Dostawcy usług w chmurze rozszerzyli w ostatnim czasie swoją ofertę o domeny branżowe, w tym dla usług finansowych. AWS Financial Services i Azure for Financial Services to dobre przykłady tego, jak dostawcy chmury próbują zachęcić branżę finansową do przeniesienia swoich podstawowych operacji biznesowych na platformy chmurowe w celu zwiększenia bezpieczeństwa i dalszego wzrostu.
Chociaż branża usług finansowych coraz częściej korzysta z usług w chmurze, badania pokazują, że wciąż pojawiają się obawy co do tego typu rozwiązań. Biorąc pod uwagę ogromną różnorodność technologii, architektur i podejść do wdrażania technologii i zarządzania środowiskiem chmurowym, przejrzystość działań jest niezmiennym problemem. Przepływy danych są niepewne, a skutki regulacyjne niejasne. Ponadto firmy muszą się upewnić, że wdrożenie nowych rozwiązań nie wprowadzi nowych zagrożeń dla kluczowych danych i systemów.
Wdrożenia w wielu chmurach
Decyzja o pracy z „rozwiązaniem chmurowym” rzadko dotyczy tylko jednego dostawcy lub jednej aplikacji. Przejście do chmury zazwyczaj oznacza integrację starszych systemów z systemami hostowanymi w chmurze, czasami w wielu środowiskach – wszystko to powinno uwzględniać jednoczesną ochronę danych,
Obecnie tzw. środowiska mieszane stały się bardzo powszechne, przez co tradycyjne środki bezpieczeństwa dla wdrożeń w chmurze prywatnej, publicznej i hybrydowej są mniej istotne. Wiele systemów przyjmuje podejścia hiperhybrydowe, które obejmują kreatywne architektury, aby zmaksymalizować poufność i dostępność. Systemy publiczne są umieszczane w środowiskach SaaS wielu dostawców w celu zapewnienia nadmiarowości, a ich funkcje podstawowe hostowane są w prywatnych centrach danych.
Wiele firm korzysta z narzędzi, w których są różne modele wdrażania (np. Dostawcy IaaS i PaaS), co skutkuje mieszanymi środowiskami chmurowymi w ramach fazy rozwoju systemu lub administracyjnego cyklu życia. W rezultacie niewiele systemów znajduje się tylko na jednej platformie w jednym centrum danych – taka jest nowa rzeczywistość, do której muszą się odnosić zabezpieczenia, zgodność i zarządzanie ryzykiem.
Tradycyjna triada zabezpieczeń, obejmująca poufność, integralność i dostępność w architekturze wielochmurowej jest bardziej złożona. W przypadku ochrony danych może być konieczne przestrzeganie różnych przepisów krajowych, jeśli Twój system znajduje się w wielu fizycznych lokalizacjach. Dostępność usług w określonym czasie w środowisku wielochmurowym może być również trudna. Wreszcie, zapewnienie integralności systemów z wieloma dostawcami może wymagać zmiany narzędzi w celu usunięcia podstawowych ograniczeń technicznych.
Złożona architektura chmury nie neguje tradycyjnych środków bezpieczeństwa, takich jak szyfrowanie, zarządzanie tożsamością i dostępem, tworzenie kopii zapasowych i monitorowanie, jednak często komplikuje środki zaradcze, takie jak uwierzytelnianie przy pojedynczym logowaniu czy fizyczne mechanizmy bezpieczeństwa. Ponadto granice systemu mogą być trudne do wyznaczenia, co sprawia, że zrozumienie przepływu danych bardzo ważne przy zapewnianiu zgodności z obowiązującymi przepisami. Wreszcie, zarządzanie ryzykiem, które jest podstawą większości ocen zgodności, musi być w stanie radzić sobie ze złożonymi środowiskami z wieloma chmurami.
Compliance
Przepisy jasno definiują środowisko pracy organizacji świadczącej usługi finansowe, a pomyślne wdrożenie rozwiązań chmurowych musi być w stanie sprostać zmieniającym się wymaganiom zgodności. Wielu dostawców usług w chmurze jest tego świadomych i dostarcza pulpity nawigacyjne oraz raporty, aby pomóc organizacjom w przestrzeganiu różnych kontroli zgodności. Jednak, jak przekonamy się w praktyce, zapewnienia dostawcy usług w chmurze dotyczące tzw. compliance ich produktów niekoniecznie zapewniają pełną zgodność z normami. To rozłączenie jest często wynikiem pewnej „rywalizacji” między dostawcą chmury (chcącym zapewnić spójną platformę dla wielu klientów) a organizacją (próbującą korzystać z chmury w ramach ograniczeń programu zgodności).
Firmy finansowe prawdopodobnie już znają różne przepisy, takie jak Check Point . Wszystko to wymaga audytowanej zgodności z kontrolami technicznymi, które regulują m.in. przetwarzanie danych, bezpieczeństwo i zarządzanie dostawcami. Ważne jest, aby dostawca chmury wybrany do monitorowania środowiska zapewniał, że infrastruktura chmury i aplikacje są zgodne z najnowszą wersją wymagań zgodności.
DevSecOps
Wraz z akceptacją usług w chmurze przez branżę finansową nastąpił również wzrost wykorzystania metodologii DevOps, a zalety tego podejścia są zapowiadane jako sposób na zwiększenie szybkości wydań i aktualizacji aplikacji.
