Jak korzystać z usług bezpieczeństwa w chmurze

Głównym powodem wdrożenia usług dotyczących bezpieczeństwa jest oszczędność kosztów w porównaniu do funkcjonalności uruchamianej samodzielnie oraz elastyczność modelu usługowego.

Firmy potrzebują narzędzi niezbędnych do zachowania wymaganego poziomu bezpieczeństwa, m.in. zarządzania tożsamością, szyfrowania danych, kontroli dostępu. Chcą połączyć te opcje z elastycznością i sprawnością cenową właściwą dla dobrych usług typu cloud computing. Szczególnie istotną zaletą są bardzo niskie, lub wręcz zerowe, koszty inwestycyjne.

W oczekiwanym scenariuszu niezbędne opcje są dostępne w modelu usługowym, bez konieczności instalacji i utrzymywania sprzętu w firmowej serwerowni. Według Lawrence'a Pingree'a, kierownika działu badawczego w firmie Gartner, najważniejszą korzyścią dla firmy przy korzystaniu z chmury są niskie koszty inwestycyjne.

Drugim powodem, dla którego firmy mogą decydować się na wybór usług bezpieczeństwa w modelu cloud computing, jest elastyczność. Przykład stanowi filtrowanie poczty elektronicznej, ochrona antywirusowa, zarządzanie podatnościami, zarządzanie tożsamością i stosowanie systemów pojedynczego uwierzytelnienia. Według Gartnera, rynek usług bezpieczeństwa oferowanych w modelu chmury wzrośnie od 1,9 mld USD w roku 2012 do 4,2 mld w ciągu czterech lat, przy średniorocznej stopie wzrostu rzędu 23%.

Klasycznym przykładem, gdy usługi chmurowe są uznawane za jedno z najlepszych rozwiązań, jest hostowana ochrona antywirusowa. Firmy mogą polegać na usługodawcy, zamiast samodzielnie zarządzać urządzeniami i oprogramowaniem, czy też dbać o aktualność sygnatur we wszystkich antywirusach w firmie.

Przeprowadzki chronione przez chmurę

Firma Sirva Inc. z Westmont w stanie Illinois (USA) działa w branży firmowych przeprowadzek. Korzysta z usług bezpieczeństwa w modelu cloudowym od 2009 r. Wdrożono tam ochronę poczty elektronicznej za pomocą usługi Symantec Email Continuity i rezerwowy system pocztowy, który zapewnia niemal nieprzerwaną dostępność usług e-mail. W ciągu kilku lat wdrożono także inne usługi w tym modelu, wliczając w to blokowanie niepożądanych stron internetowych (Websense) i testy penetracyjne (WhiteHat Security). Jak mówi Adam Diab, menedżer ds. dostarczania usług w firmie Sirva, kolejnym krokiem będzie wdrożenie oprogramowania Office w formie usługi, obejmującej także antyspam, antywirusa, zarządzanie tożsamością i szyfrowanie poczty.

Diab uważa, że podstawową przyczyną migracji do usług w chmurze były niższe koszty. Wiele firm żądało opłat za opcje disaster recovery w swoich produktach nawet wtedy, gdy firma z nich nie korzystała, a koszty sprzętu i oprogramowania stale rosły. "Chcieli opłat za usługę, która nic nie robiła, przynajmniej przez większość czasu. Poszukaliśmy zatem alternatywy" - mówi Adam Diab. Firma wybrała usługi w chmurze, tańsze o 25% w stosunku do licencjonowanego tradycyjnie oprogramowania, niewymagające sprzętu i obsługi w firmie. Zbędne było zarządzanie, takie jak aktualizacja oprogramowania i firmware'u w urządzeniach, a także odtwarzanie w przypadku awarii. Te zadania w modelu usługowym wykonuje usługodawca.

Usługi w chmurze to oferta sprawdzona w praktyce, także w zakresie wysokiej wydajności i globalnej dostępności.

Logowanie z chmury

Nieco inne wdrożenie usługi z chmury przeprowadzono w firmie Tickr.com, która oferuje klientom samoobsługową platformę do kontroli obecności ich firmy oraz produktów w wypowiedziach uczestników sieci społecznościowych. "Aby usługi działały poprawnie, niezbędny był dostęp do własnościowych narzędzi Tickra, a także aplikacji Google Apps i Salesforce.com. Szybki dostęp do tych aplikacji przez deweloperów był krytyczny dla firmy, która musi niezwykle szybko wydawać nowe wersje swojego produktu. Dzięki usługom zarządzania tożsamością oraz zintegrowanego logowania można było uprościć dostęp do usług chmurowych i hostowanych lokalnie u klientów" - tłumaczy Bobby Mukherjee, wiceprezes działu tworzenia aplikacji w firmie Tickr.

Pomysł na wdrożenie narzędzi zarządzania tożsamością pojawił się podczas pierwszych prób z aplikacjami, gdy okazało się, że inżynierowie musieli wielokrotnie się przelogowywać i pamiętać hasła poszczególnych użytkowników. Zadania niezwiązane z tworzeniem aplikacji, obejmujące przelogowywanie się, zarządzanie hasłami i unikanie problemów z bezpieczeństwem, zajmowały im aż 10% czasu. Był to nieuzasadniony wydatek i zbędne obciążenie. Firma poszukała rozwiązania jednokrotnego logowania, które uprościłoby wszystkie zadania związane z zarządzaniem tożsamością.

