Миграция в публичное облако без потери контроля

Как защищать и контролировать виртуальные машины в облаке AWS

Современному бизнесу давно не нужно рассказывать про преимущества облачной инфраструктуры перед физической. Но процесс миграции бизнес-приложений в публичное облако ожидаемо вызывает нервозность у сотрудников отдела информационной безопасности, а объединение частного облака с публичным в рамках стратегии построения гибридного заставляет изрядно попотеть уже не только ИБ-, но и ИТ-службы. Их можно понять — системы и данные, за безопасность и стабильность работы которых они отвечают головой, внезапно переезжают куда-то вовне. Но насколько обосновано это беспокойство?

Большая часть крупных предприятий уже так или иначе использует технологии виртуализации. По крайней мере, в виде частного облака (консолидация ресурсов и их распределение между виртуальными серверами и машинами). Однако сейчас при расширении инфраструктуры компании все чаще смотрят в сторону публичных облаков — это позволяет серьезно сократить расходы на поддержание инфраструктуры, оптимизировать SLA и облегчает масштабирование мощностей.

Что при этом меняется для ИБ-специалистов, почему они начинают нервничать, и как решить вопросы защищенности данных в облаках? Давайте рассмотрим на примере миграции корпоративной инфраструктуры в Amazon Web Services (AWS), сервис, который на сегодняшний день является одним из лидеров индустрии публичных облаков.

Во-первых, упомянутым выше сотрудникам отдела ИБ кажется, что они теряют контроль. Если в частном облаке они контролируют все, от железа, сетевого оборудования и платформ виртуализации (гипервизоров) до операционных систем и приложений, то в публичном облаке им  доступен лишь контроль самой виртуальной машины и установленных на ней ОС и приложений. То есть в нагрузку к безграничным вычислительным мощностям клиент получает некоторые ограничения в применении специализированных средств защиты, которые он привык использовать в своем ЦОДе.

Однако такой подход называется «моделью разделенной ответственности», и это вовсе не повод для беспокойства. Просто за обеспечение доступности инфраструктуры облака и реализацию базовых уровней его защиты полностью отвечает оператор сервиса. Ведь у AWS есть разнообразные «встроенные» (или, выражаясь на профессиональном жаргоне, cloud-native) защитные технологии, такие как шифрование дисков виртуальных машин, построение защищенных каналов VPN и тому подобные механизмы. Но «встроенные» технологии защиты не всегда могут верно оценить контекст работы виртуальных машин, а следовательно, не столь эффективны в предотвращении сложных киберугроз, в том числе угроз нулевого дня. Поэтому за защиту ОС и приложений (и, как следствие, данных внутри виртуальных машин) ответственность несет уже сам клиент.

Во-вторых, безопасники не любят «менять коней на переправе». У компаний часто имеются устоявшиеся ИБ-практики, детально спланированные и глубоко внедренные в бизнес-инфраструктуру механизмы мониторинга и обеспечения киберзащиты. И терять их при миграции в публичное облако крайне нежелательно, так как это неминуемо ведет к возникновению новых ИБ-рисков. Ситуацию усугубляет потенциальная необходимость перехода на новые решения по управлению ИБ в публичном облаке — ведь наличие нескольких консолей мониторинга и управления ИБ в разы повышает сложность обнаружения угроз, и соответственно делает такое гибридное облако легкой мишенью для серьезной кибератаки.

Но и эта проблема решаема. Наше решение для защиты гибридной облачной инфраструктуры предоставляет все необходимые технологии для обеспечения безопасности виртуальных машин независимо от уровня доступа к управлению компонентами инфраструктуры облака.

При этом наша консоль Kaspersky Security Center позволяет не только обеспечить высокий уровень управляемости и прозрачности облачной инфраструктуры, но и автоматизировать развертывание защиты на виртуальные машины в публичном облаке. Более того, через ту же консоль можно управлять еще и защитой конечных точек и физических серверов.

Благодаря нашему решению при миграции в публичное облако или при построении гибридной облачной инфраструктуры не придется переосмысливать подходы к организации ИБ, искать новые средства защиты и жертвовать управляемостью в угоду экономии.

Хотите знать больше? Посетите наш стенд 1140 на конференции AWSre: Invent 2017!

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.