Портал №1 по управлению цифровыми
и информационными технологиями

Безопасность облачно-ориентированных вычислений

“Человеку не нужно сверло для дрели диаметром в четверть дюйма, ему нужно просверлить отверстие такого диаметра”. Теодор Левитт.

Компании не заинтересованы в управлении ИТ, они больше заинтересованы в результатах своей деятельности, связанной с ИТ. Они хотят быстро поставлять программное обеспечение и целиком сосредоточиться на своих основных продуктах и услугах. Именно здесь и появляется концепция облачно-ориентированных вычислений, и почему обеспечение их безопасности становится важным.

По обыкновению раньше у компаний было много своих собственных вычислительных ресурсов в виде всевозможных типов серверного оборудования. Сегодня же мы движемся к другой реальности. Разработчики сосредотачиваются только на том, что необходимо для написания кода и развёртывания бизнес-логики, независимо от того, на каком оборудовании она развернута.

Именно поэтому так привлекательно выглядит идея перехода к использованию программного обеспечения без серверов и необходимого сопутствующего сложного управления ими и связанными дополнительными расходами на ИТ. Если компания может выпускать свои продукты, не отвлекая ресурсы на управление серверным оборудование, системами хранения и так далее, и при этом может делать это надёжнее и быстрее, это, безусловно, большое достижение.

2012 год был золотым веком отделов эксплуатации ИТ-подразделений, когда системные администраторы были на коне, а разработчики становились к ним в очередь за необходимыми ресурсами. Переходя от той эпохи к 2016 году, мы приходим к эпохе облачных вычислений, где центральное положение стали занимать уже разработчики.

В течение многих лет отделы эксплуатации определяли и управляли инновациями внутри организаций, где-то и когда-то, возможно, подавляя их. Предложения разработчиков в части инноваций были ограничены строго той областью, которую они контролировали — то есть прикладным уровнем. Всё, что выходило за рамки этого, было под полным контролем отдела эксплуатации ИТ. Это включало в себя хостинг, балансировку нагрузки, управление базами данных и принятие решений о внедрении виртуализации или новейших сетевых технологий.

С появлением NFV (Network Functions Virtualization, виртуализация сетевых функций) и облачных вычислений всё изменилось. С тех пор происходит непрерывная эрозия слоёв абстракции архитектуры приложений, с которыми разработчики имели дело в прошлом. И вот в 2020 году разработчики, будучи хозяевами положения, подталкивают организации к изменениям. Всё это возможно не только благодаря виртуализации и облачным вычислениям, но и благодаря относительной простоте наборов разработки, когда разработчик может установить полный стек приложений на свой ноутбук.

Во многих организациях радикально изменился охват деятельности руководителей ИТ-подразделений. Произошла смена приоритетов областей: от ориентации на инфраструктуру к ориентации на приложения. Разработчики — это «курицы, несущие золотые яйца» таких организаций, поскольку в их руках сосредоточены возможности по увеличению прибыли компаний.

Есть довольно большой разброс в оценке эффективности облачно-ориентированных вычислений. Однако, независимо от того, идёт ли речь о сокращении времени развёртывания на 300% или всего лишь на 30%, всё равно экономия времени приличная. Многие разработчики больше никогда в жизни не увидят традиционного центра обработки данных, да и по факту, новые приложения разрабатываются как микросервисы или, по крайней мере, как контейнеры, просто потому, что они быстрее.

Назад пути нет. Новый подход позволяет разработчикам инвестировать в масштабируемые решения, не вынуждая компании заранее тратить неоправданно большие суммы денег. Как приложения, так и инфраструктура могут быстро масштабироваться вверх или вниз, используя нужное количество ресурсов для обеспечения наилучшего уровня предоставления.

Компании, ориентированные на сезонные или пиковые нагрузки, выигрывают от перехода на облачно-ориентированную архитектуру. Пользователи также выигрывают от перехода, так как они получают лучшее обслуживание, без простоев. Все в плюсе.

Тренд на широкое использование облачно-ориентированных архитектур будет лишь увеличиваться со временем. К 2025 году виртуальные машины и физические серверы станут таким же анахронизмом, как сегодня мейнфреймы и сети с кольцевой топологией. На самом деле, большинство средних и крупных организаций уже имеют какой-то проект миграции из виртуальных машин в контейнеры, находящийся в стадии разработки. Многим разработчикам больше не нужно запускать свои виртуальные машины, так как они могут иметь целый стек приложений, развёрный на их ноутбуке и использующий контейнеры. Когда они заканчивают написание кода, они просто берут и перенесят его в стейдж- и производственную среды.

