9 minute read
IDC CLOUD & SECURITY 2022
from IT Reseller #348
BEZPIECZNA CHMURA
Advertisement
Nie wyobrażamy sobie dziś biznesu bez technologii chmurowych. Po dość długim okresie niepewności, zyskały one zaufanie wśród klientów. Trudno się dziwić, bowiem dają liczne korzyści. W takim razie, w jaki sposób zaplanować migrację danych i aplikacji do środowiska chmurowego? Jakich narzędzi użyć, by efektywnie chmurą zarządzać? Jakie wyzwania stoją przed menedżerami IT w sferze technologii, bezpieczeństwa i otoczenia prawnego? Między innymi o tych zagadnieniach rozmawiano w czasie konferencji IDC Cloud & Security 2022 w Warszawie. – 24 lutego 2022 roku stał się punktem zwrotnym w rozumieniu modeli przetwarzania i przechowywania danych – wprowadziła do dyskusji Ewa Lis-Jeżak, prezes IDC na Polskę i kraje bałtyckie, otwierając konferencję. – Jak się okazało, podstawowym problemem jest zabezpieczenie danych w sytuacji bezpośredniego zagrożenia. Chmura sprawdziła się, jest świetnym rozwiązaniem. A przecież szczególnie w naszym regionie bezpieczeństwo jest priorytetem.
Wybór środowiska
Jednak chmura jest tylko hasłem. Ważne jest, w jaki sposób wykorzystuje się te technologie. IDC od wielu lat prowadzi badania na ten temat. – Obecnie widzimy, że świat jest hybrydowy – zwróciła uwagę Ewa Zborowska, Research Director w IDC. – Oczywiście nie wszyscy przeszli do chmury. Wyłącznie w środowisku cloud działa tylko około 3 procent przedsiębiorstw. Zwykle są to mniejsze, młodsze firmy, nieposiadające własnej tradycyjnej infrastruktury. Znakomita większość pracuje w środowisku hybrydowym. Przy czym aż 35 proc. firm twierdzi, że wolałaby korzystać przede wszystkim z własnych zasobów, jednak muszą korzystać z chmury, bo niektóre rozwiązania i aplikacje są dostępne wyłącznie w tym środowisku. Do największych wyzwań należy integracja tego hybrydowego środowiska: chmury publicznej, prywatnej oraz własnych rozwiązań on-premise w kontekście kontroli dostępu i bezpieczeństwa. Jak wynika z analiz IDC, w dużej części Europy udało się już zbudować zaufanie do rozwiązań chmurowych i hybrydowych, które są postrzegane jako bardziej lub równie bezpieczne, co własne centrum przetwarzania danych. Natomiast w Polsce pozostajemy bardziej sceptyczni. – Około 70 proc. organizacji w Europie przyznaje, że ma takie samo zaufanie do bezpieczeństwa chmury, jak do swoich instalacji on-premise – podkreślił Wiktor Markiewicz, Senior Market Research Analyst w IDC. – Mówiąc o bezpieczeństwie chmury, myślimy o skomplikowanych środowiskach i rozwiązaniach wielu dostawców. Sprawia to, że do 2026 roku wydatki na bezpieczeństwo IT będą się koncentrowały właśnie na rozwiązaniach chmurowych.
Jaka migracja
Zdaniem wielu osób dbałość o bezpieczeństwo biznesu w chmurze dotyczy nie tylko ewentualnych ataków, ale również ochrony interesów przedsiębiorstwa i zgodności z obowiązującym prawem. – Przechodząc do chmury, dokładnie analizowaliśmy współpracę z dostawcą – przypomniał Marcin Sagała, IT Director w towarzystwie ubezpieczeniowym Pru. – Skupialiśmy się na kilku obszarach: umowach i dostępie do danych w kontekście RODO, a także na wsparciu ze strony dostawcy i aktualizacjach systemu. Mieliśmy również obawy związane z wydajnością. Wiele z tych obaw okazało się na wyrost, ale niektóre się sprawdziły. Nasza firma, ze względu na charakter działalności, jest bardziej on-premise niż cloud. Ale przekonujemy się do chmury, bo widzimy efekty biznesowe i technologiczne. Do niedawna bezpieczeństwo danych było jedną z istotnych przeszkód dla organizacji przenoszących swoją
działalność do chmury. W pewnym momencie nastąpiła zmiana. Chmura uważana jest teraz za rozwiązanie bezpieczniejsze i elastyczniejsze. Choć naturalnie wyzwaniem pozostaje zarządzanie bezpieczeństwem w środowisku łączącym różne rozwiązania on-premise i chmurowe. Zdaniem Andrzeja Niziołka, Senior Regional Directora Eastern Europe w firmie Veeam Software, potencjalną pułapką jest zaniedbanie wykonywania rutynowych kopii bezpieczeństwa. Niektórzy mówią, że przecież w chmurze nie trzeba. W efekcie atak ransomware szyfrujący dane we wszystkich lokalizacjach może sparaliżować firmę. Innym zagrożeniem jest łatwiejszy nieautoryzowany dostęp do danych z powodu braku ograniczeń fizycznych. Receptą powinno być nie tylko obowiązkowe uwierzytelnianie wieloskładnikowe, ale też szkolenia z socjotechnik stosowanych przez hakerów i analiza logów. Pułapek jest zresztą więcej: niewystarczająca łączność z chmurą ze strony użytkowników firmowych i administratora, zmiany w organizacji i pojawianie się martwych kont pracowników opuszczających firmę czy też brak wiedzy administratorów niezbędnej do zarządzania złożonym środowiskiem chmurowym.
