Umiejętności związane z przetwarzaniem w chmurze należą obecnie do najbardziej pożądanych kompetencji IT na rynku. Wraz ze wzrostem popularności usług chmury publicznej oraz powiązanych technologii (chmura prywatna / hybrydowa) organizacje przenoszą więcej systemów do platform chmurowych i… mają duże problemy ze znalezieniem wykwalifikowanych specjalistów potrzebnych do zarządzania i obsługi środowiska. Szczególnie obszar bezpieczeństwa staje się istotnym hamulcem w adopcji chmury w przedsiębiorstwach.
Jesienią 2017 roku firma Rackspace opublikowała raport pt. “The Cost of Cloud Expertise“, który powstał na podstawie ankiet przeprowadzonych wśród 950 decydentów i 950 ekspertów IT, we współpracy z naukowcami London School of Economics. Stwierdzono w nim m.in., że “prawie trzy czwarte decydentów IT (71%) uważa, że ich organizacje utraciły przychody z powodu braku kompetencji w zakresie przetwarzania w chmurze.” Średnio stanowi to 5% całkowitego globalnego przychodu danej organizacji. W skali globalnej to mld USD.
Z kolei nowy raport McAfee identyfikuje poważną lukę kompetencyjną (skill gap) w zakresie bezpieczeństwa w chmurze. Zgodnie z raportem co czwarta organizacja wykorzystująca infrastrukturę jako usługę (IaaS) lub oprogramowanie jako usługę (SaaS) doświadczyła zagrożeń i/lub incydentów bezpieczeństwa, które wiązały się z zagrożeniem bezpieczeństwa posiadanych danym. Co więcej, 20% incydentów pochodziło od zorganizowanych i zaawansowanych atakujących, którzy za cel obrali infrastrukturę chmury publicznej. Wiąże się to bezpośrednio z problemem braku niezbędnych kompetencji w zakresie bezpieczeństwa chmurowego i związanego z tym ryzyka nieuprawnionego dostępu do poufnych danych. Konsekwencją jest także opóźnienie w migracji wielu korporacji do przetwarzania w chmurze.
Jak ważne jest zatem bezpieczeństwo w chmurze dla organizacji? Według ankiety przeprowadzonej wśród ponad 2100 organizacji – najnowszy raport firmy Gartner (“Jak rozwinąć umiejętności w zakresie bezpieczeństwa infrastruktury w chmurze“, 22 lutego 2018 r.), kategoria bezpieczeństwa i zarządzania ryzykiem stanowi trzecią co do wielkości lukę IT. Specjalista ds. zabezpieczeń w chmurze zawiera się w tej kategorii. To dość ważne spostrzeżenie dla świata “cloud native”.
Brak specjalisty lepszy niż słaby specjalista
Problemami przy kompletowaniu zespołu odpowiedzialnego za bezpieczeństwo w chmurze są w organizacji m.in. brak klarownej wizji co powinno należeć do kompetencji tego zespołu, jakie kwalifikacje powinni mieć członkowie zespołu oraz – kluczowe – niedostatek osób o odpowiednich kwalifikacjach. Nawet jeśli znajdziemy osoby zajmujące się bezpieczeństwem IT i posiadające doświadczenie i kwalifikacje w obszarze szeroko pojętego bezpieczeństwa informatycznego, to kwalifikacje te słabo przekładają się na te zagadnienia i wyzwania z jakimi przychodzi się zmierzyć przy migracji i utrzymaniu infrastruktury chmurowej, np. kwestie związane z zarządzaniem uprawnieniami i tożsamością (IAM) w AWS. Tradycyjne kwalifikacje w zakresie bezpieczeństwa IT są oczywiście ważne, ale już nie wystarczające.
Ponadto, przedsiębiorstwa nie wykonały pracy domowej i nie przyłożyły należytej wagi do selekcji, wykształcenia i uformowania z odpowiednim wyprzedzeniem kadry specjalistów w zakresie bezpieczeństwa w chmurze. Nie ogranicza się to zresztą tyko do bezpieczeństwa, dotyka to również obszaru zarządzania danymi w chmurze, zagadnień sieciowych czy monitorowania. Luki kompetencyjne stają się prawdziwą przeszkodą w adopcji chmury w przedsiębiorstwach. Kupić technologię jest łatwo, w porównaniu z nakładem jaki trzeba ponieść na budowę kapitału ludzkiego. Oczywistym rozwiązaniem są doraźne kroki w postaci szybszej rekrutacji, podniesieniu jakości rekrutacji (wymagań wobec kandydatów), agresywna strategia naboru, zwiększenie budżetu na krytyczne szkolenia itp. Ważne jednak, aby poprzedzić te działania analizą istniejącej mapy ról i kompetencji w organizacji i zweryfikować czy luki kompetencyjne w obszarze chmury są właściwie zidentyfikowane i zdefiniowane.
W opiniach ekspertów, bezpieczeństwo jest tym obszarem, w którym lepiej jest nie znaleźć odpowiedniego specjalisty niż zatrudniać słabo przygotowanego do zagadnień chmurowych. Zdecydowana większość incydentów bezpieczeństwa, których skutkiem był wyciek danych lub poufnych informacji, jest spowodowanych czynnikiem ludzkim a nie technologicznym. Dobór niewłaściwych technologii, błędy konfiguracji czy brak wgranych na czas krytycznych aktualizacji – to są typowe historie stojące za wieloma incydentami z ostatnich lat.