Кроме того, локальные и облачные среды становятся единым целым, а не отдельными инфраструктурами. Люди привыкли думать, что центр обработки данных целиком будет мигрирован на управляемые облака по экономическим соображениям. Однако, сегодня большинство развёртываний становятся гибридными. Организации предпочитают сохранить некоторые из своих систем локально (в основном устаревшие приложения, которые не могут быть легко перемещены в облако). ИТ-администраторы начинают думать о развёртывании в облаке как о расширении существующего центра обработки данных, а не как об отдельной сети, которой необходимо управлять.

Эта тенденция, скорее всего, будет продолжаться, что делает ещё более важным понимание меняющихся ожиданий относительно того, как обеспечить безопасность гибридной сетевой среды. Скорость изменения среды облака намного быстрее, чем локальной инфраструктуры. Большинство устаревших решений не были разработаны для того, чтобы справляться с сетями и вычислительными объектами, смена состояний которых может происходить в течение нескольких секунд, миллион раз в день. Каков наилучший способ управления рисками в этой постоянно меняющейся среде? Здесь нет единого ответа, но в целом предполагается, что вы рассматриваете ситуацию в долгосрочной перспективе, исследуя различные варианты, а затем анализируете каждый из них через призму одного, трех и пяти лет.

Когда мы думаем о будущем с точки зрения безопасности, и подходы, и модели угроз остаются прежними. Однако, необходимо внимательно рассмотреть ряд вопросов безопасности, включая политики, вопросы авторизации и предоставления прав доступа. По мере конвергенции сетей, инструменты контроля и обеспечения безопасности тоже претерпевают изменения. Заглядывая вперед, можно сказать, что пользу будут приносить только те решения, которые смогут обеспечить единую точку контроля за вашими цифровыми активами и их безопасностью.

Поэтому перед выбором конкретного решения задайте себе следующие вопросы:

  • можно ли улучшить видимость в своём облачном сервисе? Приложения могут быть развёрнуты как в нескольких облачных средах, так и локально на серверах в разных местоположениях и даже в разных регионах, что затрудняет формирование чётких границ безопасности. Правильный инструмент может помочь вам понять охват и расположение ваших облачных ресурсов, особенно если он умеет автоматически обнаруживать облачные приложения и сопоставлять потоки данных между ними, что облегчает идентификацию приложений, запущенных в облаке, и понимание, как они взаимодействуют друг с другом;
  • можно ли получить единое представление о нескольких средах? Инструменты необходимо адаптировать так, чтобы иметь возможность управлять гибридными сетями в организациях, использующих и локальную инфраструктуру, и несколько облачных сред. Например, если ваша архитектура требует развертывания политик на границах сред, то как инструмент справится с их конвергенцией? Многие сетевые решения едва ли распознают седьмой уровень модели OSI, не говоря уже о контейнерах;
  • можно ли определять и управлять политиками в подобных средах? Узнайте, как инструменты работают с сетевыми политиками, определите потенциальные проблемы как с технической, так и с процедурной точки зрения. Защита трафика приложений облачно-ориентированных архитектур или между приложениями и внешними сетями — это неплохо, но в облаке необходимо реализовать сегментацию на микроуровне, чтобы можно было задавать политики на уровне приложений. Определяя, какие приложения могут взаимодействовать и какие типы взаимодействий разрешены, можно обеспечить необходимый и достаточный уровень безопасности для приложений, работающих в облаке. Следует отдавать предпочтение инструментам, которые предлагают автоматические рекомендации по политикам, которые могут быть эффективно применены к любой облачной инфраструктуре, оптимизируя политику безопасности вашей организации;
  • можно ли и для планируемого будущего состояния быть уверенным в должном уровне безопасности? Разрабатывая свою будущую дорожную карту, подумайте о том, как будет выглядеть ваша сеть. Какие типы рабочих нагрузок и сетевых топологий будут использоваться? Убедитесь, что выбранные поставщики систем безопасности обеспечивают полное покрытие для вашей дорожной карты.

При правильной реализации современные методы микросегментации могут предложить простой способ обеспечения безопасности облачных сред, включая решение уникальных задач контейнеров и предоставление возможности создания динамических политик для приложений вплоть до уровня процесса. Стоит искать инструменты, которые обеспечивают единое представление и общий вид, автоматически обнаруживая все потоки и зависимости сети. Это позволит вашему бизнесу воспользоваться преимуществами бессерверных вычислений без увеличения риска или сложности при обеспечении безопасности.

Источник

«DevOps: современный подход к организации работы ИТ»
Учебный курс про менеджмент, а не про технические практики

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Рубрики

  •  
  • Самое свежее

  •  
  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT