Kto jest odpowiedzialny za bezpieczeństwo firmowej chmury?
W najbardziej czytelnym scenariuszu, gdy na przykład zostanie wykryta luka w zabezpieczeniach platformy wirtualizacyjnej lub chmurowej, kwestia odpowiedzialności jest w miarę oczywista. Tylko połowa respondentów, który wzięli udział w ankiecie przeprowadzonej niedawno przez agencję IHS Markit na zlecenie Fortinet, była w stanie konkretnie wskazać winowajcę w przypadku problemów. Ale równie wysoki odsetek respondentów błędnie pociągnął swojego dostawcę usług chmurowych do odpowiedzialności za zagrożenia (takie jak zaawansowane uporczywe ataki APT) obecne w wyższych warstwach, będących w gestii zarządzania przez ich użytkownika.
Generalnie ochrona powinna być zapewniana w dwóch obszarach – w podstawowej infrastrukturze chmury (zabezpieczanej przez dostawcę usługi) oraz w warstwie, na którą składa się oprogramowanie, dane i aplikacje działające z wykorzystaniem tej infrastruktury (odpowiedzialność konsumentów za ochronę). Podziały te nie zawsze są jednak tak precyzyjne, zwłaszcza gdy wkraczamy w obszary dotyczące platformy i funkcjonalności dostępnej jako usługa (PaaS i FaaS). Dobrą zasadą jest przeprowadzenie konsultacji z osobami posiadającymi wiedzę dotyczącą najlepszych praktyk związanych z wykorzystywanymi usługami w chmurze. I raczej należy też oczekiwać, że ich dostawca zapewni tylko izolowane środowisko pracy.
Z chmury do chmury
Kolejnym wyzwaniem jest to, że oprogramowanie, jego funkcje, protokoły i reguły bezpieczeństwa działają w różny sposób na różnych platformach chmur publicznych, prywatnych czy w infrastrukturze fizycznej przedsiębiorstwa. Przenoszenie aplikacji lub usługi z jednego środowiska do drugiego może być proste, ale problem pojawia się przy zapewnieniu im bezpieczeństwa. Wiele rozwiązań ochronnych wymaga znacznej ilości zasobów IT w celu ich ponownego wdrożenia oraz weryfikacji poprawności pracy, szczególnie gdy aplikacje i ich dane systematycznie przepływają między różnymi środowiskami.
– Rozwiązanie tego problemu stanowi wyzwanie i jest czasochłonne. Działania należy zacząć od wyboru jednego dostawcy rozwiązań ochronnych działających we wszystkich rodzajach środowisk – chmurze publicznej i prywatnej, a także infrastrukturze lokalnej – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce. – Muszą też poprawnie funkcjonować w chmurach publicznych od różnych dostawców, aby nie ograniczać klienta, zaś zapewnić mu elastyczność wyboru środowiska IT, w którym chce pracować oraz efektywność migracji aplikacji i danych.
O autorze
