І знову про безпеку хмарних мереж

Здавалося б, безпека хмарних мереж не дуже відрізняється від безпеки традиційних мереж, але це не так принаймні в деяких аспектах.

У хмарних мережах використовуються ті самі фундаментальні парадигми і протоколи, що і в локальних мережах, тому безпека і там і там певною мірою перетинається. На думку галузевих аналітиків, міжмережеві екрани в "хмарі" відіграють таку ж важливу роль, як і в локальних мережах. Наприклад, як зазначає Gartner, "мережеві брандмауери залишаються ключовими засобами контролю мережевої безпеки".

Але не варто думати, що традиційні рішення і процеси мережевої безпеки здатні захистити хмарні мережі. Попри деяку схожість між хмарними та локальними мережами, існують і суттєві їхні відмінності. Так, під час розгортання хмарних застосунків ви, найімовірніше, зіштовхнетеся зі складними внутрішніми мережами та додатковими компонентами управління мережею. Серед іншого це можуть бути сервісні мережі та контролери входу, яких не зустрінеш в більшості локальних середовищ.

Це означає, що звичайну стратегію мережевої безпеки не можна просто "взяти й перенести" для захисту хмарних мереж. Тому потрібні додаткові можливості, інструменти та стратегії, яких може не бути в разі традиційної локальної експлуатації робочих навантажень.

Щоб зрозуміти, що таке безпека хмарних мереж, необхідно спочатку розібратися з тим, що таке хмарна безпека загалом. Сьогодні популярною моделлю, що дає змогу осмислити значення хмарної безпеки, є розроблена компанією Gartner концепція платформи захисту нативних хмарних додатків (Cloud Native Application Protection Platform, або CNAPP). Платформи CNAPP призначені для захисту хмарних застосунків, тобто застосунків, що працюють у хмарних середовищах, і забезпечують захист усіх рівнів стека хостингу та всіх етапів життєвого циклу постачання програмного забезпечення.

Оскільки хмарні застосунки часто містять складні мережеві архітектури, CNAPP мають захищати безліч аспектів мережевої функціональності - від міжмережевих екранів нового покоління і балансувальників навантаження до вебдодатків та API. Крім того, вони повинні забезпечувати гранулярну сегментацію і захист трафіку. З огляду на те, що кожне хмарне розгортання під'єднується до мережі за межами хмари і використовує мережу для передавання даних між різними ресурсами всередині хмари, безпечна мережа є основою для решти частини стратегії безпеки хмари.

Це справедливо, до речі, незалежно від того, який тип хмарної архітектури ви використовуєте: чи йдеться про одну "хмару" або ви належите до 90% організацій, що застосовують мультіклауд. Можливе також використання гібридного хмарного середовища, що поєднує приватні хмари або локальні ресурси із загальнодоступними хмарними сервісами. Незалежно від архітектури хмари, всі типи хмарних середовищ - однохмарні, багатохмарні та гібридні - залежать від мережі, що зв'язує інфраструктуру і робочі навантаження. Тому всі вони під загрозою серйозних ризиків у разі порушення безпеки хмарних мереж. І дуже важливо впровадити відповідне рішення. Рішення для забезпечення мережевої безпеки, яке буде послідовно й ефективно підтримувати всі ресурси незалежно від типу хмари, де вони розміщені.

Слід також зазначити, що моделі поділу відповідальності не звільняють компанії від необхідності забезпечувати безпеку хмарних мереж. Нагадаю, моделі поділу відповідальності - це угоди, що укладаються провайдерами хмарних обчислень зі своїми клієнтами, відповідно до яких провайдер відповідає за захист одних компонентів хмарного середовища, а його клієнти - за інші.

З погляду мережевої безпеки моделі спільної відповідальності вимагають від хмарних провайдерів захисту фізичної мережевої інфраструктури, наприклад комутаторів і маршрутизаторів, що забезпечують під'єднання до їхніх хмарних інфраструктур. Однак завдання забезпечення безпеки віртуальних мереж, які конфігурують замовники, а також трафіку, що входить і виходить із хмарного середовища через ці віртуальні мережі, лягає на плечі замовників. Грубо кажучи, ваш хмарний провайдер не врятує вас, якщо ви випадково залишите вразливі віртуальні машини в хмарі без виправлень, але надійна система запобігання вторгнень знизить цей ризик. Саме ви повинні керувати подібними ризиками безпеки хмарних мереж, використовуючи для захисту своєї хмари правильний набір інструментів і рішень - чи то власні засоби безпеки хмарних постачальників, чи то клієнські рішення "зроби сам", чи то продукти від постачальників засобів кібербезпеки.

