Лучшим способом защиты вашего облака может быть другое облако

Одной из проблем, с которыми сталкивается сегодня предприятие среднего бизнеса, является то, что вы достаточно велики, чтобы быть целью, но не настолько велики, чтобы обеспечить тот тип безопасности, который используют крупные предприятия. Это одна из причин, по которой одним из наиболее быстро растущих сегментов для взлома данных является малый и средний бизнес (SMB). Фактически, согласно отчету Verizon Data Breach Investigation Report за 2018 год, более мелкие предприятия получили более половины всех атак, связанных с утечкой данных в прошлом году.

Причины не удивительны и сводятся к тому, что у небольших предприятий все еще есть что-то, что стоит украсть, хотя они не всегда хорошо защищены. В то время как они обычно преуспевают, когда дело доходит до защиты конечных точек, центры данных SMB и концентраторы трафика часто являются другим вопросом. К счастью, это может измениться. Облако дало этим предприятиям новые возможности по управлению и анализу данных, которые ранее были доступны только крупным предприятиям, но и облако способно обеспечить безопасность крупных предприятий для небольших организаций. И да, это еще одна серия облачных сервисов, которые подпадают под общий термин «безопасность как услуга».

Существует несколько типов облачной безопасности; вероятно, один из самых известных типов предназначен для смягчения атак типа «отказ в обслуживании» (DoS). В таких случаях облачная служба проверяет трафик на пути к конечному предприятию, а когда обнаруживает DoS-атаку, она просто замыкает разрушающий трафик. Крупное предприятие может сделать это самостоятельно, но меньшее, как правило, не имеет ни пропускной способности, ни сетевой инфраструктуры, необходимой для его обработки.

Firewall-а-а-Сервис

Совсем недавно мы увидели, как появилась связанная технология. Он называется Firewall-as-a-Service (FWaaS) и именно так и звучит. Доступные у таких поставщиков, как Cato Networks и eSecurity Solutions, эти сервисы просто требуют, чтобы вы зарегистрировались, а затем входящий трафик маршрутизируется через облачный межсетевой экран следующего поколения, прежде чем он достигнет вашей сети.

Обратите внимание, что это заметно отличается от управляемой службы брандмауэра, хотя некоторые поставщики предлагают и то, и другое. В этом случае вы просто наняли опытного консультанта по ИТ-безопасности, который берет на себя задачу управления, мониторинга и обновления вашего локального брандмауэра.

Преимущество FWaaS заключается в том, что поставщик облачных услуг обладает опытом корпоративного уровня в работе с брандмауэром корпоративного уровня, и вы получаете это благодаря экономии масштаба в облаке. В сценарии управляемого брандмауэра вы платите консультанту стандартную ставку, плюс вы все равно должны платить за брандмауэр и все его вспомогательные расходы. FWaaS означает, что вы не платите за брандмауэр, контракт на поддержку или персонал. Вы получаете все это, просто заплатив за свою долю.

Потенциальным недостатком здесь является, конечно, задержка. Поскольку эти сервисы являются новыми и различаются в зависимости от того, насколько хорошо они реализованы, здесь нет способа назначить общее практическое правило, когда речь идет о задержке трафика. Но учитывая все переменные - какую инфраструктуру брандмауэра использует провайдер, как он спроектирован, где он расположен в Интернете по отношению к вашей инфраструктуре, сколько и какой трафик обычно получает ваша организация, и, конечно же, какие настройки вы внедрили в своей учетной записи брандмауэра (не говоря уже о капризах потока интернет-трафика в целом) - единственный способ узнать, как FWaaS повлияет на ваш трафик, - это проверить, протестировать и, возможно, после всех это, проверить немного больше.

Программно-определяемая сегментация сети

Хорошим примером этой технологии является OPAQ Networks, которая предоставляет управляемую службу безопасности, которая использует продукты и услуги от Palo Alto Networks и добавляет собственную специализированную поддержку для предприятий среднего бизнеса. Ключевой технологией, предлагаемой OPAQ Networks, является программно-определяемая сегментация сети, которая упрощает процесс сегментации, а также делает ее доступной для небольших организаций.

«Используя этот инструмент, можно детально сегментировать внутренние сети так, чтобы конечные пользователи имели доступ только к тем ресурсам, которые им нужны, без необходимости перенастраивать VLAN или бороться с решениями NAC (контроль доступа к сети)», - объяснил Том Кросс, технический директор OPAQ. Сети, в своем блоге.

«Традиционный стек безопасности, поставляемый из облака, имеет ценность, особенно для компаний, где непростое управление исправлениями и конфигурациями может быть проблемой», - добавил Кросс.

Как вы, вероятно, подозреваете, OPAQ Networks не одинок в обеспечении такого рода безопасности как услуга. Поставщик брандмауэра Barracuda теперь предлагает брандмауэр веб-приложений (WAF), который компания может предоставлять в качестве услуги. По словам Барракуда, WAF может защитить ваше облако и ваши локальные данные. Barracuda предлагает распределенную защиту от отказа в обслуживании (DDoS) в качестве дополнительной услуги для своего WAF, наряду с управлением доступом и идентификацией, предоставляя вам почти универсальную возможность защиты.

Отслеживание угроз

И, конечно, Security-as-a-Service - это больше, чем просто защита от DDoS-атак и брандмауэры. В настоящее время Microsoft предлагает функцию отслеживания угроз для Office 365, которая работает с продуктом Threat Intelligence для Office 365 (выпущенным в 2017 году).

Хотя продукт Microsoft фактически не взаимодействует с вашим облачным решением, он предоставляет полезный источник информации. Тем не менее, Microsoft предоставляет другие облачные средства защиты для использования со своей облачной службой Azure, включая блокировку ключей доступа.

Другие крупные облачные провайдеры, включая Amazon Web Services (AWS) и Google Cloud Platform, уже объявили о своих продуктах безопасности для своих клиентов. И одна вещь, которую вы увидите при настройке облачной службы с любым из основных поставщиков, - это возможность добавить брандмауэр к любому пакету продуктов, который они продают. Но эти брандмауэры и другие продукты защищают только ваше облачное присутствие. Как правило, то, что отличает Security-as-a-Service от других, заключается в том, что оно также должно защищать содержимое вашего центра обработки данных.

Безопасность-как-Сервис

Для малого и среднего бизнеса (SME) вы должны ответить на вопрос, нужна ли вам безопасность в облаке. Если ваша ИТ-деятельность в любом случае гибридная, и большинство из них в наши дни, то ответ почти наверняка «да». За исключением всех случаев, кроме самых необычных, у вашего ИТ-персонала, вероятно, нет опыта или бюджета для обеспечения безопасности, необходимой для борьбы с сегодняшними угрозами.

Хотя вы можете (и должны, если это вообще возможно) нанимать кого-либо для управления вашей ИТ-безопасностью, зарплаты в области управления безопасностью в центрах обработки данных сейчас стратосферны. И даже если вы нанимаете специалиста по безопасности, рабочая нагрузка зачастую непомерно высока для одного человека, особенно для чего-либо большего, чем малый бизнес, и, конечно, для любой организации, которая ведет значительный бизнес в Интернете. Это потому, что это не только трудоемкая работа, но и потому, что она охватывает практически все аспекты вашей ИТ-инфраструктуры. Поэтому уровень требуемой экспертизы является значительным. Если ваши потребности не запрещают использование облачного ресурса, Security-as-a-Service, вероятно, является наиболее экономически эффективным и быстро внедряемым решением из доступных.