Prawdziwa rewolucja
– W minionych latach przeżyliśmy prawdziwą rewolucję na rynku aplikacyjnym, zmieniającą ugruntowane, wydawałoby się, standardy i rozwiązania – stwierdził Maciej Szulc, Senior Technical Specialist, IBM Technology Sales, Poland & CEE. – Pewne trendy, zmierzające do zmiany podejścia do sposobu budowy aplikacji, kształtowały się od dłuższego czasu. Już w roku 2001 pojawiły się podstawy tak popularnego dziś podejścia zwinnego (Agile) do budowy kodu aplikacji. Niewiele później ukształtowały się założenia architektury mikrousługowej i ogromna różnorodność środowisk, w której serwisy takie były tworzone, co silnie kontrastowało z obowiązującą dotąd praktyką stosowania jednego, wyznaczonego przez organizację, języka programowania. A za tą kolorową różnorodnością przyszła konieczność zbudowania platformy ułatwiającej wdrażanie budowanych w ten sposób rozwiązań. I tak spopularyzował się w naszym świecie IT kontener i jego orkiestrator – Kubernetes. Rewolucja nie dotyczyła jednak wyłącznie sposobu budowy aplikacji, ale również jej uruchamiania. Tradycyjnie, w czasach monolitycznych, obowiązywał paradygmat uruchamiania aplikacji na własnych serwerach. I wydawało się, iż w naszym kraju trend ten jest nie do przełamania. Maciej Szulc pamięta te niekończące się rozmowy z pracownikami działów IT deklarujących, iż chmura jako miejsce hostowania aplikacji jest zupełnie, ale to zupełnie wykluczona. Dziś, rozmawiając z tymi samymi osobami, dowiaduje się, że chmura okazała się jednak nie tak groźna i wroga, a więc znalazła zastosowanie i u nich. I tak przez jednych witany z radością, przez innych z obawą, pojawił się świat aplikacji rozproszonych, dynamicznie aktualizowanych i wdrażanych w modelu hybrydowym, łączącym zalety posiadania własnej serwerowni z elastycznością usług chmurowych. A skoro jest popyt – rozwija się i podaż. Do wymogów zmieniającego się rynku IT zaczęli dostosowywać się dostawcy usług chmurowych. Potrzebujesz serwera w chmurze? Czeka na Ciebie dostępny w mgnieniu oka model IaaS. Nie chcesz się martwić platformą aplikacyjną, zamierzasz po prostu uruchomić swój własny kod? Dostawca ma dla Ciebie mnogość rozwiązań klasy PaaS. A może nie masz rozbudowanego zespołu programistycznego i chcesz skorzystać z gotowych rozwiązań SaaS? Cechą tych wszystkich modeli jest nie tylko łatwość ich użycia i elastyczność, ale również ogromna różnorodność, wynikająca z szerokiej oferty dostawców. Jeden z bardziej popularnych z nich, Amazon Web Services, oferuje 7 głównych typów oferowanych instancji compute, w każdej z nich kilkanaście podtypów, a w każdym kilka-kilkanaście rodzajów samych instancji. Nie inaczej jest w ofercie IBM Cloud, oferującej podobną szeroką gamę rozwiązań, obejmujących nie tylko procesory x86, ale również Power czy nawet dostęp do maszyn kwantowych. – Do tego każdy typ takiej instancji musi zostać połączony z odpowiednią usługą storage – wyjaśniał Maciej Szulc. – A przecież trzeba mieć świadomość, iż każdy wybór oznacza nie tylko liczbę vCPU, vMEM, IOPS itp., ale również konkretną i mierzalną cenę, którą przyjdzie nam na koniec zapłacić. Zestawmy to z naszymi aplikacjami. Nie dość, że jest ich