Priorytety: bezpieczeństwo "w chmurze" i systemach wirtualnych
-
- Józef Muszyński,
- 15.03.2010
Integracja bezpieczeństwa z tożsamością
W kwietniu 2009 r. Microsoft podał szczegóły dalekosiężnej strategii łączącej zarządzanie tożsamością z produktami ochronnymi dla klienta, serwera i obrzeża sieci. Firma zaplanowała zintegrowanie swoich produktów ochronnych i zarządzania tożsamością pod marką Forefront i oferowanie ich również w modelu SaaS. Ten ambitny plan integracji oprogramowania ochronnego i administrowania tożsamością rozwijał się wolniej niż zakładano, ale fundamenty tej platformy pojawiły się na początku br.
Forefront Identity Manager jest jednym z podstawowych elementów planowanej platformy. Integruje on zarządzanie tożsamością w ramach całej organizacji i stanowi podstawę zarządzania konfiguracją bezpieczeństwa i polityką bezpieczeństwa.
Microsoft połączył również usługi katalogowe Active Directory, oprogramowanie Forefront i produkty dostawców niezależnych w ramach konsoli Forefront Protection Manager (Stirling), scentralizowanego panelu zarządzania dla wszystkich produktów ochronnych Forefront.
Do kogo głównie adresowany jest model "Security-as-a-Service"?
Security as a Service (zabezpieczenia jako usługa) jest dedykowany wszystkim, przy czym różne firmy będą czerpać z niego różne korzyści. Wielkie przedsiębiorstwa oraz instytucje publiczne już od wielu lat zlecają obsługę informatyczną, sieciową i zabezpieczeniową partnerom zewnętrznym. Firmy małe i średniej wielkości często nie mają nawet wydzielonego zespołu informatyków, nie mówiąc już o specjalistach w dziedzinie zabezpieczeń. Opcja "zabezpieczeń jako usługi" pozwala im korzystać z tej samej klasy sprzętu, infrastruktury, konfiguracji i zarządzania, co duże przedsiębiorstwa. Co najważniejsze, umożliwia im skoncentrowanie się na swojej głównej działalności, bez zaprzątania sobie głowy problemami bezpieczeństwa informatycznego.
Jak praktycznie można zadbać o bezpieczeństwo usług cloud computing?
W przetwarzaniu poza siecią lokalną ochrona powinna się koncentrować na dwóch obszarach — zagwarantowaniu, że host potrafi bronić się sam, oraz zapewnieniu bezpieczeństwa danych zarówno w czasie ich przechowywania, jak i w czasie ich przesyłania. Podstawową technologią, na której opiera się przetwarzanie poza siecią lokalną, jest wirtualizacja. Obrazy maszyn wirtualnych są w wysokim stopniu mobilne, często mają powiązania z innymi klientami i nie są w pełni chronione przez tradycyjne mechanizmy zabezpieczeń. Istotne jest, aby zabezpieczenia (zapobieganie włamaniom, zapora firewall, ochrona przed szkodliwym oprogramowaniem itd.) były stosowane na poziomie maszyny wirtualnej oraz aby podążały wraz z nią wszędzie, gdzie ona się przemieszcza — potrzebne są "przyklejone zabezpieczenia". Oprócz tego istnieje ryzyko nieautoryzowanego dostępu do danych przez przypadek lub w wyniku włamania, czy kradzieży. W środowisku przetwarzania poza siecią lokalną dane są przekazywane innemu podmiotowi i często są przechowywane razem z innymi danymi, być może należącymi do konkurentów. Klient musi mieć pewność, że wszelkie dane umieszczane w tym środowisku są szyfrowane i że tylko on ma do nich klucze. Konieczna jest zmiana modelu bezpieczeństwa — myślenie o atakach z zewnątrz do wewnątrz należy zastąpić ochroną skierowaną z wnętrza na zewnątrz. Jeżeli serwery same się bronią i dane są szyfrowane, to usługi przetwarzania poza siecią lokalną są bezpieczne.