У певному сенсі безпека хмарних мереж нагадує звичайну мережеву безпеку. Вона передбачає обмеження доступу до хмарних ресурсів за допомогою міжмережевих екранів, закриття вразливих портів, виявлення і блокування підозрілого мережевого трафіку тощо.

Однак в інших відношеннях безпека хмарних мереж пов'язана з низкою унікальних проблем. Це серед іншого.

Складність хмарних мереж. Хмарні мережі, як правило, складніші, ніж локальні. Вони можуть містити широкий спектр підмереж, віртуальні приватні хмари (наприклад, Amazon VPC), оверлейні мережі і, можливо, навіть міжмережеві з'єднання між декількома хмарами. За такої складності виявляти й усувати ризики безпеки складніше.
Менша прозорість. У хмарі компанії не мають прямого доступу до фізичної мережевої інфраструктури, що означає меншу прозорість того, що відбувається в їхніх мережах.
Динамічний характер хмарних активів. Локальні активи, як правило, більш постійні та статичні, тоді як хмарні - більш динамічні. У хмарі, наприклад, IP-адреси можуть швидко змінюватися, а активи - швидко збільшуватися або зменшуватися. Динамічний характер хмари може ускладнити запобігання ризикам безпеки.
Відсутність чистого периметра мережі. За бажання можна за допомогою брандмауера відокремити всю локальну мережу від Інтернету, але з "хмарою" так ви не зробите. Це означає, що хмарні мережі мають більш розмиті периметри. Можна використовувати рішення постачальників для створення деякої ізоляції між хмарними ресурсами та Інтернетом, але в кінцевому підсумку ці ресурси все одно можуть бути схильні до загроз мережевого рівня.
З цих причин безпека "хмарних" мереж вимагає іншого підходу, ніж традиційна. Не можна просто перенести засоби і процеси з локальної мережі в хмару. Замість цього необхідно впроваджувати рішення безпеки, спеціально розроблені для хмарних середовищ. Ефективний захист хмарних мереж включає три аспекти.
Комплексність. Необхідно мати можливість запобігати загрозам у будь-якій публічній або приватній хмарній мережі, а також у будь-якому іншому компоненті ІТ-системи, використовуючи єдине рішення.
Консолідованість. Інструментарій безпеки має бути консолідованим і забезпечувати єдине управління та операції безпеки.
Спільна робота. Використання даних про загрози та інтеграція із зовнішніми інструментами мають давати змогу командам спільно виявляти та запобігати ризикам безпеки хмарних мереж.

Якщо стратегія безпеки хмарних мереж відповідає всім цим пунктам, ви зможете запобігати ризикам максимально ефективно і результативно.

Крім розгортання вірних засобів захисту, подальшому зміцненню безпеки хмарних мереж сприяє дотримання передових практик.

Серед іншого це Zero Trust (нульова довіра). Ця модель безпеки передбачає заборону на взаємодію ресурсів, що підключаються до хмарної мережі, з іншими ресурсами доти, доки вони не пройдуть перевірку і не будуть визнані безпечними.

Необхідно використовувати підхід “Найменших привілеїв”. Обмеження хмарних сутностей мінімально необхідними привілеями дає змогу знизити ризик і масштаби порушень безпеки, пов'язаних із небезпечними налаштуваннями прав доступу. Методологія найменших привілеїв також привносить контекст у мережеву безпеку, допомагаючи адміністраторам визначити, яку роль має відігравати кожен користувач.

Не забувайте також про сегментацію. Обмеження зв'язку між віртуальними мережами в хмарі може суттєво знизити ризик поширення загрози між мережами.

Ну і в завершення, традиційно нагадаю про необхідність впровадження проактивної стратегії захисту, будь то мова про безпеку хмарних мереж чи традиційних інфраструктур.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365