dużo (mikrousługi), są tworzone w różnych środowiskach posiadających różne wymagania techniczne, podlegają bardzo częstym zmianom (Agile), to jeszcze oszacowanie realnego zapotrzebowania na zasoby bywa dość trudne. Bo przecież nowa wersja danej usługi może nieść z sobą zupełnie inne wymogi sprzętowe. Nie wiemy, ilu użytkowników nasze rozwiązanie przyciągnie i trudno jest nam oszacować, w jakich godzinach będą się oni logowali. I jak tu optymalnie dobrać zasoby, pamiętając, iż każdy błąd może oznaczać wymierne straty finansowe? Nakreślone trendy zaowocowały pojawieniem się i dynamicznym rozwojem zupełnie nowej klasy systemów wspierających, nazywanych ogólnie Application Resource Management (ARM). Ich cel jest dość dobrze zdefiniowany: optymalnie dobrać zasoby dla aplikacji. Co oznacza słowo optymalnie? Często optymalnie jest definiowane jako tanio, choć trudno o bardziej błędne podejście. Gdyby faktycznie taki był cel optymalizacji zasobów, żadne oprogramowanie nie byłoby potrzebne. Po prostu wybierano by najtańszą platformę albo wyłączano serwery, nie martwiąc się konsekwencjami. Ma być przecież jak najtaniej. A przecież chodzi o to, aby przede wszystkim zapewnić właściwe działanie usług, a dopiero w drugiej kolejności, aby koszty IT były jak najniższe. I właśnie dlatego rozwiązania ARM stały się ostatnio tak popularne. Bowiem przy tak bogatych katalogach dostawców usług chmurowych, skomplikowanej infrastrukturze on-prem i niedokładnie sprecyzowanych wymaganiach aplikacyjnych, ręczna optymalizacja zasobów stała się wyjątkowo trudna.
– Doskonałą ilustracją jest rozwiązanie IBM Turbonomic przeznaczone nie tylko dla platform chmurowych, ale również wspierające środowiska lokalne czy też tak ostatnio popularne hybrydowe – przekonywał Maciej Szulc. – Wsparcie to nie kończy się jednak tylko na samej infrastrukturze. Turbonomic potrafi zintegrować całe środowisko IT, budując wewnętrznie model łańcucha dostarczania usług danej aplikacji. Wirtualizacja, storage, sieć, chmura czy też konteneryzacja to tylko przykłady mapowanych komponentów. A na tak zbudowany model nakładane są informacje o przyznanych i zużywanych zasobach, wewnętrzne reguły i ograniczenia nakładane na środowisko IT w danej firmie, metryki obrazujące działanie aplikacji czy też cenniki wynegocjowane z dostawcami chmurowymi. I na podstawie tak złożonego hybrydowego widoku, IT Turbonomic podejmuje działania optymalizacyjne, sugerując na przykład dodanie vCPU dla jednego serwisu, zmianę typu instancji chmurowej dla drugiej, a modyfikację limitów dla kontenera w trzeciej. W mgnieniu oka nasze środowisko staje się przyjaznym miejscem dla aplikacji (mając wszystkie niezbędne do działania zasoby niezależnie od wprowadzanych do nich zmian), jak i dla samej firmy, do której aplikacje te należą (minimalizujemy nieefektywność w rezerwacji zasobów i ponoszone koszty). Dlatego wydaje się, iż rola rozwiązań klasy ARM w najbliższych latach będzie rosła, konkurując z tak rozwiniętym dziś rynkiem APM (Application Performance Management). A dzięki nim koszty związane z wdrażaniem i użytkowaniem aplikacji będą pod znacznie bardziej ścisłą kontrolą niż ma to miejsce obecnie.
