Csökkentse biztonsági és megfelelési kockázatait egy robusztus nyílt forráskódú Linux platformmal – hirdeti a tutit egy jelentős nyílt forráskódú vendor egyik e-bookjának címe. Ha ilyen egyszerű lenne a dolog, a legtöbb kiberbiztonsági cég szögre akaszthatna egy bokszzsákot, hogy legyen mit püfölnie a kiberbűnözők helyett. Hiszen a felhős adatközpontokban a szoftveres alap, az operációs rendszer általában valamilyen robusztus Linux, és ha az fut, akkor nincs kérdés...

Ám ettől a paradicsomi állapottól egyelőre távol vagyunk. Sőt az IT-rendszerek mára olyannyira komplexszé váltak, hogy a megfelelő szintű (és nem a tökéletes!) védelmet is csak hasonlóan komplex arzenállal lehet biztosítani. Míg korábban az on-premise és a felhős rendszerek elkülönültek, manapság általános, hogy a vállalatok szervesen összekapcsolják az igénybe vett felhős (sőt több szolgáltatótól származó, azaz multi-cloud) szolgáltatásokat saját helyi rendszereikkel, adatközpontjaikkal, azokat pedig a beszállítóik rendszereivel... Ez a védekezést is komplexebbé teszi. A kérdés az, hogy honnan érdemes közelíteni a feladathoz: az on-prem hálózatbiztonság irányából vagy a felhő felől?

A SASE architektúra

A Gartner elemzői 2019-ben publikáltak egy biztonsági trendeket elemző tanulmányt The Future of Network Security Is in the Cloud címmel, amit azóta sokan és sok helyütt idéztek – nem véletlenül. A Gartner ebben a tanulmányában bevezet egy új biztonsági modellt, a Secure Access Service Edge-et (SASE) (a kifejezés állítólag a tanulmányt jegyző három vezető biztonsági elemző, Neil MacDonald, Lawrence Orans és Joe Skorupa leleménye).

A Gartner elemzői tulajdonképpen nem hozznak semmi forradalmi újdonságot, csupán összegzik azokat a biztonsági tapasztalatokat, melyek a cloud computing egyre általánosabb használatából kikristályosodtak. Leegyszerűsítve: az elemzés állítása, hogy el kell felejteni a vállalatok központosított biztonságát, és helyette két tényezőre kell fókuszálni, a felhasználóra és a végponti eszközre.

A SASE architektúrának négy pillére van.

1. Identitásvezérelt: a felhasználó és az erőforrás identitása (és nem csupán egy IP-cím) határozza meg a hálózati élményt és a hozzáférési jogokat. A vállalatoknak így csupán egyetlen konzisztens hálózati és biztonsági házirendre van szükségük függetlenül attól, hogy a felhasználó honnan és milyen eszközzel kapcsolódik a rendszerhez.

2. Felhőalapú: ez biztosítja a védelem elasztikusságát, alkalmazkodóképességét, valamint azt is, hogy képes az öngyógyításra és az önfenntartásra.

3. Támogatja a teljes edge ökoszisztémát: a SASE architektúra egyetlen hálózatként kezeli az összes vállalati erőforrást az adatközpontoktól a fiókirodákon és a felhőalapú erőforrásokon át mobilokig, így figyelme a hálózatok peremére is kiterjed.

4. Globálisan elosztott: bárhol és bármikor elérhetők a teljes hálózati és biztonsági képességek. (Ehhez persze kell egy olyan infrastruktúra, amely képes alacsony latenciával kiszolgálni az éleket, tették hozzá az elemzők.)

A koncepció komoly hatást váltott ki a kiberbiztonsági iparban. Ez nemcsak annyiban mutatkozik meg, hogy pl. a Palo Alto Networks még idén is ilyen címmel rendezett szakmai webinárt, hanem sokkal inkább abban, hogy vendoroknál és felhasználóknál egyaránt új szemlélet honosodott meg a vállalati biztonsággal kapcsolatban. Míg korábban a hálózatbiztonság kritikus kérdése az volt, hogy miként lehet összeilleszteni az SD-WAN eszközöket, tűzfalakat, a behatolásérzékelő és -megelőző eszközöket, hogy azok zökkenőmentesen együttműködjenek, a SASE architektúra a sokkal egyszerűbb és transzparens felhős engedélyezési eljárás megvalósítását kínálja helyette.

