Και οι τρεις μεγάλοι πάροχοι δημόσιου cloud (AWS, Azure και GCP) έχουν πλέον εμπειρία τουλάχιστον μια δεκαετίας και μπορούμε να είμαστε αρκετά βέβαιοι ότι το cloud computing, σε οποιαδήποτε από τις μορφές του (υβριδική και ιδιωτική συμπεριλαμβανομένων) είναι εδώ για να μείνει.
Αν και δεν μπορούμε να είμαστε σίγουροι για το τι θα ακολουθήσει, ένα πράγμα είναι σίγουρο – το cloud μας έδωσε τρία πράγματα που τα κέντρα δεδομένων δεν μπορούσαν ποτέ – ελαστικότητα, επεκτασιμότητα και μετατροπή του CAPEX σε OPEX, που στον σύγχρονο σύγχρονο κόσμο σημαίνει πολλά για τις επιχειρήσεις, τόσο τις νεοφυείς επιχειρήσεις όσο και τις επιχειρήσεις.
Ένα άλλο πράγμα που μας έδωσε επίσης το σύννεφο και το οποίο παραμένει δημοφιλές θέμα συνομιλιών εκτός σύνδεσης και διαδικτυακών συνομιλιών είναι ασφάλεια. Πολλοί ειδικοί πληροφορικής εξακολουθούν να το ισχυρίζονται αυτό το cloud δεν είναι τόσο ασφαλές ως κέντρο δεδομένων, αλλά είναι πραγματικά το cloud που δεν είναι ασφαλές ή εμείς δεν χρησιμοποιούμε το cloud όπως θα έπρεπε και διακυβεύουμε την ασφάλεια των δεδομένων μας στη διαδικασία;
Είναι πραγματικά το cloud που δεν είναι ασφαλές ή μήπως εμείς δεν χρησιμοποιούμε το cloud όπως θα έπρεπε και διακυβεύουμε την ασφάλεια των δεδομένων μας στη διαδικασία; Κάντε κλικ στο Tweet
Για να απαντήσετε σωστά σε αυτήν την ερώτηση, σας δίνουμε μια επισκόπηση των κορυφαίων τάσεων ασφαλείας που πρέπει να λάβετε υπόψη εάν εκτελείτε φόρτους εργασίας σε δημόσιο νέφος(α). Σε αυτό το άρθρο, θα επικεντρωθούμε κυρίως στο AWS και τις υπηρεσίες του, αλλά οι γενικές έννοιες ισχύουν για όλους τους δημόσιους παρόχους cloud.
- DevOps και η άνοδος του DevSecOps
Η εταιρεία σας ακολουθεί ήδη DevOps μεθοδολογία; Οι περισσότερες εταιρείες θα απαντήσουν θετικά σε αυτή την ερώτηση. Τι γίνεται όμως με το DevSecOps; Βάζετε την ασφάλεια στη μέση όλων των διαδικασιών DevOps;
Αν όχι, τότε θα πρέπει να το σκεφτείτε, γιατί η ασφάλεια θα πρέπει να είναι αυτοματοποιημένη επισης. Από τη στιγμή που θα γίνει η δέσμευση του git, θα πρέπει να υπάρχουν μηχανισμοί ασφαλείας σε όλα τα στάδια των αγωγών CI/CD, από την κατασκευή έως τη δοκιμή έως την ανάπτυξη σε όλα τα περιβάλλοντα.
Σαρώστε τον κώδικά σας, προστατέψτε τα αποθετήρια τεχνουργημάτων σας από μη εξουσιοδοτημένη χρήση και κακόβουλο λογισμικό, χρησιμοποιήστε αμετάβλητη υποδομή ή συμπλέγματα Kubernetes για ανάπτυξη μικροϋπηρεσιών και βεβαιωθείτε ότι κάθε στοιχείο είναι διορθωμένο, ασφαλισμένο με τα λιγότερα απαιτούμενα δικαιώματα και ελεγμένο. Το κόστος των ακατάλληλων υλοποιήσεων DevSecOps μπορεί να είναι τεράστιος και δυνητικά μη αναστρέψιμο μόλις συμβεί κάτι.
- Η προστασία δικτύου μπορεί να μην είναι αρκετή αυτές τις μέρες
Εικονικό ιδιωτικό σύννεφο (VPC) είναι μια διαχειριζόμενη υπηρεσία που προσέφεραν όλοι οι δημόσιοι πάροχοι cloud πριν από χρόνια και είναι ένας πολύ καλός τρόπος απομόνωση των πόρων σας στο cloud από δημόσια πρόσβασηκαι καθιέρωση κατάλληλης τμηματοποίησης δικτύου στο σύννεφο.
