Nulová důvěra Přechod z původního na cloudový

Podniky působící v tradičním monolitickém prostředí mohou mít přísné organizační struktury. Výsledkem je, že požadavek na zabezpečení může zabránit jejich přechodu na hybridní nebo cloudově nativní model nasazení aplikací.

Navzdory zřejmým obtížím chce většina podniků využít cloudových možností. Většina subjektů dnes zvažuje nebo vyhodnocuje cloud-native za účelem zlepšení zkušeností svých zákazníků. V některých případech je to schopnost čerpat bohatší analýzu zákaznického trhu nebo poskytnout provozní dokonalost.

Cloud-native je klíčovou strategickou agendou, která zákazníkům umožňuje využívat řadu nových schopností a rámců. Umožňuje organizacím budovat a vyvíjet se v budoucnosti, aby získali výhodu nad svými konkurenty.

Aplikace se vyvíjejí

Přiznejme si to! Aplikace se vyvíjejí velmi rychle. Tradiční aplikace jsou nyní doplněny dalšími možnostmi nativního cloudu. Máme tradiční aplikace pracující s novými kontejnerizovanými modulárními front-end nebo backend službami.

Základní aplikace je stále třístupňovým monolitem, ale služby cloud-native jsou připojeny k odesílání dat zpět do základní aplikace soukromého datového centra..

Přechodné cíle

V ideálním případě budou mít podniky bezpečnostní postoj, se kterým jsou spokojeny. Mají brány firewall, IDS / IPS, WAF a segmentaci: přístupy, které fungují perfektně.

Když se pustíme do cloudových nativních služeb, musíme přidat další vrstvu zabezpečení. Podniky musí zajistit, aby měly stejné nebo lepší bezpečnostní schopnosti než dříve.

To vytváří mezeru, kterou je třeba vyplnit. Přechod zahrnuje schopnost udržovat pokrytí, viditelnost a kontrolu v tradičních prostředích a zároveň využívat služeb nativního cloudu. Vše provedeno s nulovou důvěrou zabezpečení pozice výchozího odepřít.

Složité prostředí

Objektivně v tradičních prostředích existuje celá řada architektur datových center, která fungují ve veřejných, soukromých, hybridních a multi-cloudových modelech nasazení. Formálně to bylo jen soukromé a veřejné, ale nyní jsou konvenční normy hybridní a multi-cloud.

Ve fyzickém prostředí, cloudu a aplikačním prostředí dochází k vektorovému přechodu. Tento přechod je vysoce dynamický a heterogenní. V budoucnu budeme pravděpodobně mít hybridní připojení. 

Zabezpečení a hybridní cloud

Jedním z hlavních zaměření hybridní konektivity je interakce. Je běžné, že velké podniky mají trochu všeho. Budou existovat aplikace v cloudu, on-premise, microervices a monolitech. Všechny tyto subjekty žijí a působí v silech.

Jeden potřebuje dobré pokrytí každé interakce mezi komponentami v různých architekturách. Pro efektivní zabezpečení byste měli během interakcí sledovat neočekávané chování. Pokud je toto pokrytí přehlíženo, pak jsou dveře kompromisní, protože tyto komponenty komunikují s ostatními. Zabezpečení bude nejslabším článkem.

Tradiční síťový přístup

Tradiční přístup k síti je to, co všichni znají, a tak je dnes většina zabezpečení implementována. Je to také nejméně flexibilní architektura, protože zabezpečení je vázáno na IP adresu, VLAN nebo tradiční 5-násobek. Tradiční přístup je neúčinný způsob nastavení bezpečnostní politiky.

Kromě toho je síť specifická pro dodavatele. Způsob implementace ACL nebo VLAN bude představovat různé konfigurace na dodavatele a v některých případech také existují rozdíly u stejného dodavatele. Někteří se vyvinuli na šéfkuchaře nebo loutku, ale většina dodavatelů stále dělá CLI, což je manuální a náchylné k chybám.

Hypervisor

Pro aplikaci existuje útočná plocha, která zahrnuje vše na hypervisoru. Je velmi rozsáhlé, když uvažujete, kolik VM lze umístit na hypervizora. Čím více VM, tím větší je poloměr výbuchu.

Existuje tedy možnost úniku VM, kdy kompromis jednoho VM může mít za následek, že špatný herec přistupuje ke všem ostatním VM na tomto hypervisoru. Hypervisor v podstatě může neúmyslně zvětšit povrch útoku.

Hostitelské brány firewall

V nedávné době provedly hostitelské brány firewall některá vylepšení zabezpečení tím, že zabránily přístupu k nežádoucímu příchozímu provozu prostřednictvím čísla portu. V důsledku toho se nyní útočná plocha a ovládání nyní nacházejí na úrovni pracovního zatížení. Stále však čelíme problému, že politika je prováděna distribuovaným způsobem.

Výše nastíněné nástroje popisují řadu bezpečnostních přístupů, z nichž všechny jsou dnes široce implementovány. Jsou to všechna nezbytná řešení, která vás přenesou z hrubého na jemnozrnný bezpečnostní model. Přechod na hybridní a cloud-native však vyžaduje ještě jemnější přístup, který se nazývá nulová důvěra.

