Kompetencje, bez których chmura hybrydowa nie będzie bezpieczna

Chmura hybrydowa przynosi wiele korzyści, ale także znacznie komplikuje kwestie związane z zabezpieczeniem danych i aplikacji. W związku z tym potrzebni są pracownicy z nowymi kwalifikacjami, którzy poradzą sobie z zapewnieniem bezpieczeństwa takiego środowiska.

Jest to nie lada wyzwanie, jeśli wziąć pod uwagę deficyt specjalistów od bezpieczeństwa. W ostatnim badaniu przeprowadzonym przez ESG aż jedna trzecia firm odpowiedziała, że największe problemy są ze znalezieniem właśnie osób znających się na bezpieczeństwie chmury. Firmy potrzebują specjalistów od bezpieczeństwa dysponujących różnymi umiejętnościami w zakresie technologii, począwszy od tradycyjnych sieci i systemów operacyjnych na bezpieczeństwie danych skończywszy. Niezbędne są również bardziej miękkie umiejętności, np. wiedza na temat regulacji prawnych. W kontekście chmury hybrydowej konieczny jest jeszcze podział odpowiedzialności między dostawcą chmury publicznej a przedsiębiorstwem. Ten podział oraz wymagane umiejętności zależą od typu usług z chmury publicznej.

Kwalifikacje

Pewne umiejętności są wymagane w przypadku każdej chmury publicznej. Przykładowo, firmie będzie potrzebny specjalista od szyfrowania i ochrony przed utratą danych. Dział IT musi bowiem wiedzieć, gdzie w chmurze znajdują się dane, jakie zabezpieczenia stosuje operator chmury i jak zintegrować reguły bezpieczeństwa stosowane w chmurze z regułami obowiązującymi w firmie. Podobnie, trzeba również mieć eksperta od zarządzania tożsamością i dostępem oraz mechanizmami wieloskładnikowego uwierzytelniania, niezależnie, czy firma korzysta z usług SaaS, PaaS, IaaS lub ich kombinacji.

Zobacz również:

W przypadku SaaS potrzebne są jeszcze kwalifikacje związane z różnymi aplikacjami oraz narzędziami do monitorowania, aby wykrywać incydenty bezpieczeństwa. Analiza powłamaniowa to również ważne umiejętności, która pomogą w zapobieganiu podobnym zdarzeniom w przyszłości.

Korzystając z usług PaaS, potrzebne są kwalifikacje, aby zapewnić, że aplikacje chmurowe są rozwijane z bezpieczeństwem wbudowanym już na poziomie interfejsów API. Korzystanie z otwartych API może pomóc w usunięciu luki, jaka powstaje w przypadku korzystania z zamkniętych środowisk chmurowych.

W środowisku IaaS potrzebne są umiejętności we wdrażaniu rozwiązań definiowanych programowo, czyli wysoko wykwalifikowani specjaliści, którzy potrafią tworzyć reguły serwerów, pamięci masowych i bezpieczeństwa sieci w chmurze publicznej. Te kwalifikacje obejmują umiejętność monitorowania wykorzystania zasobów IT, usług baz danych, jak również zarządzanie incydentami bezpieczeństwa wykrytymi w chmurze.

Audyt

Wiele z miękkich umiejętności potrzebnych do osiągnięcia sukcesu w budowaniu chmury wynikają z potrzeby lepszego wglądu w środowisko hybrydowe, które staje się coraz bardziej złożone, ponieważ usługi SaaS, PaaS i IaaS są wykorzystywane w różnych kombinacjach, a dodatkowo w połączeniu z chmurą prywatną. Część ekspertów uważa, że wyzwaniem jest nie bezpieczeństwo, lecz przejrzystość. Aby mieć wgląd w stan zabezpieczeń zewnętrznych dostawców, firmowy zespół IT powinien przynajmniej zagwarantować sobie prawo do zweryfikowania praktyk stosowanych przez dostawcę oraz sprawdzić, czy posiada on wymagane certyfikaty.

Prawo do audytu może być zapisane w umowie SLA, aby mieć pewność, że dostawca działa zgodnie z firmowymi regułami bezpieczeństwa lub regulacjami prawnymi. Dlatego umiejętność wypracowania kompleksowych umów SLA z dostawcą jest coraz bardziej pożądana. Dział IT, w szczególności specjaliści od bezpieczeństwa powinni negocjować warunki zapewniające maksymalną ochronę i wgląd w usługi dostawcy, aby zapewnić ochronę danych i aplikacji w chmurze.

Oprócz formalnego zapisania audytów, potrzebne są jeszcze narzędzia i kwalifikacje do stałego monitorowania zagrożeń i zgodności z przepisami usług SaaS, PaaS i Iaas. Jeśli chodzi o zagrożenia, potrzebny jest pełen obraz ataków, które są skierowane na urządzenia końcowe, infrastrukturę i elementy sieci. Z punktu widzenia bezpieczeństwa aplikacji potrzebny jest wgląd w zachowania i potrzeby użytkowników odnośnie usług z chmury publicznej. Firmy działające w regulowanych branżach muszą również przeznaczyć środki na kontrolowanie, jak zewnętrzni dostawcy przetwarzają dane i obsługują aplikacje, aby mieć pewność zachowania godności z przepisami.

Wydaje się, że praktyki bezpieczeństwa w chmurze prywatnej powinny być bardziej podobne do tradycyjnego podejścia niż w przypadku wdrożeń chmury publicznej. Jednak wirtualizacja, która jest nieodłącznym elementem chmury prywatnej, przynosi nowe wyzwania bezpieczeństwa, które wymagają odpowiednich kompetencji. Po pierwsze, trzeba rozumieć, jakie są różnice w infrastrukturze, np. pomiędzy maszynami wirtualnymi a platformą OpenStack. Po drugie, firmy wdrażające SDN (Software Defined Network) potrzebują wiedzy dotyczącej automatyzacji, ponieważ reguły bezpieczeństwa muszą współistnieć obok mechanizmów orkiestracji. Te umiejętności są szczególnie ważne, ponieważ wirtualizacja jest już obecna nie tylko w serwerach, ale również w sieciach i pamięciach masowych.

Większość chmur prywatnych to w praktyce chmury hybrydowe, które wymagają śledzenia zagrożeń w obu obszarach: lokalnym i chmurze publicznej. To wymaga nie tylko głębokiej wiedzy technicznej, ale również współpracy między zespołami odpowiedzialnymi za te połączone środowiska.