Με τη βοήθεια των ACL δικτύου (τείχη προστασίας σε επίπεδο υποδικτύου) και των ομάδων ασφαλείας (τείχη προστασίας επιπέδου παρουσίας), μπορείτε να ομαδοποιήσετε τους πόρους σας σε λογικές ομάδες και να παρέχετε πρόσβαση ανά περίπτωση. Είναι όμως αρκετός αυτός ο μηχανισμός ασφάλειας δικτύου σήμερα; Για τις περισσότερες εταιρείες είναι, αλλά υπάρχουν πρόσθετες υπηρεσίες/τεχνολογίες cloud μπορείτε να εξετάσετε το ενδεχόμενο περαιτέρω βελτίωσης της ασφάλειας δικτύου των φόρτων εργασίας σας στο cloud:
WAF – Το τείχος προστασίας εφαρμογών Ιστού βρίσκεται μεταξύ του Διαδικτύου και της εφαρμογής σας και επιθεωρεί όλη την κίνηση που ρέει στο VPC σας. Η εφαρμογή κατάλληλων πολιτικών WAF μπορεί να αποτρέψει την έγχυση SQL, τις επιθέσεις δέσμης ενεργειών man-in-the-middle ή μεταξύ τοποθεσιών και μπορεί να βελτιώσει την ασφάλειά σας επιβάλλοντας συγκεκριμένες ρυθμίσεις γεωγραφικής θέσης.
Διαχειριζόμενες λύσεις DDoS – Προσφορές AWS Ασπίδα, το οποίο, στην τυπική του έκδοση, έχει ήδη αναπτυχθεί στο VPC σας κατά τη δημιουργία. Η προηγμένη έκδοση μπορεί να σας προσφέρει πιο λεπτομερή υποστήριξη και βελτιωμένη ανίχνευση, αλλά συνοδεύεται από μια τιμή.
Αρχεία καταγραφής ροής VPC – Τα αρχεία καταγραφής ροής σάς επιτρέπουν να καταγράφετε όλες τις πληροφορίες σχετικά με την επισκεψιμότητα IP στο εσωτερικό, αλλά και την είσοδο και έξοδο από το VPC σας. Αυτά τα αρχεία καταγραφής μπορούν στη συνέχεια να αναλυθούν περαιτέρω με εργαλεία όπως AWS Αθηνά ή Στοίβα ELK.
- Ενεργοποιητές συμμόρφωσης με το cloud
Τα ρυθμιστικά πρότυπα είναι σημαντικά για τις σύγχρονες εταιρείες cloud. Εκτός από τις συνήθεις νομικές υποχρεώσεις που πρέπει να εκπληρώσει η εταιρεία σας, πρότυπα συμμόρφωσης όπως π.χ GDPRτο PCI-DSS ή το HIPAA αναγκάζουν τις εταιρείες cloud να τηρούν ένα συγκεκριμένο σύνολο απαιτήσεων προκειμένου να προστατεύουν τα δεδομένα πελατών με ασφάλεια στο cloud.
Ανάλογα με τον κλάδο, ο οργανισμός σας μπορεί να χρειαστεί να διασφαλίσει τη συμμόρφωση με ένα συγκεκριμένο πρότυπο για να κάνει οποιαδήποτε επιχείρηση. Ακόμα κι αν αυτό δεν συμβαίνει, η τήρηση προτύπων συμμόρφωσης είναι ένας πολύ καλός τρόπος για να κάνετε την επιχείρησή σας βιώσιμη, αξιόπιστη και αξιόπιστη, κάτι που μπορεί να σας βοηθήσει να διατηρήσετε την εμπιστοσύνη των πελατών σας μακροπρόθεσμα.
Σήμερα, οι δημόσιοι πάροχοι cloud σάς προσφέρουν πολλά εργαλεία για να αυτοματοποίηση των διαδικασιών συμμόρφωσης, διευκολύνοντας τη ζωή της ομάδας ασφαλείας σας, αντικαθιστώντας χειροκίνητα χειριστήρια, λίστες ελέγχου και χειροκίνητες εργασίες μηχανικής. Εάν χρησιμοποιείτε AWS, ελέγξτε τα ακόλουθα εργαλεία που σχετίζονται με τη συμμόρφωση: AWS GuardDuty, AWS Artifact, AWS Config, AWS CloudTrail, AWS SecurityHub.
- Μετακίνηση από τις περιπτώσεις σε κοντέινερ
Η αρχιτεκτονική Microservice είναι ίσως η πιο δημοφιλής τεχνική ανάπτυξης λογισμικού στις μέρες μας, καθώς επιτρέπει στους προγραμματιστές να κυκλοφορούν συχνά τον κώδικά τους σε μικρότερα κομμάτια και να βλέπουν αμέσως τα οφέλη. Επιτρέπει επίσης στις εταιρείες να παρέχουν στους χρήστες νέες εκδόσεις εφαρμογών σε καθημερινή βάση, κάνοντας τις επιχειρήσεις προσανατολισμένες προς τους πελάτες και τις ανάγκες τους.
