Brak zaufania Przejście ze starszej wersji na rodzimą chmurę

Przedsiębiorstwa działające w tradycyjnym środowisku monolitycznym mogą mieć ścisłe struktury organizacyjne. W rezultacie wymóg bezpieczeństwa może powstrzymać ich przed przejściem do hybrydowego lub natywnego modelu wdrażania aplikacji w chmurze.

Pomimo oczywistych trudności większość przedsiębiorstw chce skorzystać z możliwości natywnych dla chmury. Obecnie większość podmiotów rozważa lub ocenia rozwiązania w chmurze, aby poprawić jakość obsługi klienta. W niektórych przypadkach jest to zdolność do uzyskiwania bogatszych analiz rynku klientów lub zapewnienia doskonałości operacyjnej.

Cloud-native to kluczowy program strategiczny, który pozwala klientom korzystać z wielu nowych możliwości i struktur. Umożliwia organizacjom budowanie i ewolucję w celu uzyskania przewagi nad konkurencją.

Aplikacje ewoluują

Spojrzmy prawdzie w oczy! Aplikacje ewoluują bardzo szybko. Tradycyjne aplikacje są teraz uzupełniane o dodatkowe funkcje natywne dla chmury. Mamy tradycyjne aplikacje działające z nowymi kontenerowymi modułowymi usługami frontend lub backend.

Podstawowa aplikacja jest nadal trójwarstwowym monolitem, ale natywne usługi chmurowe są przykręcone, aby wysłać dane z powrotem do głównej aplikacji prywatnego centrum danych.

Cele przejściowe

Najlepiej byłoby, gdyby przedsiębiorstwa zachowywały bezpieczeństwo, z którego są zadowolone. Mają zapory ogniowe, IDS / IPS, WAF i segmentację: podejścia, które działają doskonale.

Kiedy zaczynamy korzystać z usług natywnych w chmurze, musimy dodać kolejną warstwę bezpieczeństwa. Przedsiębiorstwa muszą upewnić się, że mają takie same lub lepsze możliwości bezpieczeństwa niż wcześniej.

Stwarza to lukę, którą należy wypełnić. Przejście polega na możliwości utrzymania zasięgu, widoczności i kontroli w tradycyjnych środowiskach, przy jednoczesnym wykorzystaniu usług natywnych dla chmury. Wszystko odbywa się z zerową postawą bezpieczeństwa domyślnie odmawiaj.

Złożone środowisko

Obiektywnie, w tradycyjnych środowiskach istnieje wiele architektur centrów danych, które działają w modelach publicznych, prywatnych, hybrydowych i w wielu chmurach. Formalnie było to tylko prywatne i publiczne, ale teraz hybrydowe i wielochmurowe są konwencjonalnymi normami.

W środowisku fizycznym, chmurowym i aplikacyjnym zachodzi przejście wektorowe. To przejście jest wysoce dynamiczne i niejednorodne. W przyszłości będziemy prawdopodobnie mieć łączność hybrydową. 

Bezpieczeństwo i chmura hybrydowa

Jednym z głównych celów łączności hybrydowej są interakcje. Duże przedsiębiorstwa często mają po trochu wszystko. Będą aplikacje w chmurze, lokalne, mikrousługi i monolity. Wszystkie te byty żyją i działają w silosach.

Potrzebne jest dobre uwzględnienie każdej interakcji między komponentami w różnych architekturach. Dla skutecznego bezpieczeństwa należy monitorować nieoczekiwane zachowania podczas interakcji. Jeśli to pokrycie zostanie przeoczone, drzwi są otwarte na kompromis, ponieważ te elementy komunikują się z innymi. Bezpieczeństwo będzie najsłabszym ogniwem.

Tradycyjne podejście sieciowe

Tradycyjne podejście sieciowe jest tym, co wszyscy znają i w ten sposób większość zabezpieczeń jest dziś wdrażana. Jest to również najmniej elastyczna architektura, ponieważ bezpieczeństwo jest powiązane z adresem IP, VLAN lub tradycyjną 5-krotną. Tradycyjne podejście jest nieefektywnym sposobem ustalania polityki bezpieczeństwa.

