Bezpieczeństwo w hybrydowym świecie

Coraz więcej firm decyduje się na przeniesienie swoich aplikacji do chmury publicznej. Na pewno pomogła w tym pandemia, która znacząco wpłynęła na przyspieszenie cyfrowej transformacji. Ale migracja na wielką skalę pociąga za sobą wzrost znaczenia bezpieczeństwa. I kto powinien za nie odpowiadać? Dostawca chmury? Firma, która do niej się migruje?

Paweł Wojciechowski: Istnieje coś takiego jak współdzielony model odpowiedzialności. To nie jest tak, że jak się przenosimy do chmury, to za wszystko w tej chmurze odpowiada dostawca chmury publicznej. Niezależnie od modelu, w jakim dostarczana jest usługa chmurowa – czy jest to PaaS, IaaS czy SaaS, za część aspektów związanych z bezpieczeństwem odpowiada klient. Każdy z dostawców chmury publikuje ten model współdzielonej odpowiedzialności i wyznacza linię demarkacyjną, gdzie kończy się odpowiedzialność dostawcy chmury publicznej a zaczyna odpowiedzialność klienta.

Piotr Nowotarski: Na pewno dostawca odpowiada za bezpieczeństwo swojego data center, z którego świadczy usługi chmurowe, klient zaś musi zapewnić bezpieczeństwo aplikacji, danych, sieci, zgodność z regulacjami i polityką bezpieczeństwa.

Odnoszę wrażenie, że wcześniej, jeszcze kilka lat temu, dostawcy chmury przekonywali, że kwestie bezpieczeństwa biorą na siebie – po prostu przyjdźcie do nas, a wasze dane i aplikacje będą bezpieczne jak nigdy dotąd.

P.W: Taka narracja dotyczy pewnego obszaru bezpieczeństwa. Chmurowe data center są faktycznie bardzo dobrze chronione, poczynając od właściwego ich umiejscowienia, a kończąc na zapewnieniu maksymalnej fizycznej ochrony, redundancji energetycznej, przesyłowej itp. Naprawdę nieliczne globalne firmy będą miały bezpieczniejsze centra danych. Dostawcy też udostępniają narzędzia bezpieczeństwa, one są do wykorzystania, jeśli zdecyduje się na to klient.

P.N.: Ja natomiast odnoszę wrażenie, że taka powszechna opinia może po prostu wynikać z niezrozumienia tego, o czym mówił właśnie Paweł. Firmy być może nie mają świadomości, że odpowiedzialność za bezpieczeństwo leży też po ich stronie.

No dobrze, to już mamy wyjaśnione. A jak chmura wpływa, waszym zdaniem, na biznes? I jaka chmura?

P.N.: Z globalnego raportu (2021 Cloud Security Report), który niedawno opublikowaliśmy, wynika że klienci stawiają na chmurę hybrydową. Już 36% firm używa podejścia hybrydowego. Dlaczego? Ponieważ nie wszystko da się przenieść do chmury. Organizacje patrzą na IT całościowo i widzą, gdzie można najefektywniej wykorzystać chmurę. Również kosztowo. Moim zdaniem to chmura hybrydowa, czy szerzej – hybrydowe IT - będzie najczęściej wykorzystywane.

Chmura to zwinność i możliwość dostarczania na rynek nowych usług. W naszym badaniu ponad 50% ankietowanych firm wskazuje przyspieszenie, szybsze dostarczanie produktów i usług jako biznesowy rezultat migracji. Widzieliśmy to na przykładzie e-commerce w pandemii.

P.W.: Firmy, które idą do chmury, mówię tu o świadomych firmach podejmujących racjonalne wybory, decydują się na to wspólnie z biznesem. Chcą, by ten biznes był szybszy, zwinniejszy, sprawniejszy, dostosowany do zmian na rynku i zdolny sprostać rosnącej konkurencji. Oczywiście, firmy, które chcą migrować do chmury, wskazują też na pewne bariery, które mogą blokować ich decyzję. To na pewno bezpieczeństwo, koszty i ludzie. Jeśli jednak znów spojrzymy na przytaczane badanie, to 40% z ankietowanych wskazuje, że na migracji zaoszczędzili w różny sposób. W chmurze jest tak, że infrastruktura nas nie interesuje. To jak klocki do składania – chcę mieć maszynę wirtualną, klikam, chcę mieć bazę danych – klikam, chcę load balancer – klikam. Chmura daje narzędzia do tego, by infrastruktura nie była problemem, by klient mógł zająć się swoim biznesem, a nie zajmował się zarządzaniem infrastrukturą, która ten biznes obsługuje. Zyskuje elastyczność i prostotę.

Barierą jest też nadal brak kompetencji. Cloud computing to wciąż nowa technologia i brakuje do niej ludzi, którzy mają odpowiednią wiedzę, jak efektywnie przenieść aplikacje do chmury.

Jednak patrząc na nasze badanie, to chmura jest przyszłością. Teraz globalnie jest ok. 30% firm, które mają ponad połowę aplikacji w chmurze, a za kilka lat będzie prawie 60% takich firm. Adopcja będzie postępowała, a otwieranie regionów dostawców chmurowych tylko przyspieszy ten proces u nas.