Další vývojová fáze

Právě se dostáváme do fáze, kdy začínají vyrůstat řešení pro virtualizovaná prostředí založená na VM ve veřejných a soukromých cloudech. Proto, jak se dostáváme do této fáze, již začínáme být svědky dalšího vývoje.

Další krok ve vývoji prostředí vedených DevOps je založen na rámcích pro kontejnery a orchestraci. To přináší další pořadí velikosti složitosti prostředí, pokud jde o výpočetní techniku ​​a vytváření sítí.

Stávající virtualizovaná prostředí založená na virtuálních počítačích nebudou schopna zvládnout složitost, kterou představují kontejnerizovaná prostředí. Takže, jaká je správná cesta vpřed?

Nezávislost na síti a aplikaci

Rámec zabezpečení a shody musí být nezávislý na síti. V jistém smyslu by měly fungovat jako dvě lodě projíždějící v noci. Kromě toho by měly být založeny na identitě.

Klíčovou výhodou řešení založeného na identitě je to, že zviditelňujete komunikaci mezi službami, která se stává stavebními kameny pro autentizaci a řízení přístupu.

Jednotné bezpečnostní politiky a adaptivní škálování

Potřebujete schopnost pokrýt celou řadu možných kombinací. Nejde jen o pokrytí různých druhů infrastruktur, ale také o pokrytí interakcí mezi nimi, které lze implementovat ve velmi složitých prostředích.

V moderním světě máme orchestraci, kontejnery, pomíjivé a dynamické služby, které mění funkčnost s možností škálovat a zmenšovat. Proto by bezpečnostní řešení mělo být přizpůsobivé základním službám, ať už se jedná o měřítko nebo se vyvíjí.

Automatické šifrování dat v pohybu (mTLS)

Protože naše aplikace pokrývají hybridní i multi-cloudové implementační modely, šifrování se komplikuje se systémy infrastruktury veřejných klíčů (PKI) a se správou tokenů..

Pokud máte řešení, které rozšiřuje aplikační, fyzické a cloudové prostředí, budete mít pružný a všudypřítomný přístup. Nakonec to umožňuje šifrovat data v pohybu bez režie správy složitých systémů PKI.

Nulová důvěra

Chyby zabezpečení může zavést každý uživatel, mikroprocesor, port nebo API. To nás přivádí zpět k nulové důvěře - „nikdy nedůvěřujte, vždy ověřujte“. Myšlenka přesunutí obvodu k ochraně interních aktiv je mandátem pro bezpečnostní model s nulovou důvěrou. Počet perimetrů se bude zvyšovat, bude stále zrnitější a blíže pracovní zátěži. Identita bude novým obvodem.

Všechna aktiva, která jste potřebovali chránit, když jste se zaměřovali pouze na odchozí služby, jsou však komplexnější, pokud jde o velikost, když nyní musíte chránit interní aktiva. Současná řešení jednoduše nebudou škálovat, aby uspokojila tuto úroveň. Máme řád, který je větší v měřítku než prostředí, které musíte chránit.

Proto je nutné mít zavedené řešení, které je navrženo tak, aby bylo škálovatelné jako datové centrum a výpočetní prostředí, povinné. Nulová důvěra se během přechodného období stává ještě důležitější, protože máte více vzájemných rozhovorů mezi službami a pracovním zatížením rozmístěným v různých prostředích. Také médium mezi prostředími může mít různou úroveň důvěry.

Proto je rozhodnutí přijmout přístup nulové důvěry kritickým prvkem pro udržení účinného držení těla během přechodné fáze. Pokud nedůvěřujete svému obvodu, jediným způsobem, jak zabezpečit, je šifrování veškeré komunikace mezi službami.

Souhrn řešení

V ideálním případě musí řešení nabízet jedinečnou platformu zabezpečení na úrovni aplikace. Řešení vrstvy 7 umožňuje správcům porozumět „kdo“ a „kdy“. Kromě toho pomáhá zjistit, jaké služby jsou využívány, zatímco má schopnost aplikační úrovně využívat NLP.

Síť, která je nezávislá a bezpečnostní řešení zaměřené na aplikaci, je návrh základní hodnoty. Pokrývá širokou škálu virtuálních a síťových prostředí se zaměřením na přechod na cloud-native s přístupem nulové důvěry.

Řešení zaměřené na pracovní vytížení, nikoli na síť, dělá řešení stabilnějším, čitelnějším a spravovatelnějším. Tlumí použití automatizace k odvození politiky s nejmenšími výsadami z pozorované aktivity.

To poskytuje přístup k vizualizaci, aktivitě, politice a rozdílům mezi nimi v celém kruhu. Politika zaměřená na pracovní vytížení varuje, když aktivita porušuje zásady a kde by politika mohla být vzhledem k pozorované činnosti příliš volná. Zásady by měly být nastaveny pomocí logických atributů, nikoli fyzických atributů.

Bezpečnostní platforma zajišťuje, že přesně víte, co se děje, zatímco procházíte přechodem ze starších do prostředí cloudových aplikací. Úspěšně to zjistí a vyplní mezeru pro bezpečnou a hladkou migraci.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.