Poza tym praca w sieci zależy od dostawcy. Sposób wdrożenia listy ACL lub sieci VLAN będzie stwarzał różne konfiguracje dla poszczególnych dostawców, aw niektórych przypadkach różnice występują również u tego samego dostawcy. Niektórzy ewoluowali do Chef lub Puppet, ale większość sprzedawców nadal robi CLI, który jest manualny i podatny na błędy.

Hiperwizor

W przypadku aplikacji istnieje powierzchnia ataku, która obejmuje wszystko na hiperwizorze. Jest bardzo obszerny, gdy weźmie się pod uwagę, ile maszyn wirtualnych można umieścić na hiperwizorze. Im więcej maszyn wirtualnych, tym większy jest promień wybuchu.

W związku z tym istnieje możliwość ucieczki maszyny wirtualnej, gdzie kompromis jednej maszyny wirtualnej może spowodować, że zły aktor uzyska dostęp do wszystkich innych maszyn wirtualnych na tym hiperwizorze. Zasadniczo hiperwizor może nieumyślnie powiększyć powierzchnię ataku.

Zapory oparte na hoście

W ostatnim czasie zapory sieciowe oparte na hoście wprowadziły pewne ulepszenia w zakresie bezpieczeństwa, uniemożliwiając dostęp do niechcianego ruchu przychodzącego przez numer portu. W rezultacie powierzchnia ataku i kontrola znajdują się teraz na poziomie obciążenia. Nadal jednak mamy do czynienia z problemem, że polityka jest realizowana w sposób rozproszony.

Narzędzia opisane powyżej opisują różne podejścia do bezpieczeństwa, z których wszystkie są dziś szeroko wdrażane. Są to wszystkie niezbędne rozwiązania, które zabiorą cię z grubego do drobnoziarnistego modelu bezpieczeństwa. Jednak przejście na hybrydę i chmurę wymaga jeszcze bardziej szczegółowego podejścia, które nazywa się zerowym zaufaniem.

Kolejna faza ewolucyjna

Właśnie zbliżamy się do fazy, w której rozwiązania dla środowisk zwirtualizowanych opartych na maszynach wirtualnych w chmurach publicznych i prywatnych zaczynają dojrzewać. Dlatego, kiedy osiągamy ten etap, zaczynamy już być świadkami następnej ewolucji.

Kolejny etap ewolucji środowisk opartych na DevOps opiera się na kontenerach i strukturach aranżacyjnych. Daje to kolejny rząd wielkości złożoności środowiska w zakresie przetwarzania danych i tworzenia sieci.

Istniejące zwirtualizowane środowiska oparte na maszynach wirtualnych nie będą w stanie poradzić sobie ze złożonością środowiska kontenerowego. Więc jaki jest właściwy kierunek?

Niezależność sieci i aplikacji

Ramy bezpieczeństwa i zgodności muszą być niezależne od sieci. W pewnym sensie powinny działać jak dwa statki przepływające w nocy. Poza tym powinny być oparte na tożsamości.

Kluczową zaletą rozwiązania opartego na tożsamości jest to, że zyskujesz wgląd w komunikację między usługami, która staje się fundamentem uwierzytelniania i kontroli dostępu.

Jednolite zasady bezpieczeństwa i skalowanie adaptacyjne

Potrzebujesz możliwości objęcia szeroką gamą możliwych kombinacji. Nie chodzi tylko o objęcie różnymi rodzajami infrastruktur, należy również uwzględnić interakcje między nimi, które można wdrożyć w bardzo złożonych środowiskach.

We współczesnym świecie mamy aranżacje, kontenery, efemeryczne i dynamiczne usługi zmieniające funkcjonalność z możliwością skalowania w górę i w dół. Dlatego rozwiązanie bezpieczeństwa powinno być dostosowane do podstawowych usług, niezależnie od tego, czy jest skalowane, czy ewoluuje.

