Spokojna głowa w chmurze

Jeszcze nie tak dawno zapory sieciowe były dość proste — umożliwiały translację adresów sieciowych, stanowiły punkt końcowy sesji VPN oraz zezwalały na dostęp lub go odmawiały. Zespoły odpowiedzialne za bezpieczeństwo mogły zarządzać tymi pierwszymi zaporami sieciowymi, które obsługiwały podstawowe konfiguracje sieciowe, przy użyciu narzędzi dostarczanych przez producentów. Do tej pory zresztą często spotyka się zespoły odpowiedzialne za bezpieczeństwo, które zarządzają regułami konfiguracji wielu zapór sieciowych przy użyciu prostych plików tekstowych. Nawet najlepszym zespołom odpowiedzialnym za bezpieczeństwo sprawiają jednak problemy nowe zjawiska, takie jak rozpowszechnienie usług w chmurze, np. Salesforce.com czy Facebook, postępy w dziedzinie technologii zapór sieciowych nowej generacji, presja na wydłużenie okresu eksploatacji zapór sieciowych oraz większe wymagania związane z przestrzeganiem przepisów.

Robótki ręczne?

Ręczne zarządzanie dużymi zestawami reguł zapór sieciowych w obliczu aplikacji chmurowych, wirtualizacji centrów danych i wymagań związanych z przestrzeganiem przepisów jest obarczone dużym ryzykiem błędu. Stosując automatyzację zabezpieczeń tam, gdzie może ona przynieść znaczące oszczędności czasu i pieniędzy, menedżerowie ds. zabezpieczeń mogą nie tylko lepiej wykorzystać swoje budżety, ale też uzyskać lepszą orientację i kontrolę nad coraz bardziej narażonym na ataki brzegiem sieci.

Automatyzację zarządzania polityką zapór sieciowych warto wziąć pod uwagę z punktu widzenia bezpieczeństwa, zgodności z przepisami i polityką firmy oraz zarządzania ryzykiem.

• Działania z zakresu bezpieczeństwa: sprawność, którą zapewnia aplikacjom technologia wirtualizacji, przyspiesza częstotliwość dokonywania zmian w regułach bezpieczeństwa. Aplikacje, które wdrażało się kiedyś tygodniami w środowisku fizycznym, teraz działają na serwerze wirtualnym w ciągu kilku minut. Wirtualizowane są nawet same zapory sieciowe, a zespoły odpowiedzialne za bezpieczeństwo muszą zarządzać zestawami ich reguł na różnych maszynach wirtualnych. Szybkość wdrażania aplikacji potęguje złożoność zabezpieczeń sieci, w związku z czym rośnie potrzeba automatycznego sprawdzania i audytowania zmian reguł zapór.
• Zarządzanie ryzykiem: usługi chmurowe wymagają uwzględniania aplikacji w regułach zapór sieciowych. Wiele organizacji używa usług chmurowych, takich jak Facebook, Google, LinkedIn czy Salesforce, do ważnych zadań biznesowych. Usługi te nie są zwykłymi witrynami internetowymi — mogą one dostarczać różne aplikacje do użytku osobistego i biznesowego. Większość organizacji nie może zablokować ani ograniczyć ruchu w odniesieniu do całej takiej witryny i woli poprzestać na bardziej wybiórczej polityce bezpieczeństwa w stosunku do aplikacji i użytkowników. Aby zapewnić bezpieczeństwo sieciowe na poziomie aplikacji, zespoły odpowiedzialne za bezpieczeństwo zaczynają korzystać z zapór sieciowych nowej generacji. Ręczne zarządzanie o wiele bardziej szczegółowymi politykami, które uwzględniają informacje o aplikacjach i użytkownikach, po prostu nie sprawdza się w większej skali.
• Zgodność z przepisami i polityką firmy: zarządzanie zaporami sieciowymi staje się dojrzałą praktyką z zakresu bezpieczeństwa sieciowego. Zgodność z przepisami i polityką firmy w dużej mierze wymaga zarządzania posiadaną infrastrukturą, co wiąże się z kontrolą zmian, dokumentacją ścieżek audytowych oraz izolacją nieupoważnionych użytkowników od zastrzeżonych aplikacji. Zaspokajanie oczekiwań związanych z przestrzeganiem przepisów i firmowej polityki bez zwiększania obciążenia administracyjnego to poważne wymaganie, biorąc pod uwagę korzystanie z usług chmurowych i zwirtualizowanych aplikacji.

