Ha valaki másfél-két évtizede azt jósolja, hogy a felhőt legfeljebb valamiféle távoli és interneten keresztül elérhető adatközpontként használjuk, nagyobbat nem is tévedhetett volna. A cloud computing elágazása SaaS, PaaS és IaaS irányba csak a kezdet volt. Aztán jött az intelligens edge, az IoT, a felhős compliance összetett (és világpolitikától sem független) kérdése, a multicloud... és most mindehhez a mesterséges intelligencia. Ugyanez a folyamat azonban a kiberbiztonsági kihívások körét is óriásira tágította.

Ha pedig mérettől és iparágtól függetlenül a vállalatok üzletkritikus infrastruktúrájának gerincét egyfajta univerzális platformként a felhő biztosítja (egy felmérés szerint ráadásul a szervezetek négyötöde párhuzamosan több felhőt használ), értelemszerűen az üzletet kiszolgáló teljes ökoszisztéma más aspektusai – az IT-governance, a kockázatelemzés és -kezelés is ilyen megközelítést igényelnek.

Ez hatványozottan igaz a kiberbiztonságra. Amikor egy cég a teljes szervezetére kiterjeszti az on-premről a felhőre váltást (elosztott infrastruktúra, futtatókörnyezet, szolgáltatások stb.) azt az IT-biztonságnak is le kell követnie.

Amikor a felhő belép a képbe, az IT-n belül rendszerint kialakítanak egy platformüzemeltető csapatot, amelynek az a feladata, hogy szabványosított API-készlettel leképezze a meglehetősen bonyolult felhős, jellemzően multicloud architektúrákat a szervezet alkalmazottainak, akik aztán az API-kon keresztül kapcsolódhatnak a jóváhagyott szolgáltatásokhoz. Ez az API-kra épülő architektúra azt is jelenti, hogy silókba zárt csapatok és technológiai stackek helyett egy rugalmasan átjárható, összekapcsolt rendszert kapunk.

Egy-egy önálló stack (architektúra, eszközök, folyamatok) üzemeltetése önmagában lehet egyszerűbb, ám bármilyen integrációs kényszer azonnal hatványozza a komplexitást, az üzemeltetés költségeit – és természetesen a biztonsági kockázatokat is.

Még egy védelmi eszköz vagy platform?

A folyamatot a cégek igyekeztek biztonsági oldalról is lekövetni, azért újabb és újabb megoldásokat vezettek be a szaporodó kiberbiztonsági kockázatok kezelésére. Ma egy cég átlagosan 32 kiberbiztonsági eszközt használ, ám ezek menedzselése, kézben tartása egyre nagyobb kihívás. A felhő azonban ezen a téren is utat mutatott: vonjuk össze egy platformra a biztonsági megoldásokat.

A platformközpontú építkezésnek általánosan is számtalan előnye van. Mindenekelőtt segíti a szabványosítást, miáltal javítja az automatizálás lehetőségeit és a költségoptimalizálást egyaránt. Szintén fontos előny, hogy a biztonsági és a compliance terület szervesebben és átfogóbban (és automatizálva) építhető be a folyamatokba: időben felkerülnek a legfrissebb biztonsági javítások, működik a titkosítás, csökken a hitelesítő adatok kompromittálódásának a lehetősége és így tovább. Összességében sokkal hatékonyabb választ lehet adni arra a két alapkérdésre: egy rendszer mely eleme védett, és mitől?

Amikor egy cég védelmi megoldásokban gondolkodik, akkor szinte azonnal előkerül az egy vendor – több vendor dilemma. Első esetben be kell vállalni olyan, esetlegesen gyengébb megoldást, ami nem tartozik a választott gyártó fókuszába. Utóbbi esetben viszont számolni kell az integrációs, üzemeltetési és maintenance-nehézségekkel (eltérő frissítési ciklusok, többféle belső kompetencia stb.).

A platformválasztás nehézségei

Ezt a dilemmát némileg feloldja a "platformizáció". A koncepció egyik élharcosa, a Palo Alto Networks saját platformjai kapcsán fogalmazott meg három kritikus követelményt, amit érdemes a kiválasztáskor figyelembe venni. Az első és legfőbb szabály, hogy a platformra költözés nem szólhat arról, hogy a biztonsági követelményekből engedünk az egyszerűsített felügyelet vagy a szállítói konszolidáció érdekében.

Legyen a platform moduláris. Így fokozatosan, igény szerint lehet bővíteni, belevinni újabb és újabb eszközöket, funkciókat; illetve ugyanígy szűkíteni is anélkül, hogy az fennakadást okozna a platform többi részének működésében.

Végül, de nem utolsósorban tegye lehetővé a natív platformintegrációt, miáltal az egyes komponensek együtt erősebbek lesznek, mint önmagukban. Más szavakkal: ne merüljön ki a platform egy közös kezelőfelületben, ami mögött egymástól független termékek dolgoznak. Egy platform ugyanis akkor hatékony, ha szorosan integrál minden elemet a házirendkezeléstől a riportokig, így azok működése is összehangolt lesz.

Holisztikus – és olcsóbb is

A Palo Alto Networks ennek a koncepciónak a jegyében fejlesztette három platformját, melyek működését egy közös mesterséges intelligencia, a Precision AI támogatja. Használhatók önállóan, de együttesen holisztikus módon biztosítják egy vállalat teljes lefedettséget kibervédelmi szempontból.

A Strata platform garantálja a hálózati biztonság: egyszerűsíti az operációt, érvényesíti a biztonsági irányelveket, véd a fejlett fenyegetések ellen. A Prisma Cloud ún. code-to-cloud platform, amelynek az a feladata, hogy az alkalmazások biztonságát a tervezéstől a fejlesztésen át a futásidőig biztosítja. A harmadik elem pedig egy mesterséges intelligencia által vezérelt SecOps platform, a Cortex, amely segít a biztonsági fenyegetések észlelési idejének csökkentésében és az elhárításban is.

Az a teljes lefedettség, amit a három platform biztosít, csak jelentős kiberbiztonsági beruházásokkal, a "pénz, paripa, fegyver" klasszikus hármasával lenne biztosítható: még több eszközzel, még több emberrel – és persze még több hibalehetőséggel.

Ha érdekesnek találta témát, vegyen részt november 7-én a Clico Cloud Control konferencián, ahol minden előadás a legújabb felhős biztonsági megoldásokról szól a téma legjobb ismerőitől.