Információbiztonság a hibrid felhő korában

Voltak idők, amikor a vállalatok valamennyi informatikai erőforrása – hálózat, biztonság, számítástechnikai kapacitás az alkalmazásokkal és adataikkal együtt – helyben volt elérhető. Volt néhány nomád felhasználó, akik betárcsáztak, amikor távolról hozzá szerettek volna férni ezekhez az erőforrásokhoz.

A későbbiekben valamikor a nagy gazdasági világválság idején a kiszolgálók elkezdtek virtuálissá válni – először helyben, majd egyre több és több vállalati alkalmazás is követte a kiszolgálókat, de már a fejlesztőcégek adatközpontjaiban – és beléptünk a digitális transzformáció korába.

Egy évtizeddel később betört a semmiből egy világjárvány mindenki életébe és a digitális transzformáció hirtelen felgyorsult. A vállalatok már csak felhőből vásároltak alkalmazásokat, a legtöbbjük ott is fejlesztette a sajátjait. Bekerült a felhőbe a vállalati adatok nagy része is, míg a helyi adatközpontok vagy összezsugorodtak, vagy akár teljesen meg is szűntek.

Amikor mindenki tartósan otthoni munkára állt át egészen a védettséget biztosító oltások megjelenéséig, a vállalati hálózatok gyökeresen átalakultak. A hagyományos helyi infrastruktúra háttérbe szorult, hiszen a munkavégzés szinte teljes egészében az internetre költözött. A távoli hozzáférések számának növekedése komoly terhelést rótt a központi tűzfalakra és adatközpontokra, miközben a felhasználói élményt rontotta a felhős alkalmazások forgalmának kerülő útvonalakon történő kezelése.

Ezzel párhuzamosan a vállalatok támadási felülete is folyamatosan bővült, egyre nagyobb kitettséget jelentve az újonnan megjelenő kibertámadásokkal szemben. Mindeközben az olyan feltörekvő technológiák, mint az adattudomány, a gépi tanulás és a mesterséges intelligencia, fokozatosan beépültek mind a szervezetek működésébe, mind a mindennapi életbe.

Bár legtöbbünk, ha nem is rendszeren, de visszatért az irodába. Laptopjaink csak vezeték nélküli hálózaton fértek hozzá az irodai hálózathoz, akárcsak legtöbb periféria, míg az adatközpontok az adatokkal és alkalmazásokkal szétszóródnak. A kisebb vállalatoknál szinte csak terep és távmunka kezdett létezni, szatellit irodákban egyeztettek az emberek. A régi periméter eltűnt a határok nélküli hálózatokban, mindent és mindenütt védekezni kell az engedélyezetlen elérés, a szolgáltatás-megtagadás, a rosszindulatú kódok és az információk ellopása ellen.

Az ipari környezetben sem lett egyszerűbb az élet, a termelési, érzékelési és vezérlési egységek már nemcsak helyben és privát hálózatokon kezdtek kommunikálni egymással és adatot szolgáltatni, hogy a modern életünket feltartsák, hanem az interneten keresztül is, a régimódi eszközök mellett megjelentek az internetre született utódaik is.

Hogyan kivitelezhető az információbiztonság a digitális transzformáció ideje alatt vagy után?

Akinek ismerős ez a történet, de még nem esett túl a vállalkozásával a digitális transzformáción, esetlen túl van rajta, de egy belső felmérés vagy külső audit alatt úgy találta, hogy a működés új formájában másképp kell, hogy védje a vállalat digitális jelenlét – ideértve a hálózatait, a végpontjait, az adatait és a felhasználókat is, azok fizikai helyzetétől függetlenül, miközben növelje a felhasználóinak elégedettségét – van egy jó hírünk, a megoldás létezik – moduláris, együtt tudd nőni a vállalatával, könnyen kiterjeszthető a vállalata fizikai lokációitól függetlenül.