Ważna jest automatyzacja

Zespoły odpowiedzialne za bezpieczeństwo przyzwyczaiły się już do tego, że nowe i coraz bardziej imponujące technologie niosą ze sobą nowe i coraz bardziej imponujące wyzwania. W przypadku zabezpieczeń niemal zawsze jest to ryzyko w funkcji złożoności (innymi słowy — więcej jednego i drugiego). Dlatego właśnie ważna jest automatyzacja. Na szczęście nasza branża dotrzymuje kroku postępowi, dlatego z punktu widzenia zarządzania automatyzacja istnieje po to, by można było sobie poradzić z narastającą złożonością powodowaną przez przełomowe technologie, takie jak wirtualizacja. W celu zachowania orientacji i kontroli nad zabezpieczeniami w środowiskach wirtualnych można wykorzystać automatyzację następująco:

• Automatyzacja sprawdzania proponowanych zmian reguł zapór sieciowych w celu zapewnienia zgodności z wymaganiami prawnymi i korporacyjnymi dotyczącymi bezpieczeństwa. Jest to szczególne ważne w przypadku środowisk wirtualnych, ponieważ aplikacje i pulpity pojawiają się na serwerach, wymagając zasobów, które są uruchamiane często dopiero po aktualizacji reguł zapory. Innymi słowy o tym, że zmiana reguły narusza politykę bezpieczeństwa, można dowiedzieć się dopiero po wykonaniu aplikacji.
• Automatyzacja przepływu pracy związanego ze zgłoszeniami serwisowymi w celu synchronizacji zabezpieczeń, serwera i zespołów sieciowych podczas zmian reguł zapór sieciowych. Wszystkie zespoły w dziale IT mogą działać i prowadzić audyty w ramach tego samego przepływu pracy. W ten sposób można wyeliminować nadmiarowe systemy i dodatkowy nakład pracy związany z audytami. Przydaje się to w każdym środowisku sieciowym, ale w środowiskach wirtualnych mogą pojawić się dodatkowe podmioty, które trzeba uwzględnić w procesie zmian reguł: zespół ds. aplikacji lub usługodawca chmurowy albo hostingowy. Zdolność do tworzenia procesów zmian, które umożliwiają zsynchronizowaną pracę zespołów IT, jest konieczna w skutecznie działającym dziale IT.
• Automatyzacja koordynacji reguł zapór sieciowych z przełącznikami i routerami w celu zapewnienia zgodności z przepisami i polityką firmy oraz bezpieczeństwa. Zapory sieciowe to nieodzowny element, który musi być zintegrowany z działaniami w sieci. Automatyzacja eliminuje błędy i nieefektywność zadań związanych z zarządzaniem w skali całej sieci.
• Automatyzacja audytów zgodności z przepisami i polityką firmy nie tylko oszczędza czas i pieniądze — to także świetna decyzja biznesowa. Przenoszenie danych i ich przetwarzania do chmury nie zwalnia organizacji z obowiązku kontroli dostępu, segregowania aplikacji oraz ochrony danych o znaczeniu krytycznym. Automatyzacja zapewnia firmom większą elastyczność w adaptowaniu rozwiązań wirtualizacyjnych i chmurowych.

Niektórzy twierdzą, że im bardziej „rewolucyjne” są nowe technologie dla przedsiębiorstw i im więcej jest wokół nich rozgłosu, tym większe sprawiają problemy w zakresie bezpieczeństwa. Automatyzacja rozwiązań zabezpieczających dotrzymuje jednak kroku zmianom w środowiskach informatycznych przedsiębiorstw. Oprogramowanie do zarządzania zaporami sieciowymi umożliwia zabezpieczenie firmy, a jednocześnie rozwijanie infrastruktury zapór sieciowych, korzystanie z wirtualizacji i usług chmurowych, przestrzeganie przepisów i polityki firmy oraz automatyzację zadań w celu zmniejszenia kosztów operacyjnych. Nie jest to może panaceum, ale na pewno skuteczne lekarstwo od bólu głowy powodowanego przez komplikacje towarzyszące środowiskom wirtualnym.