DevSecOps wprowadza integrację zabezpieczeń z procesem „potoku” (pipeline), którego łańcuchami jest budowanie> testowanie> wydawanie> wdrażanie> obsługi i monitorowania kodu i infrastruktury. Etapy przetwarzania potokowego mogą w wymierny sposób poprawić szybkość, a także wydajność i zgodność, jeśli zostaną wykonane poprawnie.
Chociaż wartość podejścia DevOps jest atrakcyjna ze względu na jego dużą szybkość i automatyzację, należy zachować dużą ostrożność przy jego projektowaniu i inżynierii. Potok, który może wprowadzić zmianę w bazie kodu i przenieść go do produkcji za pomocą jednego kliknięcia, zakłada, że automatyzacja prawidłowo zweryfikowała kod pod kątem luk w zabezpieczeniach i zapewniła, że kod nie używa ani nie wdraża niebezpiecznych funkcji i funkcji; zakłada również, że integracja z innym kodem nie rozbije systemu przez jakieś wcześniej nierozpoznane niespójności. Wymagany jest proces weryfikacji, który „spowalnia” całość na tyle, aby wychwycić problemy, zagrożenia i błędy oraz potwierdzić, że system pozostaje funkcjonalny, akceptowalny i zgodny.
Sterowanie i widoczność
Migracja do chmury jest dobra dla biznesu, ale wpływ operacyjny korzystania z zasobów w chmurze jest wyzwaniem. Dostawcy usług w chmurze mają szeroki zakres wyrafinowania technicznego i powiązanych narzędzi do administrowania i zarządzania; jednakże wpływ operacyjny odmiennych narzędzi i funkcji może sprawić, że zarządzanie zgodnością stanie się prawdziwym wyzwaniem.
Dzisiejsze zespoły SecOps potrzebują narzędzi do rozwiązania tej nowej złożoności – do administrowania środowiskami chmurowymi, zmniejszania wyzwań technicznych i związanych z bezpieczeństwem oraz spełniania wymagań dotyczących zgodności.
Produkty takie jak CloudGuard zapewniają środki do zapewnienia bezpieczeństwa, zgodności i widoczności w wielu środowiskach chmurowych, pomagając zabezpieczyć obciążenia w witrynach i utrzymać bezpieczną pozycję w całej infrastrukturze. Co ważne, CloudGuard zapewnia funkcje wspomagające inicjatywy, takie jak DevSecOps i automatyzacja, które ułatwiają wydajne operacje produkcyjne. Dzięki takim rozwiązaniom inżynierowie bezpieczeństwa i pracownicy ds. zgodności mogą wykonywać działania związane z nadzorem w zasobach i usługach obejmujących wiele chmur, w tym wizualizować i oceniać stan zabezpieczeń, wykrywanie błędnych konfiguracji oraz egzekwowanie najlepszych praktyk w zakresie bezpieczeństwa i struktur zgodności.
Ponadto raportowanie zgodności z określonymi kontrolami technicznymi jest łatwiejsze dzięki narzędziom, które obsługują wiele chmur i mogą pomóc w spełnieniu wymagań wewnętrznego programu zgodności poprzez śledzenie określonych konfiguracji zabezpieczeń. Korzystając z produktu zabezpieczającego, takiego jak CloudGuard, firma świadcząca usługi finansowe może poprawić widoczność swojej inwestycji w chmurę i chronić przed zagrożeniami bezpieczeństwa w chmurze.
Bezpieczeństwo aplikacji
Wiele organizacji świadczących usługi finansowe korzysta z nowoczesnych aplikacji internetowych, które kompilują różne typy danych, co czyni je głównym celem dla hakerów. Ponadto aplikacje internetowe wprowadzają zupełnie nowy zestaw kwestii bezpieczeństwa, w tym użycie wielu interfejsów API w celu zapewnienia ważnych funkcji, takich jak komunikacja, szyfrowanie i zarządzanie szyfrowaniem oraz silne uwierzytelnianie.
W tradycyjnej infrastrukturze sieciowej bezpieczeństwo aplikacji w dużej mierze zależało od sieci, w której działała, z kontrolą dostępu, kopiami zapasowymi danych i wdrażaniem kontrolowanymi w przedsiębiorstwie. Jednak w przypadku firm zorientowanych na chmurę model musi się zmienić. Sieci nie działają już w jednym systemie operacyjnym z punktami statycznymi. Aplikacje chmurowe są zaprojektowane do działania bez założenia tradycyjnego bezpieczeństwa sieci. Mechanizmy chmurowe, takie jak wirtualne równoważenie obciążenia, wirtualne zapory ogniowe i wiele innych urządzeń koncepcyjnych, stanowią złożoność architektoniczną i większe ryzyko dla bezpieczeństwa aplikacji.
W związku z tym organizacje muszą przyjąć nowy typ rozwoju aplikacji, który buduje świadomość bezpieczeństwa bezpośrednio w aplikacjach i zapewnia szczegółowy dostęp, jednocześnie chroniąc ją kontekstowo przed atakami.
Branża finansowa przeszła długą drogę, jeśli chodzi o wdrażanie usług w chmurze. Wyzwaniem dla firm jest właściwe zrozumienie czynników niezbędnych nie tylko do przejścia do chmury, ale także do zapobiegania zagrożeniom i utrzymania zgodności, a jednocześnie bycia elastycznym w dzisiejszym świecie.
Autor: Kristin Manogue, Product Marketing Manager, Cloud Security Posture Management w firmie Check Point
