Цифровая трансформация переносит огромные рабочие нагрузки в облако, поскольку организации выходят за рамки традиционной существующей модели. Облако обеспечивает гибкость для быстрой работы, своевременного вывода продукта на рынок и принятия изменений в цифровой среде. 

Автор: Ануп Деб, Palo Alto Networks

Облачное приложение (cloud native application) не только обеспечивает конкурентное преимущество, но и является базовой стратегией для организаций, которые направлены на увеличение операционной эффективности, снижение затрат и повышение гибкости. Облако модернизирует жизненный цикл разработки программного обеспечения.

Неуклонное внедрение облачных приложений не только нарушает положение на рынке, но и создает серьезную проблему при определении сетевой безопасности и общих требований к безопасности. Позиция безопасности при развертывании облачных приложений требует целостных изменений, поскольку существуют глубокие различия в растущей архитектуре. Позвольте мне проиллюстрировать проблемы в нынешних условиях.

1) Проблемы, с которыми сегодня сталкиваются организации, – это реструктуризация политик безопасности и приведение их в соответствие с бизнес-целями, чему способствуют облачные приложения. Недостаточная видимость активов и запасов является серьезным ограничением.

2) Растущий спрос на соблюдение нормативных требований защиты данных и конфиденциальности, отраслевых требований и национальных законов в ответ на рост цифрового бизнеса означает, что необходим комплексный подход для защиты данных в облаке от несанкционированного доступа, уязвимости или кражи.

3) Требования к внедрению DevSecOps, как для приложений, так и для облачных конфигураций, тоже являются сложной задачей. Кроме того, есть сложности доставки приложений для масштабирования, обеспечения контейнеризации  и требований к оркестровке для микросервисов, работающих в мультигибридной облачной среде.

4) Угрозы опережают средства контроля безопасности в гибридных мультиоблачных средах, поскольку злоумышленники используют преимущества уязвимости облачных ресурсов.

Управление безопасностью в облачной среде может быть сложным, поскольку оно требует полного охвата всего стека облачных технологий, приложений и данных на протяжении всего жизненного цикла приложений, а также в мульти - и гибридных облаках. Организации должны принять комплексную стратегию, которая включает в себя следующее:

Управление безопасностью в облаке. Первым шагом к созданию надежной системы безопасности является получение глубокой контекстной видимости с возможностью иметь представление обо всех облачных активах и ресурсах, а также об их безопасности и соответствии требованиям. Важно иметь видимость инвентаризации активов, включая ресурсы. Как только вы узнаете, что у вас есть, организации получат прозрачность, соответствие нормативным требованиям и управление для создания и применения настраиваемых политик управления, которые обеспечивают их совместимость с облаком как по внутренним, так и по внешним стандартам.

Защита рабочей нагрузки в облаке. Облако модернизирует жизненный цикл разработки программного обеспечения. Развитие DevOps, возможно, определяет наиболее важный аспект стратегии «shift left» и автоматизации безопасности с помощью интеграции CI/CD (концепции непрерывной интеграции и доставки). Облачный ландшафт растет, а предприятия внедряют новые технологии и уровни абстракции. Монолитные приложения распадаются на микросервисы для быстрого развертывания и управления. Неумолимый темп перехода от пакетной обработки к непрерывным выпускам приложений стал необходимостью. Это требует приоритета для защиты хостов, контейнеров и виртуальных машин на протяжении всего жизненного цикла приложения. Выбор различных форм-факторов в облаке обеспечивает уникальные преимущества для предприятий и, следовательно, предъявляет различные требования к безопасности. Другая проблема заключается в обеспечении безопасности веб-приложений и API для защиты интерфейсных приложений и API. Организации должны предоставлять технологии для обеспечения безопасности любой облачной рабочей нагрузки на протяжении всего жизненного цикла разработки, применяя автоматизированную платформу машинного обучения для команд DevOps и SecOps для совместной работы и эффективного выполнения интегрированного жизненного цикла программного обеспечения.

Безопасность облачной сети. Повышайте прозрачность сети и применяйте микросегментацию, основанную на идентификации, для предотвращения боковых атак на уровне контейнера и хоста с помощью распределенных сетевых экранов (distributed firewalls) 4 и 7 уровня. Сегментация облачных сетей и внедрение политик на основе логической рабочей нагрузки и идентификаторов приложений значительно помогают защитить границы. Сетевая защита для облачных сред обеспечивает согласованность политик в мультигибридных средах и возможность обнаружения и предотвращения сетевых аномалий, применяя микросегментации на уровне контейнера, наблюдение за журналами потоков трафика и использование расширенной собственной облачной защиты предотвращения угроз 7 уровня.

Управление правами доступа к облачной инфраструктуре. Управление привилегированными пользователями и обеспечение доступа с минимальными привилегиями посредством автоматизации является важным шагом для защиты и управления отношениями между пользователями и облачными ресурсами. Это помогает регулировать политику управления доступом в гибридной мультиоблачной среде. Доступ к постоянно расширяющемуся набору конфиденциальных ресурсов может быть затруднен. Обеспечьте строгую идентификацию и доступ, а также безопасность рабочих нагрузок, которые будут анализировать поведение пользователей облака и ресурсов для обнаружения и предотвращения аномального поведения. Например, вход администратора в систему из неизвестного местоположения или доступ контейнера к файлу, к которому он не должен иметь доступа.

Поскольку все больше и больше рабочих нагрузок переходят в облако, сочетание возможностей искусственного интеллекта и автоматизации будет иметь большое значение как для DevOps, так и для групп безопасности в создании надежной стратегии облачной безопасности.

Ссылка на источник