Jak wejść w chmurę i dobrze się poczuć?

Podstawą do dobrego samopoczucia jest bezpieczeństwo, dlatego trzeba wiedzieć, jak chronić swoje środowisko chmurowe w obszarach infrastruktury, aplikacji i tożsamości.

Drugie wirtualne spotkanie, które odbyło się w ramach dedykowanego Dyrektorom IT programu SECURITY SIG, poświęcone było chmurze. O tym, jak radzić sobie z wyzwaniami związanymi z migracją do chmury mówili Tomasz Jedynak, Cybersecurity Sales Specialist w Cisco Systems oraz Piotr Zmudziński, Cloud Solution Architect z T-Systems Polska.

 Spotkania SECURITY SIG są okazją do wymiany i wyrównania wiedzy. W zasadzie powszechnie wiadomo, czym są chmura prywatna, publiczna i hybrydowa. Warto było jednak uzgodnić pojęcia, bo środowisko chmurowe nieustannie się zmienia i wiedza wymaga ciągłej aktualizacji. Dość powiedzieć, że w 2006 r., kiedy oficjalnie wystartowała oferta chmury publicznej, dostawca udostępnił trzy usługi - maszyny wirtualne, storage oraz kolejkowanie komunikatów. Dzisiaj w ramach trzech platform – IaaS, PaaS i SaaS – mamy dostęp do niezliczonych usług chmurowych i stale przybywa nowych.

Jak przeprowadzić migrację?

W czym chmura publiczna jest w stanie nam pomóc? Likwiduje ona dwie podstawowe niedogodności własnej infrastruktury. Pierwsza to niewykorzystane zasoby. Druga, jeszcze bardziej dotkliwa, to ich niedobór, który skutkuje brakiem dostępu do usług, a w najlepszym wypadku spowalnia ich działanie. Chmura natomiast daje możliwość łatwego rozszerzania i ograniczania zasobów adekwatnie do bieżących potrzeb.

Gdy zdecydujemy się na migrację swoich aplikacji do chmury, to – jak tłumaczył Piotr Zmudziński – możemy to zrobić na kilka sposobów. Po pierwsze, skorzystać z podejścia „lift and shift”, odwzorowując maszyny wirtualne „on-prem” w chmurze – 1:1, bez jakichkolwiek modyfikacji. Można także postawić infrastrukturę po stronie chmury publicznej, by następnie zainstalować aplikacje na zaktualizowanych systemach operacyjnych. Unikniemy wtedy takich np. sytuacji, że przenosimy którąś z naszych aplikacji wraz ze starym Windows Server 2008 z niezałatanymi podatnościami. Jeśli nie chcemy lub nie możemy zrobić odwzorowania naszych aplikacji, pozostaje przepisanie ich tak, by korzystały z usług PaaS, czyli stały się „cloud native”.

Chmura publiczna jest często wykorzystywana do backupu. Dzięki usłudze kopii zapasowej w chmurze możemy być chronieni np. przed ransomware - nawet w przypadku, gdy dane zostaną zaszyfrowane przez złośliwe oprogramowanie, to zawsze można wrócić do ich wcześniejszej wersji. Podczas warsztatu uczestnicy spotkania mogli się przekonać, jak łatwo w praktyce wdrożyć backup chmurowy.

 Zadbać o najsłabsze ogniwo

Bez względu na to czy aplikacje będą działać w chmurze publicznej czy prywatnej ważne jest to, by bezpieczeństwo stanowiło jedną zintegrowaną architekturę. Taką, która umożliwi wykrycie incydentu bezpieczeństwa, potem jego analizę, a na końcu przeciwdziałanie i neutralizację skutków potencjalnego włamania. Bardzo istotne, by w systemie złożonym z wielu środowisk, możliwa była komunikacja pomiędzy nimi. Tylko w ten sposób uzyskamy wiedzę o tym, co się dzieje.

Ta wiedza i wynikające z niej bezpieczeństwo zaczynają się od widoczności. Trzeba dokładanie określić, jakie są urządzenia, sieci, aplikacje, przepływy i - co ważne - robić to w sposób ciągły. Wtedy jesteśmy w stanie stworzyć skuteczną politykę segmentacji sieci, by uniknąć rozprzestrzeniania się zagrożeń.

 Podejściem, które umożliwia zapewnieni bezpieczeństwa niezależnie od wykorzystywanego środowiska jest – jak tłumaczył Tomasz Jedynak - Zero Trust Architecture. Pozwala ono skutecznie zabezpieczyć urządzenia, aplikacje i ludzi bez względu na to, gdzie te elementy się znajdują.

 Każdy system jest tak silny, jak silny jest jego najsłabszy element. A ponieważ jest nim najczęściej użytkownik, to tak ważna staje się także ochrona tożsamości. Według raportu Verizona 81 proc. wszystkich włamań polegało na wykorzystaniu wykradzionej tożsamości albo przełamaniu słabego hasła. Co możemy zrobić, żeby zarówno w środowisku chmury publicznej, jak i prywatnej nie dokładać swoich trzech groszy do takich statystyk?

Zdaniem Tomasza Jedynaka powinniśmy korzystać z rozwiązań typu MFA (Multi-Factor Authentication). Spowodować, by użytkownik logował się przy użyciu jakiejś podstawowej formy uwierzytelniania (najczęściej loginu i hasła) a dodatkowo weryfikował się za pomocą innej metody - kodem jednorazowym, SMS-em, połączeniem telefonicznym itp. Takie podejście znacznie ograniczy możliwość ataku wykorzystującego skradzioną tożsamość i zapewnia bezpieczny dostęp do aplikacji. Ponieważ MFA jest już dzisiaj łatwe do wdrożenia, powinno być stosowane wszędzie, gdzie to możliwe.

Czy chmura jest tańsza?

Podczas sesji Security SIG o chmurze nie mogło zabraknąć pytań o koszty. Czy chmura publiczna jest tańsza od lokalnie uruchamianych systemów? Bywa tak przedstawiana, ale doświadczenia użytkowników pokazują, że tak być nie musi i często nie jest. Niekontrolowane wydatki mogą podważyć sens każdego projektu chmurowego i nawet jeśli CAPEX zamieni się w OPEX, to i tak ostatecznie za wszystko trzeba będzie sporo zapłacić. W dodatku dostawcy chmury pewnymi, głębiej schowanymi w cenniku pozycjami potrafią swoich klientów zaskoczyć.

- Dlatego by korzystać z chmury, trzeba bardzo precyzyjnie określić, co w niej się chce mieć i ile będzie to kosztować. Warto to zrobić, bo choć chmura nie musi być tańsza, to ostatecznie daje wiele korzyści niedostępnych dla rozwiązań „on-prem”. A gdy brakuje w firmie ludzi, którzy mieli by się zająć obsługą lokalnych systemów, może być jedyną opcją - podsumował dyskusję Tomasz Matuła, dyrektor programowy SECURITY SIG.