Ale firmy, które decydują się na chmurową podróż, potrzebują również elastycznego bezpieczeństwa. Jak mają przenieść w nowy model IT to swoje wypracowane w tradycyjnym środowisku bezpieczeństwo?

P.N.: To nie jest proste. Musimy pamiętać, że chmura wprowadza nowe zagrożenia i nowe powierzchnie ataku, o których przy środowisku on-premise nie musimy w ogóle myśleć i się nimi martwić. Musimy zatem zaadoptować bezpieczeństwo do nowej sytuacji. Podstawowym wyzwaniem jest brak kompetencji – to nowy temat, więc ludzie popełniają błędy. Nie wiedzą jak skonfigurować to bezpieczeństwo. Jak wynika z wielu raportów dostępnych na rynku, to błędna konfiguracja jest najczęstszym zagrożeniem w chmurze. Jednak powstają produkty, które mają zaadresować takie zagrożenia. W naszym przypadku jest to FortiCWP, który ma za zadanie weryfikować, czy dana konfiguracja jest zgodna z najlepszymi standardami. W tym momencie przy wykorzystaniu usług chmurowych przyzwyczailiśmy się, że dane są dostępne z jakiegokolwiek miejsca i na każdym urządzeniu. Nie mamy już naszych „firmowych klejnotów” schowanych za naszym firewallem w DC, tylko te dane są wszędzie. Pewnie niektóre organizacje same do końca nie wiedza, gdzie tak naprawdę ich dane są zlokalizowane. Trochę jest ich w DC, trochę w kolokacji, a inne na różnych platformach od wielu dostawców. Musimy z jednej strony dać biznesowi ciągły dostęp do danych, z drugiej zaś ten dostęp musi być bezpieczny. To odwraca architekturę, którą znaliśmy wcześniej. Teraz, ze względu na zapewnienie bezpieczeństwa, musimy podejść do IT w inny sposób.

P.W.: Jeśli migrujemy do chmury, to możemy konsumować ją w kilku modelach, na przykład w modelu SaaS. Jako przykład podam Microsoft 365. Bardzo często klienci kupują po prostu taką usługę i zawiera ona wbudowane elementy bezpieczeństwa na różnym poziomie. Bardzo dużo firm pozostaje przy usługach SaaS na tym podstawowym poziomie bezpieczeństwa, dostarczanym przez dostawcę usługi. Ale jeśli już mówimy o modelach IaaS czy PaaS, to pojawia się już większy dylemat. Jedni wybierają natywne narzędzia bezpieczeństwa, bo w chmurze te narzędzia już są, a inne organizacje próbują zastosować spójną politykę bezpieczeństwa. Myślę, że transformacja cyfrowa może być dobrym przyczynkiem do tego, by się zastanowić, jak to nasze firmowe bezpieczeństwo ma wyglądać. Co należy zrobić, by było ono spójne. Gros klientów, jak pokazują statystyki, wybiera model multicloud, a w takim wypadku najbardziej efektywnym będzie wdrożenie spójnego mechanizmu bezpieczeństwa. I to jest to miejsce, gdzie my jako Fortinet wnosimy wartość dodaną.

P.N.: Znów odwołam się do naszego badania. Ponad ¾ respondentów deklaruje, że chciałoby zarządzać bezpieczeństwem z jednego miejsca.

Ale czy wnosicie wartość dodaną tylko w wypadku dużej migracji, czy również możecie wspierać firmy na poszczególnych etapach transformacji? Czy z waszym wsparciem można migrować małymi krokami, które też wymagają ochrony?

P.W.: Wspieramy firmy w dowolnym miejscu ich transformacji. Jest dużo firm, które swój pierwszy krok do chmury wykonuje korzystając z Microsoft 365. Świadome firmy, które mają większe wymagania związane z polityką bezpieczeństwa czy regulacjami, zaczynają się zastanawiać nad czymś więcej niż natywne mechanizmy bezpieczeństwawbudowane w usługi SaaS. Dla takich firm mamy bezpieczeństwo, które możemy dobudować do tych aplikacji i rozszerzyć system bezpieczeństwa o elementy, które zabezpieczą ich aplikacje SaaS. Warto tak robić, warto zabezpieczać usługi pocztowe w chmurze, warto stosować dwuskładnikowe uwierzytelnianie, warto monitorować aktywność użytkowników. My w tym pomożemy. Oczywiście aplikacje SaaS są tylko przykładem pierwszego kroku do chmury. Jak już wspomniałem pomagamy firmom w transformacji do chmury w wielu innych obszarach zapewniając bezpieczną transformację i spójne bezpieczeństwo hybrydowego świata.

P.N.: Niezależnie od etapu, na którym firmy są, staramy się pomagać im w każdym możliwym scenariuszu ich rozwoju i transformacji. Nie ma znaczenia, czy zaczynają, czy są już zawansowani w chmurze, ponieważ dla każdego możemy dopasować właściwe rozwiązania z zakresu bezpieczeństwa. Niezależnie od tego, gdzie są ich aplikacje i jak są konsumowane, dostarczymy bezpieczeństwo w każdym możliwym miejscu. Jesteśmy na to przygotowani.

P.W.: Bezpieczeństwo nie powinno być barierą wejścia w chmurę, ponieważ Fortinet zapewni to bezpieczeństwo.