Сетевая безопасность в облаке должна стать нативной

Предприятия продолжают переходить в облако. В связи с этим возникает вопрос о том, актуальна ли в этой среде сетевая безопасность. Краткий ответ: да, но она должна стать нативной для облака и отвечать требованиям бизнеса, пишет на портале The New Stack соучредитель и технический директор Valtix Вишал Джайн.

В последние 15 месяцев мы наблюдаем невообразимо быстрый переход на облачные технологии и рост зависимости от технологий в целом, что, в свою очередь, является катализатором быстрого перемещения в облако большего, чем изначально планировалось, числа приложений. Это ускорение заставляет задуматься над несколькими вопросами, и одним из них является вопрос сетевой безопасности (СБ).

В рамках СБ в облаке существует несколько различных способов сегментации, но лучше всего провести черту между защитой пользователей при доступе к облаку и защитой приложений, развернутых в облаке. Первый вариант получил много инвестиций и инноваций и является относительно хорошо изученной проблемой, поэтому следует сосредоточиться на втором. Вместе с этим возникает вопрос: учитывая все разработки и инновации в облаке, актуальна ли там СБ?

СБ имеет значение

Многие говорят, что СБ больше не имеет значения — нет периметра, нельзя доверять сети, следовательно защита выполняется на уровне приложений. Кроме того, имеются решения для обеспечения безопасности контейнеров, не говоря уже о том, что ее обеспечением занимается облачный провайдер. По ряду причин реальность не так проста:

• к новым приложениям существует множество различных подходов;
• настройка безопасности в этих средах возможна, но требует больших усилий и является дорогостоящей и малоэффективной, потому что касается только конкретного приложения (т. е. разная для разных приложений);
• ключевой принцип безопасности — глубокоэшелонированная защита. Все реализации безопасности, разработанные людьми, подвержены ошибкам. Имеется множество примеров, когда первичная защита не срабатывала. Как следствие, требуется многоуровневый подход.
• схожий с предыдущим, но несколько другой принцип: большинство специалистов по безопасности хотят держать угрозы (например, DDoS) как можно дальше от защищаемого ресурса.

Суть в том, что сеть — это общая основа. Это единственное, к чему прикасается каждое приложение.

Культура и технологии безопасности в облаке

Необходимо рассмотреть два аспекта — культуру и технологии. Культура в первую очередь касается разработчиков. Переход к облачным технологиям изменил все, что мы делаем в контексте разработки — лексику, мышление, развертывание, инструменты и т. д. Это связано с тем, что разработчики стали ближе к бизнесу. Безопасность и доступность раньше рассматривались в проекции на ИТ, а теперь их нужно представить в терминах разработчиков. Безопасность, в частности, нуждается в изменении мировоззрения. Нужно думать об адаптации, а не о контроле. Но адаптироваться — трудная задача. Чтобы быть отзывчивым к бизнесу, на кухне требуются больше поваров, гораздо более динамичная среда и более слабая модель контроля. И все же собака (разработчики для бизнеса) должна вилять хвостом (инфраструктура и безопасность).

Означает ли дополнительная сложность, что СБ потеряла актуальность? Нет. Это просто означает, что мы должны изменить методы защиты. Если переключиться на технологию, то, хотя сеть и является общей основой, она стало гораздо более динамичной. Это следствие большего количества быстро развертываемых приложений. Нормой стало самообслуживание, а инфраструктура закупается и развертывается по одной и той же модели. Такова природа реагирования на требования бизнеса, и это хорошо. Но традиционная СБ не создана для динамичной среды.

Она создавалась для сети, которая была спроектирована один раз и, как правило, в течение длительного времени не менялась. Это означало, что ИБ-специалисты могли размещать средства контроля в ключевых точках и быть уверенными, что они видят на них весь проходящий трафик. На этих точках была сосредоточена почти вся видимая поверхность безопасности. В облаке некоторые базовые службы не всегда проходят через точку контроля (например, DNS), а динамическая среда означает, что сеть постоянно меняется.

Несмотря на изменение среды, СБ по-прежнему нужна. Это просто означает, что мы должны изменить способ, которым она осуществляется — нужно добавить гораздо больше видимости в ее возможности. Вместо того чтобы смотреть в трубу, нам нужен облачный эквивалент спутниковых снимков и беспилотников. Это позволит видеть динамичную среду и соответствующим образом развертывать средства контроля безопасности — какие новые приложения и инфраструктура развернуты и где разместить средства защиты.

Инструменты СБ должны измениться

Итак, есть ли у нас правильные инструменты? Короткий ответ — нет. Как было сказано выше, большинство традиционных инструментов — с прицелом на другую реальность с другим набором предположений. Как уже говорилось, СБ актуальна и важна, но ее реализация должна измениться. Критически важными являются две ключевые концепции, обе упоминавшиеся ранее — адаптация и наблюдаемость. Адаптация означает, что культура и набор инструментов должны быстро адаптироваться к изменениям, а не контролировать их. Наблюдаемость — не менее важна.

Наблюдаемость не типа «найди все мои уязвимости», а четкая картина среды в реальном времени, чтобы средства контроля безопасности могли адаптироваться и автоматически развертывать инструменты в соответствии с темпами изменений. Другими словами, СБ должна стать нативной для облака. При этом ее внедрение (как культура, так и технологии) должно адаптироваться и стать адаптируемым. Таким образом, подобно разработке и инфраструктуре, безопасность тоже может реагировать на потребности бизнеса.