Что такое безопасность многооблачных сред?
Безопасность многооблачных сред предполагает защиту хранилища организационных данных и вычислительных ресурсов повсеместно в нескольких облачных службах, включая локальные инфраструктуры, взаимодействующие с облачными компонентами.
По мере того как организации все чаще внедряют облачные службы, использование нескольких поставщиков стало предпочтительной стратегией, реализующей более широкие возможности, улучшенную гибкость и устойчивость. Тем не менее с несколькими облаками сопряжена повышенная сложность в гарантии применения и внедрения последовательных практик обеспечения безопасности. Все большее значение приобретает автоматизация защиты криптографических ключей, данных и рабочих нагрузок, а также соблюдение требований, независимо от того, где находятся эти элементы.
Каковы основные проблемы?
По мере того как организации все чаще внедряют гибридную модель многооблачных сред для управления своими компаниями, они сталкиваются с проблемой защиты рабочих нагрузок для соблюдения все более строгих правительственных и отраслевых норм обеспечения защиты и безопасности данных. Защита увеличивающегося объема рабочих нагрузок локально и в облаке имеет большое значение для соблюдения требований и сохранения конкурентоспособности. Установление и реализация последовательных политик безопасности на виртуальных машинах, в контейнерах и Kubernetes также имеет решающее значение для достижения успеха, поскольку методологии непрерывной интеграции и непрерывной разработки (CI и CD) с командами разработчиков программного обеспечения DevOps и DevSecOps становятся нормой.
Организации, внедряющие облачные службы, должны понимать, что хотя поставщики облачных услуг и несут ответственность за безопасность инфраструктуры, которую они предоставляют, за надежность и соглашение об уровне обслуживания, которое часто называют «безопасностью облака», они не несут ответственности за безопасность данных, которые клиенты облака хранят и обрабатывают в этой инфраструктуре, часто называемой «безопасностью в облаке». Модель разделения ответственности возлагает ответственность за защиту данных, криптографических ключей, которые защищают данные, и средства контроля доступа на владельца данных.
Как обезопасить развертывание многооблачных сред
Эффективная стратегия безопасности многооблачных сред (которая включает локальные компоненты) должна быть унифицированной и последовательной, а также должна обеспечивать видимость и контроль для всех криптографических ресурсов с интегрированным управлением соблюдением требований. Стратегия должна защищать критически важные ключи, данные и рабочие нагрузки, где бы они ни находились или куда бы они ни направлялись, с помощью стойкого шифрования и централизованного управления ключами. Она должна обеспечивать соблюдение политик безопасности и соответствовать контрольным журналам для отчетности и исправления положения. Автоматизация безопасности и соблюдения требований имеет основополагающее значение для обеспечения согласованности и сокращения числа человеческих ошибок.
Несмотря на то что существует множество аспектов, которые необходимо учитывать для обеспечения всеобъемлющей безопасности многооблачных сред, следует избегать точечных решений, которые учитывают только конкретные требования, поскольку их развертывание создаст дополнительные сложности и проблемы управления. Централизованное управление с децентрализованной моделью хранения позволит снизить риски и обеспечить соблюдение требований.
Преимущества стратегии многооблачных сред
Стратегия многооблачных сред даст организациям целый ряд преимуществ.
- Гибкость. Организации могут поддерживать гибкость, что позволит им осуществлять масштабирование и гибко переходить от одного облака к другому.
- Устойчивость. Поставщики облачных услуг чрезвычайно устойчивы и имеют хорошо продуманные схемы резервирования и аварийного восстановления в нескольких регионах. Однако, если рабочая нагрузка, находящаяся у CSP, будет скомпрометирована или перейдет в автономный режим с многооблачными средами, у вас есть альтернатива. Зачем ставить все на одну карту?
- Выбор. Возможность информирования о выборе лучшего CSP для работы, предоставляемая коммерческим рычагам организации. С одним CSP вы привязаны к его портфелю продуктов, производительности, задержке, коммерческим требованиям, условиям и методу работы.
- Контроль. Возможность выбора независимых многооблачных решений, например модули HSM как услуга, которые не привязаны к конкретному CSP. Это обеспечивает максимальный контроль над вашими криптографическими службами и свободу интеграции с любыми CSP, которых вы выберете.
Передовые практики по обеспечению безопасности многооблачных сред
В конечном итоге безопасность многооблачных сред сводится к планированию, согласованной политике, унифицированному управлению, видимости и автоматизации. Применение этих передовых практик гарантирует перечисленные далее возможности для вашего решения.
- Безопасность конфиденциальных ключей, данных и рабочих нагрузок.
- Проверка подлинности и целостности кода.
- Защита от непреднамеренных или преднамеренных ошибок в конфигурации.
- Обеспечение корня доверия для генерирования ключей и управления их жизненным циклом.
- Управление привилегиями конечных пользователей и контейнеров.
- Обеспечение соблюдения норм безопасности.
Чтобы упростить управление зашифрованными рабочими нагрузками в гибридных и многооблачных средах, необходимо автоматизировать жизненный цикл ключей шифрования, включая их создание, хранение, резервное копирование, распространение, ротацию и отзыв. Во всех возможных случаях организации должны использовать подход создания собственных ключей (BYOK) для генерирования, управления и использования собственных ключей шифрования применительно ко всем поставщикам облачных услуг. Решения для управления ключами должны всегда предполагать изолирование ключей от зашифрованных данных, чтобы снизить риск и обеспечить соблюдение требований. Аппаратные модули безопасности (HSM) обеспечивают корень доверия для генерирования, защиты и управления жизненным циклом ключей шифрования.
Чтобы свести все это в единую структуру, которая будет обеспечивать надлежащую безопасность и соблюдение требований, важно иметь централизованную аутентификацию, авторизацию и средства аудиторского контроля. Принимая эти меры, организации смогут снизить риск и операционные накладные расходы. Если следовать этим передовым практикам обеспечения безопасности и соблюдения требований, переход в гибридную и многооблачную среду может быть безопасным.