Για να γίνουν όλα αυτά δυνατά, χρειαζόμασταν ένα είδος τεχνολογίας που να εξουσιοδοτεί τους προγραμματιστές να μπορούν να παρέχουν λογισμικό με ομοιόμορφο, επεκτάσιμο και γρήγορο τρόπο, και όλα αυτά επιτεύχθηκε από τα κοντέινερ Docker, τα οποία αντικαθιστούν σιγά σιγά τις εικονικές μηχανές και τις παρουσίες cloud σε δημόσιους παρόχους cloud.
Δεδομένου ότι οι σύγχρονες εταιρείες cloud διαθέτουν εκατοντάδες και χιλιάδες μικροϋπηρεσίες σε κοντέινερ Docker, εμφανίστηκε γρήγορα η ανάγκη για ένα εργαλείο ενορχήστρωσης για τη λειτουργία όλων αυτών των κοντέινερ.
Kubernetes, ένα λογισμικό ανοιχτού κώδικα που αναπτύχθηκε από την Google και Cloud Native Computing Foundation αναδείχθηκε ως το πρότυπο του κλάδου και είναι πλέον διαθέσιμη ως διαχειριζόμενη υπηρεσία και στους τρεις μεγάλους δημόσιους παρόχους υπηρεσιών cloud.
Τα διαχειριζόμενα συμπλέγματα K8 σάς προσφέρουν αυτόματη αναβάθμιση, αυτόματη κλιμάκωση, διαχείριση διευθύνσεων IP και υψηλή διαθεσιμότητα. Επίσης, ως διαχειριζόμενη υπηρεσία στα περισσότερα δημόσια cloud, το Kubernetes είναι ήδη συμβατό με σημαντικά πρότυπα συμμόρφωσης όπως το GDPR ή το PCI-DSS.
Εάν χρησιμοποιείτε το GKE, το διαχειριζόμενο Kubernetes του Google Cloud, η Google προσφέρει ακόμη και σαρώστε τα κοντέινερ σας για ευπάθειες ασφαλείαςμικρό, δωρεάν. Όλες αυτές οι δυνατότητες διαχείρισης σάς προσφέρουν την ασφάλεια του ραφιού, ώστε να μπορείτε να εστιάσετε στις ανάγκες ανάπτυξης λογισμικού σας.
- Προστατέψτε την ταυτότητά σας
Το επίπεδο IAM (Identity & Access Management) αποτελεί πυλώνα ασφάλειας cloud για κάθε σύγχρονη εταιρεία. Οι περισσότερες από τις μεγάλες παραβιάσεις, όπως η πρόσφατη που συνέβη στο Πρωτεύουσα Έναπροέρχεται ως συνέπεια της εσφαλμένης διαμόρφωσης πρόσβασης IAM ή των παραβιασμένων διαπιστευτηρίων και κλειδιών πρόσβασης.
Για το λόγο αυτό, η εφαρμογή της ασφάλειας IAM μέσω βέλτιστες πρακτικές του κλάδου θα πρέπει να είναι το κύριο μέλημά σας όταν σχεδιάζετε ένα περιβάλλον cloud. Ακολουθήστε τον κανόνα των ελάχιστων προνομίων κατά τη δημιουργία και την εκχώρηση πολιτικών IAM, οργανώστε τους χρήστες σε ομάδες, ενεργοποιήστε τα κλειδιά πρόσβασης IAM μόνο σε ομάδες που τα χρειάζονται πραγματικά (και περιστρέψτε τα σε βάση 3-6 μηνών) και επιβάλλετε πάντα έλεγχο ταυτότητας 2 παραγόντων.
Μόλις εφαρμοστούν όλες οι βέλτιστες πρακτικές, αναπτύξτε τις στον λογαριασμό σας AWS χρησιμοποιώντας εργαλεία διαχείρισης διαμόρφωσης όπως το AWS CloudFormation ή το Terraform αντί για μη αυτόματα.
Περίληψη
Σε αυτό το άρθρο, προσπαθήσαμε να επισημάνουμε μερικές από τις πιο αξιοσημείωτες τάσεις ασφάλειας cloud που είναι ζωτικής σημασίας για τις σύγχρονες εταιρείες cloud. Μπορείτε να χρησιμοποιήσετε αυτά τα σημεία ως προσχέδια για να σχεδιάσετε ή να βελτιώσετε το περιβάλλον cloud σας, αλλά να θυμάστε ότι η επιβολή τους είναι μόνο το πρώτο βήμα για να έχετε μια ασφαλή και συμβατή υποδομή cloud.
