Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

Artykuły

Wdrażając wirtualizację nie zostawiaj otwartych drzwi


Obawy dotyczące bezpieczeństwa zagrażają szybkiej adaptacji strategii cloud computing

Obawy dotyczące bezpieczeństwa utrudniają również próby przejścia do strategii „chmury”.  W zadanym w badaniu pytaniu o główne czynniki hamujące szybkie przejście na strategię prywatnych chmur (privte cloud) jako najsilniejsze czynniki wskazano „kwestie prywatności i zgodności z wymogami” oraz „kwestie dotyczące bezpieczeństwa chmur”. 39% respondentów oczekuje, że kwestie dotyczące bezpieczeństwa zostaną rozwiązane do końca bieżącego roku (2011), a tylko 30% uważa, że stanie się tak w przypadku kwestii prywatności i zgodności z wymogami, co oznacza, że użytkownicy uważają, iż prywatność i zgodność z wymogami może opóźniać ewolucję informatyki w kierunku „chmur". Nie brak jednak dobre wieści. Badanie pokazuje świadomość organizacji, że bezpieczeństwo - w szczególności zarządzanie tożsamością i dostępem (IAM) oraz zarządzanie ryzykiem i zgodnością z wymogami - są przesłankami udanej strategii przetwarzania w chmurze.

Automatyzacja wspiera uzyskanie pełnej kontroli

Niewiele organizacji korzysta z technologii automatyzacji do zarządzania dostępem uprzywilejowanym w środowiskach zwirtualizowanych. Zamiast tego polegają na procesach manualnych, realizowanych bez technologii wspierającej - a co naraża bezpieczeństwo organizacji na ryzyko. Dla przykładu, tylko 65% respondentów stwierdziło, że egzekwuje rozdzielenie obowiązków dla zadań administracyjnych w platformach wirtualnych - co jest kluczową przesłanką najlepszych praktyk w zakresie zgodności z wymogami i bezpieczeństwa. Nawet jeżeli organizacje to robią, ponad 40% z nich nie korzysta z krytycznych narzędzi koniecznych do automatyzacji egzekwowania tego rozdzielenia, w tym certyfikacji dostępu, zarządzania użytkownikami uprzywilejowanymi czy zarządzania dziennikami. Tak jak w przypadku rozprzestrzeniania uprawnień, rozwiązania automatyczne wspomagałyby takie rozdzielenie obowiązków, egzekwowały zasadę najmniejszego uprzywilejowania (nadając użytkownikowi tylko takie uprawnienia, które są absolutnie konieczne do wykonywania jego pracy) i utrzymywały odpowiedzialność w zakresie wszystkich krytycznych aktywów.

Należało by zadać sobie pytanie,  dlaczego przy tak dużym udziale organizacji świadomych ryzyka związanego z bezpieczeństwem wirtualizacji, poziom adopcji rozwiązań z półki security nie jest wyższy? Patrząc na ogólne dane liczbowe widzimy, że największą blokadą dla bezpieczeństwa wirtualizacji jest nadal relatywna niedojrzałość podejścia organizacji do wirtualizacji jako całości. Brak jest wiedzy fachowej i umiejętności; brak jest również procesów, zasad i standardów oraz istnieje potrzeba poprawy wsparcia dla bezpieczeństwa wirtualizacji ze strony dostawców.

Jest sposób na pokonanie tej pozornie niemożliwej do przejścia ściany kosztów. Jeżeli organizacje korzystałyby ze strategii i narzędzi, które elastycznie wspierają heterogeniczne platformy i umożliwiają ujednolicone zarządzanie systemami wirtualnymi i fizycznymi, rozkładałyby one koszt bezpieczeństwa na całą swoją infrastrukturę - fizyczną i wirtualną. Jednocześnie automatyzowałyby nieefektywne procesy bezpieczeństwa, przyjmowały bardziej spójne i efektywne podejście do bezpieczeństwa i racjonalizowały umiejętności wymagane do utrzymania bezpieczeństwa. Ważne jest również zapewnienie, aby bezpieczeństwo było brane pod uwagę wcześnie na etapach planowania wprowadzenia wirtualizacji, celem zapobiegnięcia powstawaniu silosów bezpieczeństwa i zapewnienia dostępności adekwatnych budżetów na bezpieczeństwo od samego początku.

Przy wirtualizacji środowisk informatycznych ważne jest również zapewnienie, aby zarządzanie bezpieczeństwem było zintegrowane zarówno z zarządzaniem infrastrukturą jak i zarządzaniem usługami. Należy rozważyć kwestie, takie jak zarządzanie zmianami i konfiguracją, zaopatrzenie serwerów, zarządzanie incydentami i problemami, zarządzanie pracą, zarządzanie poziomem usług oraz katalogi usług. Automatyzacja jest kluczowym wymogiem do osiągnięcia realnych korzyści z wirtualizacji i taka integracja jest konieczna do osiągnięcia wymaganego poziomu automatyzacji.

Jednorodne podejście do bezpieczeństwa w platformach fizycznych jak i wirtualnych umożliwia zarządzanie aspektami ludzkimi, procesowymi i technologicznymi jako całością. I jeżeli organizacja zamierza zarządzać i zabezpieczać zarówno środowiska fizyczne jak i wirtualne jednorodnym rozwiązaniem automatycznym, musi nawiązać partnerską współpracę z dostawcą dysponującym wiedzą fachową i rozwiązaniami łączącymi obydwa te środowiska. Na przykład takim jak CA Technologies.

I nie wolno zapominać o kwestii zgodności z wymogami. Z natury środowiska wirtualne są bardziej dynamiczne a praca na serwerach wirtualnych ma charakter bardziej mobilny. Dlatego też krytyczne znaczenie ma utrzymanie zarówno kontroli jak i widoczności tego, co się dzieje w środowiskach wirtualnych celem zapewnienia zgodności z wymogami regulacyjnymi i kontrolnymi.

Wnioski

W dzisiejszych czasach bezpieczeństwo informacji jest w takim stopniu związane z procesem co z technologią. Przejście na wirtualizację jest podróżą a nie szybkim projektem. Z jednej strony wirtualizacja wymaga od nas zrewidowania istniejącej polityki, procesów i procedur celem wsparcia ewoluującego krajobrazu informatycznego i zabezpieczenia całości naszej infrastruktury. Również nasze odświeżone strategie muszą zapewniać bezpieczeństwo samych danych, umożliwiając sprawność działania i efektywność wykorzystania informacji. Jednocześnie automatyzacja staje się koniecznością, a nie jedną z opcji.  By osiągnąć realne korzyści wynikające z wirtualizacji należy wdrażać rozwiązania automatyzujące zarządzanie procesami bezpieczeństwa. W rezultacie rozwiązania IAM z uwzględnieniem zawartości są kluczowym składnikiem obecnych pakietów technologicznych.

 


Autor:
Shirief Nosseir, Security Product Marketing Director EMEA, CA. Posiadający blisko 25 lat doświadczenia w branży IT, w obszarach zarządzania bezpieczeństwem, zarządzania infrastrukturą, zarządzania cyklem życia aplikacji i business intelligence. Jest stałym prelegentem na konferencjach branżowych, często prezentuje sesje na temat bezpieczeństwa w ramach CA Cloud Academy.

 


 

Skomentuj na forum

 

Logowanie i rejestracja