A védelmi funkciók:

• együtt mozognak a felhasználóinkkal,
• a forgalom felesleges körbe járatása nélkül,
• közelebb kerülnek a felhőbe áthelyezett vállalati alkalmazásokhoz és adatokhoz,
• a felhasználók és adatforgalom számával együtt növekvő számítási erőforrásokkal,
• mindeközben a házirendeknek megfelelő internetes böngészést figyelemmel kísérve és szabályozva.

Mi van, ha vannak még belső alkalmazások, privát vagy publikus felhőbe?

Régen a vállalat belső erőforrásaihoz az elhanyagolható számú nomád felhasználók virtuális magánhálózatokon fértek hozzá, mikor még a hitelesítésük kiszolgálásához helyi címtárakat használtak a vállalatok az adatközpontokban, az erőforrások elérése pedig számukra, akárcsak a helyben dolgozó felhasználók számára IP-címek alapján kerültek korlátozásra.

Időközben nemcsak a kiszolgálók váltak virtuálissá, de maguk a privát alkalmazások és szolgáltatások is, sőt a legtöbb alkalmazás és szolgáltatás konténerbe került a mikro-szolgáltatások korában. A privát felhőinkben is egy IP-cím mögött több alkalmazás és szolgáltatás lehet manapság, melyek értékes üzleti folyamatokat szabályozhatnak és értékes üzleti adatokat is tárolhatnak. Mindeközben a felhasználói identitások diszperziója és a felhasználói igények változása (mint a vállalati erőforrások elérése nem vállalati eszközökről) az jelenti, hogy új kihívásokkal szembesülünk, amikor a vállalatot érintő digitális fenyegetések száma egyre csak nő és nő. Szerencsére a probléma kezelhető:

• A felhasználók modern hitelesítésének támogatásával az interneten keresztül is a végpontjaik együttes hitelesítésével, függetlenül a felhasználók típusától.
• A felhasználók alkalmazás-szintű elérés vezérlésével.
• M2M identitások hitelesítésével és M2M forgalom vezérlésével.

Mit lehet tenni, ha még a vállalati felhasználóink is több telephelyen ott vannak, néha mozognak köztük, vannak esetleg gyártósorok, raktárak, főhadiszállás mellett kisebb fiókirodák is?

A vállalatnak, ha vannak is még bérelt vonalai és MPLS alapú összeköttetései, azok már legfeljebb csak az adatközpontok közt léteznek. A felhasználók, végpontok, adatok és alkalmazások szóródása miatt sok helyen üzleti internetvonal került bekötésre, tartaléküzemben meg publikus vezeték nélküli hálózatokon érdemes már csak összekapcsolni össze a telephelyeinket.

Minden bonyolultabb lesz, régimódi megközelítéssel szinte kezelhetetlenné válik, felügyeleti és biztonsági szempontok alapján is. A telephelyek közti statikus virtuális magánhálózati kapcsolatok nem tudnak kinyúlni a felhős alkalmazásainkhoz, a felhasználók felhős forgalma pedig már nem kergethető vissza az adatközponti forgalomszűrési berendezésekre az esetleg túlterhelés és a felhasználói élmények degradációjának kockázata miatt.

Hogyan szerezhető vissza a teljes láthatóság és felügyelet, valamint hogyan növelhető a felhasználók elégedettsége a digitális transzformáció után, mialatt a műszaki személyzet sem ég ki?  

• A hálózati és biztonsági funkciók egyesítésével az eszközök számának redukálása csökkenti a műszaki összetettséget és a költségeket is.
• A hálózati forgalom központi kezelésével, valamint annak az alkalmazás szintű és felhasználói élmény alapú összehangolt vezérlésével.

Felhőben vagyunk már, védjük a felhőt is, még ha a fizikai infrastruktúrája nem is a mienk?

