V ostatnej dekáde niektoré spoločnosti aj začali transformačné projekty smerujúce do cloudu, keďže tam videli potenciál, ale tieto iniciatívy boli viac-menej považované za tieňové IT. A to, samozrejme, znamenalo bezpečnostné riziká. Všetko sa však veľmi zmenilo minulý rok. Rok 2020 bol rokom, keď sa veľká časť organizácií snažila vymyslieť spôsob, ako efektívnejšie pracovať a vytvárať priestor na spoluprácu svojich zamestnancov. A tu sa jednoznačne ukazuje výhoda cloudu. Zvládnuť takýto prechod bezpečne si však vyžaduje trochu viac než iba objednať si danú službu a začať ju využívať. Ako teda na to?
Vhodné riadenie a kontrola
Posun do cloudu by sa mal udiať bezpečne. A na to je nevyhnutné, aby organizácie dovolili svojim bezpečnostným tímom včas implementovať dostatočné riadenie a kontrolu cloudového prostredia a považovali bezpečnosť za prvoradú pri prechode do cloudu.
Identifikácia súčasného stavu
Pochopiť a kvantifikovať riziká v súčasnej infraštruktúre verejného cloudu je dôležité nielen z hľadiska bezpečnosti, ale aj riadenia efektívneho využívania zdrojov, ktoré sa premieta do nákladov pre organizáciu.
Nečakajte, až sa zlepší situácia na trhu práce
Je luxusom čakať na to, kým sa vytvoria tímy bezpečnostných profesionálov so špecializáciou na cloud, aj keď to by mal byť dlhodobý cieľ. Teraz musíme hľadať cesty, ako redukovať riziká, kým sa tento dlhodobý cieľ stane skutočnosťou. Cloudová infraštruktúra je viac a viac z pohľadu zákazníka vnímaná ako kód, preto integrujte svoje tímy v súlade s prístupom vývoj – bezpečnosť – prevádzka. Ide o prístup, keď sú všetky tieto oblasti zahrnuté do vývoja, napríklad aplikácie, aby sa včas identifikovali a eliminovali nedostatky a slabé miesta z hľadiska bezpečnosti a prevádzky.
Technológia musí pracovaťpre vás
Využitie technológie bez ohľadu na to, akú máte rozsiahlu organizačnú infraštruktúru. Rozhodne nie je efektívne využívať kapacitu špecialistov na to, čo môžete automatizovať s použitím existujúcich alebo modifikovaných pracovných postupov. Mali by ste využiť akúkoľvek dostupnú technológiu, ktorú ste schopní zakomponovať do existujúcich procesov a riadiť súčasným personálom. Ako nevyhnutná sa ukazuje práve integrácia s infraštruktúrou ako kód.
V praxi sa to realizuje systémom prideľovania úloh v riadení bezpečnostných informácií a udalostí (SIEM) a, samozrejme, kontrolou prístupu založenou na plnených úlohách (RBAC) spojenými s precíznym riadením rolí a zodpovedností.
Neverte univerzálnym riešeniam
Nesnažte sa nájsť jeden nástroj, ktorý vie robiť všetko. S tým, ako rastie cloud, tak rastie aj trh s podpornými nástrojmi, a nie zriedka sa stretávame s riešeniami všetko v jednom. Kde všetko veľakrát znamená, že nič nie je poriadne. I keď si to vyžaduje zvýšené úsilie, je potrebné hľadať riešenia, ktoré zodpovedajú vašim požiadavkám a ponúkajú to najlepšie na trhu v danej oblasti. Takýmto spôsobom si viete vyskladať to najlepšie riešenie pre seba.
Rozdiel medzi úspechom a katastrofou
Cloud sa dynamicky vyvíja a veľakrát poskytuje značnú konkurenčnú výhodu pre organizácie, ktoré sú schopné bezpečne ho implementovať a integrovať do procesov. Avšak slovo bezpečne by sa nemalo nikdy vytratiť, pretože toto slovo je veľakrát jediný rozdiel medzi úspechom a katastrofou.
Daniel Suchý, bezpečnostný špecialista Aliter Technologies