Контроль над выполнением многих операций перешел приложениям: от продвинутых платформ электронной коммерции до облачных решений для повышения производительности и персональных инструментов на мобильных телефонах. Организации продолжают ускоренными темпами переносить эти приложения в облако.
По данным отчета Radware, 76% респондентов ускорили реализацию планов по переносу приложений и инфраструктуры в облако Отчет C-Suite Perspectives. Компании не просто переходят на облачные технологии, они внедряют мультиоблачные стратегии. Опрос Flexera показал, что 93% организаций используют гибридную облачную стратегию.
Многие компании делают ставку на онлайн-ресурсы, поэтому первое, о чем им стоит задуматься, — это безопасность и доступность приложений.
Развертывание неоднородных облачных сред может привести к перебоям в управлении, безопасности и предоставлении отчетов. В каждой среде публичного облака есть свои инструменты управления, мониторинга, доставки приложений и обеспечения безопасности.
Проблемы
Из-за отсутствия единообразия возникает ряд проблем с безопасностью приложений:
Защита приложений. Атаки на приложения стали такими разнообразными, что простой защиты с помощью брандмауэра веб-приложения (WAF) стало недостаточно. Необходимо также обеспечивать безопасность программного интерфейса приложения (API) и предотвращать изощренные атаки ботов. Хакеры ищут уязвимости сети и приложений, чтобы через атаки на приложения получить доступ к конфиденциальным данным. В этой ситуации защищать приложения — значит защищать бизнес и его бренд.
Зачастую компаниям приходится настраивать и контролировать несколько решений для защиты приложений, у каждого из которых свои возможности в различных средах. Наконец, когда приложение покидает рамки локального центра обработки данных, увеличивается площадь атаки.
[Возможно, вам будет интересно: Управление приложениями в нескольких ЦОД:пример проекта]
Отсутствие согласованности. Из-за переноса приложений в облако становится сложнее обеспечивать безопасность. У поставщиков облачных услуг нет комплексных инструментов защиты, как нет единого подхода к разработке средств безопасности у различных вендоров.
Для работы междоменных служб, охватывающих сеть, приложения и безопасность, требуются экспертные знания в предметной области и взаимодействие разных рабочих групп, из-за чего возникают конфликты и задержки при тестировании и подготовки ресурсов.
В результате страдает защита приложений.
Видимость данных безопасности. При развертывании приложений в частном и публичном облаке важно отслеживать их производительность и действия пользователей, находить несоответствия уровню обслуживания, управлять событиями безопасности приложений и устанавливать причины возникновения проблем. Чтобы гарантировать максимальную эффективность работы приложений компании, необходима единая панель управления, которая позволяет отслеживать и анализировать эти факторы.
[Возможно, вам будет интересно: Как брандмауэры веб-приложений WAF могут предотвратить угрозы из списка The OWASP Top 10]
Незапланированные расходы. Важное значение имеет возможность контролировать затраты при динамическом распределении сервисов доставки и защиты приложений в гетерогенных средах. Почему? Потому что многие компании, которые разворачивают свои решения в публичном облаке, часто сталкиваются с дополнительными тратами, когда из-за роста использования приходится масштабироваться.
Автоматизация. Важными факторами в среде публичного облака являются быстрое автоматизированное развертывания сервисов и динамическое масштабирование ресурсов приложений, так как теперь ценообразование строится на использовании активов и потреблении ресурсов. Каждому компоненту в этой цепочке необходима автоматизация, чтобы преобразовать выполняемые вручную процессы в автоматизированные действия, которые не требуют участия специалиста.
Доступность сервисов. Для автоматизации внутренних операций компаниям необходима возможность обработки запросов пользователей и автоматического масштабирования. А значит, им нужна возможность добавлять и удалять локальные службы, не привлекая специалистов к лицензированию, а также отказываться от мощностей, когда они больше не нужны. Это позволяет экономить время и деньги.
Зависимость от облачного провайдера. Причина в том, что один поставщики облачных услуг может предоставлять средства безопасности и масштабирования, которые другие не предлагают. Кроме того, из-за отсутствия стандартизации компаниям могут потребоваться дополнительные платные услуги, например техническая поддержка и консультация.
Критически важные возможности
Для решения перечисленных выше проблем любое средство безопасности должно включать следующие компоненты, обеспечивающие перенос приложений, защиту и управление ими в облаке.
- Полный набор интегрированных технологий безопасности
- Единое решение и возможности в разных физических, виртуальных и облачных средах
- Эффективная работа и простое устранение неполадок во всех средах
- Наконец, подразумеваемой причиной развертывания облачных технологий является повышение экономической эффективности, следовательно, переход на мультиоблачную среду не должен приводить к дополнительным издержкам!
Интегрированная защита приложений. Выбранное решение должно включать полный набор модулей защиты, которые смогут обеспечивать наивысшую степень защиты приложений от всех угроз:
- Брандмауэр веб-приложений для защиты от веб-атак (входящих, но не ограничивающихся списком OWASP Топ 10);
- Bot Manager для защиты от автоматизированных угроз со стороны ботов;
- Комплексное решение для защиты API и обеспечения полной видимости нацеленных на API угроз;
- Threat Intelligence для защиты от неизвестных активных атак.
Быстрое развертывание. Решение должно быть простым в развертывании, управлении и обслуживании и не требовать участия специалистов. Например, если у вас несколько компонентов (NetOps, SecOps и DevOps), на первом этапе решение должно легко разворачиваться с помощью NetOps. На втором этапе специалисты DevOps и SecOps будут использовать готовые политики безопасности в качестве шаблонов автоматического обслуживания. К созданию удобных в использовании шаблонов нужно будет привлечь специалистов по безопасности. На третьем этапе и далее необходимо заняться оптимизацией и совершенствованием развернутых политик. Убедитесь, что работе со всеми разворачиваемыми решениями возможно научиться.
[Возможно, вам будет интересно: Распределение рабочих нагрузок приложений между различными облаками и дата-центрами]
Стандартизация и согласованность. Контролировать локальные приложения несложно. А при работе с несколькими облаками необходимо убедиться, что вы можете согласованно развертывать одни и те же политики в мультиоблачной среде. Используйте центральную панель управления, чтобы контролировать и обновлять политики во всех средах сразу.
Эффективность на практике. Очень важно отслеживать показатели эффективности и работу средств безопасности. Собираемые данные должны быть представлены в таком формате, чтобы на их основании можно было составлять план действий. Например, вы часто сталкиваетесь с ложными срабатываниями. Нужно сделать так, чтобы вам не требовалась помощь специалистов по безопасности для корректирования политик.
Оптимизация расходов. Мир стремится к централизованному управлению расходами и экономии на масштабах. Если вы используете несколько независимых технологий для защиты приложений, убедитесь, что подход поставщиков к ценообразованию позволяет использовать выведенные из эксплуатации мощности в других средах без переплат.
Обеспечение безопасности гибридных и мультиоблачных сред не должно быть сложным и дорогим. Правильные решения и инструменты могут позволить использовать локальное, публичное и частное облако для повышения эффективности бизнеса.