Egyértelműen igen a válasz. A felhős alkalmazások, amiket a végfelhasználók használnak, tele vannak értékes adatokkal, míg maguk a felhős alkalmazások rendkívül sok beállítási lehetőséget adnak, amelyek rendszeresen változhatnak, bővülnek. Hogy megtalálhassuk és kijavíthassuk az számunkra fontos biztonsági és adatelérési beállításokat központosítva:

• meg kell ismernünk valamennyi felhős alkalmazásunkat, hogy
• folyamatosan figyelemmel kísérhessük biztonsági állapotukat kockázat alapú mérésekkel, amelynek az eredményei által
• a hibás beállításaikat és a túlzott adatmegosztásaikat kell kijavíthassuk.

Nem lesz jobb a helyzet, ha egy teljes mikro infrastruktúra is a felhőbe kerül, legyen az éles vagy tesztkörnyezet, ahol az adatok, a számítási kapacitások az adattárolással, alkalmazásokkal és a hálózati eléréssel is a mi felügyeletünk alá kerül, hiszen mindezen komponensek biztonsága is a mi felelősségünkké válik. Védenünk kell a felhős végpontokat és virtuális alhálózatokat. Szerencsére a legtöbb felhőszolgáltató natív eszközkészletet add, de ha több felhőszolgáltatót használunk, a központosított felhőinfrastruktúra:

• eszköz és beállítás-felkutatás, valamint
• védelem, felügyelet és javítás is kritikussá válhat.

Ha vannak saját fejlesztésű alkalmazásaink is, továbbá ezek mind konténerekben kerülnek kiszerelésre és mikro-szolgálatásként futnak, ráadásul az üzleti logika mögött többfajta adatbázis és adattároló is található, az adat- és eszközfelkutatás, felügyelet és védelem kiterjesztendő a fejlesztési platformok alatt található:

• alkalmazásokra és programozási interfészeikre,
• konténerekre és azok felügyeleti rendszereire,
• alkalmazások kódjaira, könyvtáraira, fejlesztési és futtatási környezeteire,
• alkalmazások konfigurációs, hitelesítési és az üzleti logikájuk mögött található végfelhasználói adatokra a platformok szolgáltatójától függetlenül.

Miben tud a Panor a vállalatának segíteni?

1. Felmérjük az információs rendszereinek aktuális kialakítását és állapotát a dokumentációk, diagramok bekérésével, valamint a műszaki személyzet és döntéshozók megismerésével.

2. Javaslatokat teszünk a vállalata aktuális rendszereinek biztonságos üzemben tartásához, valamint egyedi ajánlatot készítünk a vállalatára szabva a digitális transzformációt támogató hálózati és biztonsági rendszerek megtervezésére, kivitelezésére és támogatására a vállalata számára aktuálisan elérhető humán és pénzügyi kapacitásokat és a kívánt fejlődési ütemét tekintetbe véve.

3. Folyamatos tanácsadást biztosítunk a vállalata vezetőinek és személyzetének, akár a meglévő és új információs rendszerek folyamatos felügyelete mellett, telekommunikációs, fizikai biztonság, felhő, számítás- és irodatechnikai kérésekben és kérdésekben is.

Megoldásunk az Ön számára

Egységes hálózat és biztonságkezelés a teljes körű védelem mellett a vállalata:

• helyi infrastruktúrának: Fortinet Security Fabric
• felhős bérleményeinek, adatainak és alkalmazásainak: FortiCASB-SSPM
• termelési rendszereinek: Fortinet OT Security
• felhasználóinak fizikai elhelyzekedésüktől függetlenül: FortiSASE
• Lézer-pontos precízióval a tervezés, kivitelezés és támogatás alatt: Panor

Fortinet + Panor = modern megoldások, melyek a globális piaci elemzések során az élvonalba kerültek + 11 év az integrátori piacon és rengeteg sikeres közbeszerzéssel és versenyszférás projekttel és maximális ügyfél elégedettséggel futó aktív támogatási szerződésekkel.