Uwierzytelnianie wieloskładnikowe
– Według badań publikowanych między innymi przez naszą firmę, w ostatnim okresie nawet 81 proc. ataków hakerskich jest związanych z próbą przejęcia tożsamości – poinformował Artur Czerwiński, dyrektor ds. technologii w Cisco Polska. – Ryzyko tego typu ataków wzrosło gwałtownie od początku COVID-19 ze względu na dwa istotne czynniki: upowszechnienie się pracy zdalnej oraz zwiększenie wykorzystania różnego typu usług chmurowych, zabezpieczonych jedynie hasłem i dostępnych bezpośrednio przez internet. Jak bolesne może być przejęcie hasła i podszycie się hakerów pod pracownika, przekonało się już wiele przedsiębiorstw na całym świecie, w tym m.in. operatorzy infrastruktury krytycznej, co powodowało ogromne straty finansowe oraz zagrożenie bezpieczeństwa. Aby uniknąć takich sytuacji, konieczne jest wprowadzenie dodatkowych mechanizmów uwierzytelniających, które uzupełniają tradycyjnie stosowane hasła. Czym zatem kierować się przy wyborze rozwiązania uwierzytelniania wieloskładnikowego (MFA)? – zwracał uwagę Artur Czerwiński. – Po pierwsze, powinno to być to rozwiązanie uniwersalne, niezależne od sposobu dostępu do aplikacji (VPN, dostęp bezpośrednio przez internet, SD-WAN/ SASE) oraz środowiska, w którym działa aplikacja (wewnętrzne i chmurowe). Powinno także współpracować z różnymi systemami uwierzytelniania (IdP), a także z innymi systemami Security, np. klasy EDR, NAC czy Threat Intelligence. Po drugie, niezwykle istotna jest elastyczność i łatwość obsługi, zaczynając od wdrożenia dla dużej grupy użytkowników na przykład dzięki aplikacji MFA z opcją self enrollment, a kończąc na prostym dodawaniu ochrony dla kolejnych aplikacji – zarówno zewnętrznych, jak i własnych, dzięki API gotowemu do współpracy z najbardziej popularnymi aplikacjami oraz możliwości uwzględnienia SSO (pojedyncze logowanie). Współczesne rozwiązanie MFA powinno ponadto oferować różnorodne możliwości realizacji drugiego składnika uwierzytelniającego (klucz sprzętowy, aplikacja na smartfona), z możliwością działania w modelu bezhasłowym włącznie, wykorzystując biometrię, co znacznie upraszcza proces weryfikacji po stronie użytkownika. Jednocześnie wiarygodność użytkownika powinna być weryfikowana w sposób ciągły, m.in. poprzez automatyzację kontroli jego urządzenia pod kątem zgodności z wymaganymi politykami bezpieczeństwa (np. aktualność aplikacji, lokalizacja urządzenia). Tworzenie polityk kontroli dostępu dla różnych grup użytkowników, aplikacji oraz urządzeń, jak również spełnienie wymogów regulacyjnych, to także domena nowoczesnych, skutecznych narzędzi MFA. Wszystkie wymienione rekomendacje realizuje rozwiązanie Cisco Duo, podał Artur Czerwiński. O znaczącej zmianie podejścia do bezpieczeństwa aplikacji opowiadał również Colin Bell z HCL Software. Jego zdaniem największym problemem jest to, że jeszcze kilka lat temu bezpieczeństwo nie było traktowane poważnie przy tworzeniu aplikacji. To zaczęło się zmieniać, ale naturalnie nadal nie jesteśmy w pełni zabezpieczeni. Pozytywne jest to, że obecnie zespoły zajmujące się testami penetracyjnymi są włączane do budowy aplikacji i stają się częścią procesu zmierzającego do zapewnienia ciągłości bezpieczeństwa. O nowej koncepcji przetwarzania poufnego (confidential computing), które może pomóc w zapewnieniu wysokiego poziomu ochrony danych w chmurze, Wiktor Markiewicz rozmawiał z Aleksandrem P. Czarnowskim, prezesem DefenseLayers. To rozwiązanie, które zapewnia szyfrowanie danych na każdym etapie: składowania, przemieszczania oraz przetwarzania. A przecież również podczas przetwarzania możliwe jest przechwycenie danych. – Obecnie w przypadku trzech największych dostawców rozwiązań chmurowych dane i tak są szyfrowane, bo taki obowiązek wynika między innymi z przepisów RODO czy dotyczących bankowości. Można się tylko zastanawiać, w którym miejscu powinny znajdować się klucze kryptograficzne i kto powinien nimi zarządzać. A zatem confidential computing jest już wykorzystywane – stwierdził Aleksander P. Czarnowski.
❙ Mieczysław T. Starkowski
u Skomentuj, polub lubudostępnij!
Artykuł dostępny wwersji cyfrowej na www.itreseller.pl