Felhős vs hálózati biztonság

És hogy miért ennyire fontos az egyszerűség és a transzparencia? Egyrészt a vállalati munkaterhelések egyre nagyobb hányada (egyes felmérések szerint több mint fele) nyilvános felhőben fut. De emellett fontos tényező a hibrid rendszerek fentebb említett komplexitása vagy a DevOps környezetek terjedése. A DevOps felgyorsította a fejlesztések szállítását, de az üzleti agilitást szolgáló sűrűbb release-ek újabb biztonsági kockázatot jelentenek megfelelő IT-biztonsági háttér nélkül. Ezért fontos, hogy a DevOps minden szakaszába szervesen beleépüljön a biztonság is (DevSecOps), ami nem valósítható meg csak az on-premise rendszerekre koncentrálva.

Mindezek a tényezők olyan eszközök és módszerek összességét követeli meg, melyek a hagyományos hálózatbiztonsági szemlélettel már csak részben vagy drágán valósíthatók meg. Az alábbi táblázatba összegyűjtöttük a legfontosabb különbséget a hálózatbiztonság és a felhős biztonság között.
 

Az pedig, hogy a fenti változásokra hogyan reagálnak a felhasználók, szépen kirajzolódik a Palo Alto Networks egy idén publikált tanulmányából (The State of Cloud Native Security Report 2023), amihez a cég felhős biztonsági szolgáltatásokat összefogó platformja, a Prisma Cloud tavaly november-december folyamán mintegy 2500 alkalmazottat (felük vezető beosztású) kérdezett meg három régió hét országában.

Az köztudott – erre még Eurostat-adatok is vannak –, hogy a vállalkozások leggyakrabban három okból fordulnak a cloud computing felé: termelékenységük javítása; a menet közbeni skálázhatóság (felfelé-lefelé); valamint a költségszerkezet (OPEX) miatt. Ezt a The State of Cloud Native Security Report eredményei is megerősítik.

Utóbbiból azonban képet kapunk arról is, hogy a "felhősítési" stratégiák mennyire eltérőek. A válaszadók 37 százaléka mondta, hogy natív felhős alkalmazásokat fejleszt, 27 százalékuk pedig az ún. refactoring-rebuilt módszert használja (meglévő eszközök felhasználásával az alkalmazások újratervezése és újraépítése pl. a microservices architektúra követelményeinek megfelelően). 36 százalékuk azonban megmarad az ún. "lift-and-shift" módszernél. On-premise alkalmazásait áttervezés nélkül viszi felhőbe, annak ellenére, hogy ennek komoly hátulütői vannak: nehézkes a legacy rendszerek karbantartása, kiegészítő rendszerekre van szükség stb. Ugyanakkor a válaszadók szerint ezzel együtt is jelentős előrelépést hozott vállalatuknak (pl. költségoldalon).

Ahogy a felhőbe költözés módszerei, úgy a biztonság terén is megfigyelhető a sokszínűség. A válaszadók negyede még a felhővel kapcsolatos biztonságot is nyílt forráskódú eszközökkel próbálják megoldani, 9 százalékuk pedig elsősorban a felhőszolgáltatójára támaszkodik (lásd az alábbi táblázatot).
 

Ahhoz, hogy a a tudatosság javuljon, sokat kell dolgozniuk mind a szállítóknak, mind a szervezeteknél dolgozó biztonsági szakembereknek. És mivel az üzlet (és ezzel párhuzamosan a technológiai változás) frekvenciája egyre magasabb, a korszerű biztonsági szemlélet meghonosítása is egyre sürgetőbb feladat.

Ez a cikk független szerkesztőségi tartalom, mely a Clico Hungary támogatásával készült. Részletek »