Огромный объем конфиденциальных сведений, обрабатываемых приложениями «ПО как сервис» (SaaS), требует новых подходов к безопасности, включая облачные брандмауэры нового поколения, пишет независимый бизнес-консультант Лари Алтон на портале InformationWeek.
Если вы применяете унаследованные аплайенсы, чтобы обезопасить данные в приложениях SaaS, вам следует задуматься.
Расширяющееся использование облаков привело к тому, что ИТ-подразделения утратили контроль над рисками, которым подвергаются их организации. Практически невозможно создать отдельную политику безопасности для каждого облачного сервиса.
Изучив этот вопрос, Gartner пришла к выводу, что большинство компаний ошибаются в определении рисков. Например, ИТ-менеджеры уделяют больше внимания ошибкам производителей при защите ПО, чем управлению своими пользователями и данными.
Применение облачной защиты приложений SaaS обеспечивает более надежную безопасность данных, поскольку упрощает управление главным источником рисков — пользователями и данными. Вот как это делается.
Облачная защита приложений SaaS более управляема. Она облегчает управление четырьмя главными компонентами безопасности: наглядность, контроль, управление данными и защита от угроз.
Наглядность позволяет видеть, к каким приложениям осуществляется доступ в вашей сети, кто получает доступ и какие данные использует приложение. Контроль устанавливается в результате формирования и применения к приложениям политик, ограничивающих доступ. Управление данными определяет, как осуществляются управление и предотвращение утечки конфиденциальных сведений, имеющихся в приложениях SaaS. Защита от угроз выявляет, предотвращает и останавливает распространение вредоносного кода в приложениях.
Любой из этих четырех компонентов может стать уязвимым, если хотя бы одно из устройств безопасности не будет должным образом обновлено или достигнет окончания срока службы. Достаточно часто окончание срока службы становится неожиданностью, и у компаний отсутствуют планы замены.
Это не является серьезной проблемой при использовании облачных средств безопасности. Например, облачный брандмауэр нового поколения (next generation firewall, NGFW) эффективно выполняет все требования, и вам не придется заботиться об обновлениях.
Облачные NGFW устраняют необходимость во внутренних каналах (backhauling). Устройства могут инспектировать только тот трафик, который проходит через них. При использовании нескольких устройств внутренние каналы создают неудобство, необходимое однако, чтобы инспектировать весь трафик и подчинять его правилам.
Облачные сервисы упрощают данный процесс. Направление трафика через облако устраняет необходимость в развертывании нескольких устройств для охвата всего трафика.
Кроме того, облачный NGFW предотвращает незапланированные и принудительные замены устройств. Например, когда брандмауэр инспектирует зашифрованный трафик, он создает большую нагрузку на устройство, что вызывает проблемы с производительностью, которые могут потребовать замены устройства. Облачный NGFW снижает вероятность этого.
Выявляйте хранящиеся в документах конфиденциальные данные. Облачные средства безопасности могут автоматически выявлять конфиденциальную информацию в документах, хранящихся в приложениях SaaS. Если вы связаны требованиями GDPR или HIPAA, такая возможность бесценна.
Облачные средства безопасности устраняют необходимость в управлении жизненным циклом устройств. Для защиты сети неизбежны расходы на замену устройств. В какой-то момент все физические устройства защиты (включая физический NGFW) достигнут окончания срока службы и станут устаревшими, потому что производитель перестанет поддерживать этот продукт и соответствующие сервисы. Обновления ПО могут производиться лишь до определенного времени, пока они не превысят возможности устройства.
NGFW требует, чтобы в каждом местоположении имелось устройство с собственным набором правил. Это увеличивает вероятность несогласованностей, таких как несоответствия политик и конфликтующие правила. Жизненный цикл каждого устройства усложняется и требует индивидуального управления. Например, если филиалы размещены в семи разных местах, придется развернуть и сконфигурировать не менее семи устройств, устанавливать на них исправления и обновления. Со временем их придется заменять. Облачный NGFW не требует сложного управления жизненным циклом. Вам не придется устанавливать обновления и исправления или заменять его.
Облачная защита приложений SaaS предоставляет больше контроля над пользователями и данными. Конечная цель заключается в том, чтобы получить как можно больше контроля над пользователями. Многие ИТ-подразделения применяют брокеры Cloud Access Security Broker (CASB) для выявления неавторизованных приложений SaaS, к которым предоставляется доступ в сети. Однако CASB сложны в использовании. Даже если у вас есть время и деньги для имплементации CASB, они работают, только если сотрудники сообщат ИТ-подразделению, какие приложения они запускают. Протоколы не заставляют их это делать.
Политики, которые зависят от откровенности пользователей сети по поводу используемых приложений, попросту не работают. Облачные средства безопасности точно сообщат, какие приложения используются в сети, от них ничего не укроется.