Automatycznie szyfruj dane w ruchu (mTLS)

Ponieważ nasze aplikacje obejmują zarówno modele hybrydowe, jak i wiele chmur, szyfrowanie staje się skomplikowane w przypadku systemów infrastruktury klucza publicznego (PKI) i zarządzania tokenami.

Jeśli masz rozwiązanie, które rozszerza środowisko aplikacji, środowiska fizycznego i chmury, będziesz mieć elastyczne i wszechobecne podejście. W końcu umożliwia to szyfrowanie danych w ruchu bez konieczności zarządzania złożonymi systemami PKI.

Zero zaufania

Każdy użytkownik, mikrousługa, port lub interfejs API mogą wprowadzać luki w zabezpieczeniach. To przywraca nam zero zaufania - „nigdy nie ufaj, zawsze weryfikuj”. Pomysł przesunięcia obwodu w celu ochrony wewnętrznych zasobów jest mandatem dla modelu bezpieczeństwa zerowego zaufania. Liczba obwodów wzrośnie, stając się bardziej szczegółowa i bliższa obciążeniu pracą. Tożsamość będzie nowym obwodem.

Jednak wszystkie zasoby, które trzeba chronić, gdy koncentrujesz się wyłącznie na usługach wychodzących, są bardziej złożone pod względem wielkości, gdy musisz teraz chronić zasoby wewnętrzne. Obecne rozwiązania po prostu nie będą skalowane, aby spełnić ten poziom. Mamy rząd wielkości większy niż środowisko, które musisz chronić.

Dlatego obowiązkowe jest posiadanie rozwiązania zaprojektowanego od podstaw, tak aby było tak skalowalne, jak centrum danych i środowisko obliczeniowe. Brak zaufania staje się jeszcze ważniejszy w okresie przejściowym, ponieważ masz więcej wzajemnych relacji między usługami i obciążeniami wdrożonymi w różnych środowiskach. Także medium pomiędzy środowiskami może mieć różny poziom zaufania.

Dlatego decyzja o przyjęciu podejścia polegającego na zerowym zaufaniu jest kluczowym elementem dla utrzymania skutecznej pozycji bezpieczeństwa podczas fazy przejściowej. Jeśli nie ufasz swojemu obwodowi, jedynym sposobem zabezpieczenia jest szyfrowanie całej komunikacji między usługami.

Przykładowe podsumowanie rozwiązania

Idealnie, rozwiązanie musi oferować unikalną platformę bezpieczeństwa na poziomie aplikacji. Rozwiązanie warstwy 7 pozwala administratorom zrozumieć „kto” i „kiedy”. Poza tym pomaga ustalić, z jakich usług korzysta, mając jednocześnie poziom aplikacji korzystający z NLP.

Sieć, która jest niezależna i zorientowana na aplikacje, jest rozwiązaniem bazowym. Obejmuje szeroką gamę środowisk wirtualnych i sieciowych z naciskiem na przejście do chmury natywnej z podejściem zero zaufania.

Zorientowane na obciążenie, a nie na sieć, to sprawia, że ​​rozwiązanie jest bardziej stabilne, czytelne i łatwe w zarządzaniu. Amortyzuje użycie automatyzacji w celu uzyskania polityki najmniejszych uprawnień z obserwowanej aktywności.

Zapewnia to pełne podejście do wizualizacji, aktywności, polityki i różnic między nimi. Polityka skoncentrowana na obciążeniu ostrzega, gdy działanie narusza zasadę i gdy polityka może być zbyt luźna, biorąc pod uwagę zaobserwowane działanie. Zasady powinny być ustawiane przy użyciu atrybutów logicznych, a nie fizycznych.

Platforma bezpieczeństwa gwarantuje, że dokładnie wiesz, co się dzieje, podczas gdy przechodzisz ze starszych aplikacji do natywnych środowisk chmurowych. Stwierdza się pomyślnie, wypełniając lukę w celu bezpiecznej i płynnej migracji.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.