраструктуру, внешние системы хранения. Не обязательно вкладываться в оборудование, дорогостоящие лицензии и покупать бизнес-приложения — программное обеспечение можно получить как сервис. Все это, безусловно, существенно снижает капитальные затраты на ИТ.
При этом, становится сложнее управлять «лоскутной» инфраструктурой, состоящей из разрозненных сервисов разных провайдеров. А уход в облака начинает создавать все больше новых угроз.

Теневые ИТ

Компании часто перекладывают некоторые связанные с обслуживанием инфраструктуры затраты на облачных провайдеров. Многие считают, что, если провайдер обеспечивает доступность услуг, то он же решает все проблемы, связанные с информационной безопасностью. Показательный пример — публичные или гибридные облака. Во многих компаниях используют Office 365 или Google Docs, а также общедоступные облачные хранилища или средства коллективной работы, позволяющие сотрудникам эффективнее решать повседневные задачи. Чтобы подключиться к ним, нужен только доступ в интернет, поэтому системные администраторы компании часто даже не знают, какие бизнес-процессы автоматизированы с помощью внешних сервисов, и какие данные «утекают» наружу.

В англоязычной периодике такая проблема получила название Shadow IT (теневые ИТ) – именно из-за неё компании теряют контроль над своей инфраструктурой. Риски очевидны: пользователи не следят за конфиденциальностью размещаемых в публичных облаках приватных данных, достаточно часто документы индексируются поисковыми машинами и выставляются на всеобщее обозрение. Только в 2018 году было несколько подобных скандалов с поисковиками Google и Яндекс.

Перенося информационные системы в облако, компании пытаются организовывать работу, как если бы они были размещены внутри локальной сети – это ещё больше усугубляет проблему. Обычно используется не один сервис и даже не ограниченный набор от одного провайдера — в облака может переехать значительная часть ИТ-систем. Для бизнес-критических приложений часто требуются высокопроизводительные и надежные VPS, а для разработки и тестирования сгодятся облачные виртуальные серверы попроще. Системы хранения данных, электронная почта, системы CRM и даже ERP, а ещё разнообразные мелкие решения — компания может пользоваться услугами десятков провайдеров.

Облачные брокеры

По мере усложнения системы, управлять ей становится значительно труднее. Если вся ИТ-инфраструктура находится внутри защищённого периметра, у корпоративных айтишников есть четкое понимание, с какими аппаратными и программными ресурсами работают пользователи. Есть строгая иерархия полномочий, средства контроля и ограничения доступа к ресурсам, но, когда защищённый периметр разрастается до размеров планеты — эти средства перестают работать.

Некоторые компании пытаются запрещать все, кроме избранных сервисов и администрируют их силами ИТ-департаментов. Такой подход возможен, но не особенно продуктивен: нагрузка на сотрудников возрастает, а масса ценных трудовых ресурсов тратится на бессмысленный контроль. Эту энергию лучше использовать в мирных целях, например, для автоматизации бизнес-процессов, а контроль отдать на откуп специально обученным посредникам. Их называют Cloud Access Security Broker (CASB), по мере активизации процесса миграции корпоративных информационных систем в облака таких посредников появляется все больше. Сегодня это одно из главных направлений на рынке услуг облачной интеграции.

Другое направление — Cloud Service Broker (CSB). Эти облачные брокеры позволяют «автоматизировать хаос» и с помощью единого интерфейса управлять развёрнутыми у разных облачных провайдеров сервисами и инфраструктурой. Их функции тоже отчасти связаны с обеспечением безопасности и могут пересекаться с функциями CASB, но в основном ограничиваются мониторингом и управлением. Фактически главная задача CSB — оптимизация затрат компании на облачную ИТ-инфраструктуру.

Два подхода

Можно выделить два основных подхода к реализации услуг облачного брокера. В первом случае трафик заказчика проходит через специальный аппаратно-программный прокси-сервер. Одна часть этого комплекса обычно устанавливается в сети клиента, а другая — на стороне брокера.

Второй подход заключается в реализации всей необходимой функциональности с помощью брокерского сервиса и использовании специального API (Application Programming Interface). Он не требует обязательного наличия аппаратно-программного прокси-сервера, хотя чаще всего облачные брокеры комбинируют оба варианта, используя оптимальный для того или иного сценария применения.

Может также потребоваться инсталляция программных агентов на устройства конечных пользователей. Интегрируя собственные сервисы с системами безопасности компании, облачный брокер позволяет клиенту управлять трафиком. Можно настраивать права доступа корпоративных пользователей к внешним ресурсам, в том числе через политики безопасности, а также решать другие связанные с безопасностью и конфиденциальностью задачи.  
На рынке есть множество платформ, которые могут раздавать доступ к сервисам разных облачных провайдеров, что называется, через одну точку входа. Среди наиболее известных и популярных стоит упомянуть Forcepoint CASB и Palo Alto Aperture. В России, к сожалению, собственных крупных CSB пока нет, а CASB на отечественном рынке и вовсе отсутствуют — вероятно такая ситуация связана с меньшим, чем на Западе, проникновением облачных услуг в корпоративные ИТ-инфраструктуры. Тем не менее, аналитики Gartner прогнозируют десятикратный рост затрат на облачные услуги в ближайшие десять лет, так что ситуация довольно скоро изменится. Если ваша компания планирует активно увеличивать долю расходов на внешние сервисы в общей структуре ИТ-бюджета, задуматься о посреднике стоит уже сейчас.
облака
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!