Wyzwania kompetencyjne
Wg Gartnera, bardzo znacząca jest różnica, jeśli chodzi o zidentyfikowaną lukę kompetencyjną w obszarze bezpieczeństwa w chmurze pomiędzy liderami (top performers) a typowymi organizacjami (trailing and typical performers). Jest ona największa spośród wszystkich kategorii przyjętych przez Gartnera a organizacje mające problemy z zapewnieniem kadr w zakresie podstawowego (tradycyjnego) bezpieczeństwa sieciowego i zabezpieczeń systemów IT wypadają jeszcze słabiej, jeśli chodzi o bezpieczeństwo w chmurze. Tak duża luka kompetencyjna jest dla organizacji niebezpieczna, naraża na katastrofalne w skutkach ryzyko w momencie przeniesienia nawet części operacji IT do chmury publicznej. Firma badawcza zaznacza jednak, że ze względu na dynamiczny wzrost i jednocześnie relatywnie niewielkie doświadczenie, jakie udało zdobyć się dotychczas specjalistom ds. bezpieczeństwa w chmurze, nawet liderzy nie mogą czuć się przygotowani na wyzwania związane z tym obszarem adopcji chmury.
Do kluczowych problemów bezpieczeństwa w chmurze, którym należy poświęcić uwagę należą:
- Podział odpowiedzialności i relacje z dostawcą chmury publicznej – zakres odpowiedzialności dostawcy chmury (Cloud Service Provider – CSP) jest dość naturalny i wynika również z umowy, ale może wymagać nieco innego podejścia mentalnego dla specjalisty mającego dotychczas wieloletnie doświadczenie w kontrolowaniu infrastruktury aż do fizycznego poziomu.
- Zakres obowiązków – odpowiedzialność za wszystkie aspekty po stronie klienta począwszy od punktów styku z infrastrukturą CSP.
- Właściwe zrozumienie bezpieczeństwa infrastruktury chmury – w momencie przejęcia odpowiedzialności za stronę fizyczną przez CSP, większy nacisk położony jest na zrozumienie potencjalnych problemów związanych z bezpieczeństwem maszyn wirtualnych, systemów wdrażania kontenerów, podatnościami hypervisor’a czy systemu operacyjnego. Należy zdawać sobie sprawę z potencjalnych luk w zabezpieczeniach związanych z API w chmurze – każde wywołanie API do usługi w chmurze jest potencjalnym punktem wejścia dla intruzów.
- Narzędzia – zestaw tradycyjnych narzędzi monitoringu zabezpieczeń wymaga rozszerzenia o narzędzia i procesy związane z rozwojem i testowaniem oprogramowania działającego na styku z infrastrukturą chmurową. Zmienia się też sposób zarządzania infrastrukturą – Infrastructure-as-a-Code.
Rekomendacje Gartnera w zakresie bezpieczeństwa w chmurze
| Odpowiednie zarządzanie dostępem i tożsamością (IAM) | Właściwe zarządzanie uprawnieniami jest krytyczne od samego początku, najlepiej w oparciu o role, szczególnie w zakresie administracji. To klient a nie dostawca, jest odpowiedzialny za określenie i egzekwowanie, kto i co może robić w ramach subskrypcji |
| Szyfrowanie danych | Dostawcy utrzymują silną izolację pomiędzy swoimi procedurami utrzymaniowymi a danymi klientów oraz między samymi klientami. Szyfrowanie jest użytecznym narzędziem do tworzenia logicznej izolacji od innych użytkowników centrów danych, do zapewnienia poufności jak i do usuwania na końcu okresu eksploatacji |
| Wykorzystanie sieci wirtualnej do segmentacji, filtrowania i blokowania ruchu | W przypadku IaaS absolutnym minimum jest wykorzystanie sieci wirtualnej dostawcy i mechanizmu filtrowania do segmentacji i ograniczania ruchu sieciowego. Podsieciom w ramach wirtualnych chmur prywatnych można przypisać, czy mają dostęp do Internetu, wirtualnych sieci prywatnych (VPN) lub czy w ogóle nie mają dostępu z zewnątrz, dozwolony i zablokowany ruch przychodzący i wychodzący. |
| Panel kontrolny bezpieczeństwa | Wykorzystanie narzędzi dostawców trzecich do skonfigurowania panelu kontrolnego bezpieczeństwa pozwala uzyskać lepszą widoczność całości zabezpieczeń, ochronę danych, ochronę przed zagrożeniami i zapewnienie zgodności – pozwala także na automatyzację konfiguracji zabezpieczeń. |
| Przejęcie pełnej odpowiedzialności za bezpieczeństwo aplikacji i instancji | Ponieważ dostawcy nie ponoszą odpowiedzialności za bezpieczeństwo kodu aplikacji, który klienci tworzą i uruchamiają w chmurze, należy wykorzystać narzędzi do testowania statycznego i dynamicznego, aby zidentyfikować i usunąć ewentualne luki i podatności w aplikacjach. W przypadku rozwiązań opartych na chmurze warto zastosować narzędzia testowania w chmurze. |
| Tworzenie kopii zapasowych wszystkich danych we własnym zakresie | Aby najbardziej skutecznie zdywersyfikować ryzyko, kopie zapasowe wszystkich danych należy wykonywać i przechowywać w wyodrębnionej lokalizacji (może być alternatywny dostawca), od tej w której znajduje się produkcja. Oferowane przez dostawców usług w chmurze funkcje tworzenia kopii zapasowych nie zastępują właściwych kopii zapasowych – to klient, a nie dostawcy usług w chmurze, jest odpowiedzialny za strategię i utrzymanie kopii zapasowych. |
| Potencjał wykorzystania zgodności dostawcy ze standardami | Wielu dużych dostawców rutynowo przechodzi różne audyty zgodności, które mają sygnalizować klientom powagę, z jaką traktują bezpieczeństwo. Można rozważyć wykorzystanie gotowych zasad i procedur dostawcy, certyfikowanych przez audyt, i włączyć je do własnych zasad, tzw. „zgodność przez włączenie” |
Źródło: Gartner