Wybrano ofertę firmy Symplified, wykorzystującą usługi w modelu cloud. W Tickr wykorzystywano już różne usługi z chmury. Ogólne wrażenie było pozytywne - zaobserwowano redukcję kosztów i poprawę elastyczności. Tego oczekiwano od usługi zarządzania tożsamością. Głównym zyskiem była prostota obsługi i radykalne zmniejszenie obciążenia specjalistów pobocznymi zadaniami. Wbudowane oprogramowanie jednokrotnego logowania i zarządzanie tożsamością nie wymagało szkoleń użytkowników.

Chmura skontroluje aplikacje

Wśród firm, które polegają na usługach bezpieczeństwa, znajduje się Cox Communications, trzeci co do wielkości operator telewizji kablowej w Stanach Zjednoczonych, obsługujący co najmniej 6,2 mln abonentów. Wykorzystywane usługi obejmują zarządzanie podatnościami i analizę luk w aplikacjach. Analiza statyczna polega na automatycznej kontroli kodu źródłowego lub binariów, a dynamiczna wiąże się z rozpoznawaniem podatności w działających aplikacjach webowych. "Obie usługi dają nam dostęp do dojrzałych technicznie zasobów, które są szybsze i tańsze od działań tej samej jakości przeprowadzanych w obrębie IT firmy. Usługi cloud sprawiają, że jesteśmy na bieżąco wobec nowych zagrożeń. Utrzymanie tak szybkiego postępu w inny sposób byłoby niesłychanie wymagającym zadaniem" - mówi Jay Munsterman, dyrektor działu bezpieczeństwa oprogramowania w Cox Communications.

Dostarczane aplikacje są wyposażane w kompletną funkcjonalność w ciągu jednego dnia, więc nie musi odbywać się typowy proces kreowania, konfiguracji i wdrożenia. Munsterman uważa, że dzięki usługom nie musi zatrudniać ludzi do utrzymywania platformy usługowej. Wdrożenie usługi było kontrowersyjną decyzją, gdyż wiązało się z przekazaniem usługodawcy fragmentów własności intelektualnej firmy i informacji o podatnościach wykrytych podczas testów. Sądzono, że wszelkie działania powinny być prowadzone przez firmę samodzielnie.

Rozpisane zapytania ofertowe dla usług bezpieczeństwa przyniosły odpowiedzi w postaci oferty firmy, której początkowo zarząd Cox Communiactions nie traktował poważnie. "Rzetelna ocena w procesie przetargu sprawiła, że można było spojrzeć ponownie na dostawcę, który początkowo był niedoceniany, ale potem wykazał się najlepszymi wynikami. Twardy, niepodważalny standard oceny sprawił, że spojrzeliśmy na ofertę pod kątem jej rzeczywistej zawartości, a nie tego, co mieliśmy skłonność w niej widzieć. Jasne wyniki neutralnej oceny ofert przetargowych oddały rzeczywistą wartość danego dostawcy. Na początku sformułowano twarde warunki współpracy. Niezbędna była trudna praca w obrębie firmy, by skutecznie i sprawnie rozpocząć współpracę z zewnętrznym dostawcą. Po roku wyniki przekonały nawet najtwardszych oponentów" - wyjaśnia Jay Munsterman. Wśród osiągnięć należy wymienić niepodważalną szybkość działania oraz dokładność, dzięki której firma mogła wdrożyć program bezpieczeństwa.

Na podstawie: Security-as-a-service gaining popularity, Bob Violino - February 4, 2013, Computerworld

8 zasad wyboru dostawcy usług bezpieczeństwa

- Rozpoznać, jak oferowane usługi różnią się od produktów tradycyjnych, by móc dokonać chłodnej ewaluacji.

- Upewnić się, czy usługi spełnią potrzeby organizacji.

- Rozpoznać ofertę różnych dostawców, oceniając ich w neutralny sposób, według jasnych i precyzyjnych kryteriów.

- Wdrożyć menedżerów i użytkowników w proces ewaluacji, jeśli tylko jest to możliwe ze względów praktycznych. Jeśli użytkownicy uznają, że rozwiązanie chmurowe jest zbyt trudne w obsłudze, prawdopodobnie firma nie wyzyska w pełni danej usługi.

- Wybierać dostawców, którzy mają dobrą reputację, silny dział badawczy i wdrożeniowy, a także nadążają za nowymi zagrożeniami.

- Sprawdzać oferowane przez dostawców narzędzia, ich jakość i niezawodność.

- Traktować współpracę z usługodawcą tak jak partnerstwo, regularnie dzieląc się informacjami o tym, w jaki sposób daną usługę można jeszcze usprawnić. Wdrożyć ludzi w firmie, by nadzorowali daną usługę i byli w kontakcie z usługodawcą.

- Upewnić się, że dostawca posiada odpowiednie plany dotyczące ochrony przed niedostępnością usługi lub utratą danych. Wybór dostawcy jest krytycznie ważny dla firmy - dostawca powinien umieć zabezpieczyć także siebie.