Най-добрият начин да защитите вашия облак може да е друг облак

Едно от предизвикателствата, които се дължат на това да сте средно предприятие днес, е, че сте достатъчно големи, за да сте цел, но не достатъчно големи, за да си осигурите вида сигурност, която големите предприятия използват. Това е една от причините, поради които един от най-бързо развиващите се сегменти за нарушаване на данни е малкият и среден бизнес (SMB). Всъщност според доклада за разследване на нарушенията на данните за Verizon за 2018 г. по-малките предприятия са получили над половината от всички атаки за нарушаване на данни миналата година.

Причините не са изненадващи и се свеждат до факта, че по-малките предприятия все още имат нещо, което си струва да крадат, въпреки че не винаги са добре защитени предприятия. Макар че обикновено се справят добре, когато става дума за защита на крайните точки, SMB центровете за данни и центровете за трафик често са друг въпрос. За щастие, това може да се промени. Точно както облакът предостави на тези предприятия нови възможности за управление и анализ на данни, които преди са били достъпни само за големи предприятия, облакът също е в състояние да предостави голяма корпоративна сигурност на по-малките организации. И да, това е поредната серия облачни услуги, които попадат под термина на чадъра, Security-as-a-Service.

Има няколко вида защита в облака; вероятно един от най-известните видове е за смекчаване на атаките за отказ на услуга (DoS). В такива случаи облачната услуга инспектира трафика на път към предприятието дестинация и когато открие DoS атака, тя просто прави къси вериги на увреждащия трафик. Голямо предприятие може да направи това сам, но по-малкото обикновено няма нито широчината на честотната лента, нито мрежовата инфраструктура, необходима за обработката му.

Firewall-като-услуга

Съвсем наскоро видяхме, че пристига свързана технология. Нарича се Firewall-as-a-Service (FWaaS) и точно така звучи. Достъпни от доставчици като Cato Networks и eSecurity Solutions, тези услуги просто изискват да се регистрирате и след това вашият входящ трафик се препраща през облачна базирана защитна стена от ново поколение, преди да достигне до вашата мрежа.

Обърнете внимание, че това е различно от услугата на управлявана защитна стена, въпреки че някои доставчици предлагат и двете. В този случай просто сте наели знаещи консултантски услуги по ИТ сигурност, които поемат задачата да управляват, наблюдават и актуализират локалната си защитна стена.

Предимството на FWaaS е, че доставчикът на облаци има опит на ниво предприятие в работата с защитна стена на корпоративния клас и вие си го осигурявате чрез облачната икономия на мащаба. При сценарий на управлявана защитна стена плащате на консултанта стандартната тарифа плюс още трябва да платите за защитната стена и всички нейни допълнителни разходи. FWaaS означава, че не плащате за защитна стена, договор за поддръжка или персонал. Получавате всичко това само като плащате за своя дял.

Потенциалният недостатък тук е, разбира се, латентността. Тъй като тези услуги са нови и се различават по отношение на това колко добре са внедрени, няма начин да зададете общо правило тук, що се отнася до забавяне на трафика. Но като се имат предвид всички променливи - каква инфраструктура на защитната стена използва доставчикът, как е архитектирана, къде се намира в интернет по отношение на вашата инфраструктура, колко и какъв трафик получава вашата организация като цяло и, разбира се, какви настройки сте внедрили в профила си в защитната стена (да не говорим за капризите на потока на интернет трафика като цяло) - единственият начин да се справите как FWaaS ще повлияе на вашия трафик е да тествате, тествате и може би след всичко това, тествайте малко повече.

Софтуерно дефинирана мрежова сегментация

Добър пример за тази технология е OPAQ Networks, която предоставя управлявана услуга за сигурност, която използва продукти и услуги от Palo Alto Networks и добавя собствена специализирана поддръжка за средни предприятия. Основна технология, предлагана от OPAQ Networks, е дефинираната от софтуера мрежова сегментация, която опростява процеса на сегментиране, като същевременно я довежда до обсега на по-малки организации.

"С помощта на този инструмент е възможно да се сегментират вътрешно мрежи, така че крайните потребители да имат достъп само до необходимите ресурси, без да се налага да конфигурират отново VLAN или да се борят с решенията на NAC (контрол на достъпа до мрежата)", обясни Том Крос, CTO в OPAQ Networks, в неговия блог.

„Традиционният стек за сигурност, доставен от облака, има стойност, особено за предприятията, при които постоянното управление на патча и конфигурацията може да бъде предизвикателство“, добави Крос.

Както вероятно подозирате, OPAQ Networks не е единствен в предоставянето на този вид сигурност като услуга. Доставчикът на защитна стена Barracuda вече предлага защитна стена на уеб приложение (WAF), която компанията може да предостави като услуга. Според Barracuda, WAF може да защити вашия облак и вашите локални данни. Barracuda предлага разпределена защита за отказ на услуга (DDoS) като допълнителна услуга за своя WAF, заедно с управление на достъпа и идентичността, като ви предоставя почти възможност за еднократна защита.

Проследяване на заплахите

И, разбира се, има повече за сигурност като услуга, отколкото само DDoS защита и защитни стени. Сега Microsoft предлага своето проследяване на заплахите за Office 365, което работи с продукта си Threat Intelligence за Office 365 (който беше издаден през 2017 г.).

Въпреки че продуктът на Microsoft всъщност не взаимодейства с вашето облачно решение, той предоставя полезен източник на информация. Microsoft обаче осигурява други защити за облачна защита за използване със своята облачна услуга Azure, включително заключваща кутия за ключове за достъп.

Останалите големи доставчици на облаци, включително Amazon Web Services (AWS) и Google Cloud Platform, са обявили продукти за сигурност за своите клиенти. И едно нещо, което ще видите, когато конфигурирате облачната си услуга с някой от основните доставчици, е възможността да добавите защитна стена към какъвто и да е продуктов пакет. Но тези защитни стени и други продукти защитават само вашето присъствие в облака. Обикновено това, което отделя Security-as-a-Service, е, че той трябва да защитава и нещата във вашия център за данни.

Сигурност-като-услуга

Въпросът, на който трябва да отговорите като малко средно предприятие (МСП), е дали имате нужда от сигурност в облака или не. Ако вашата ИТ операция по някакъв начин е хибридна и повечето са тези дни, тогава отговорът е почти сигурен „да“. С изключение на всички, освен най-необичайните случаи, вашите ИТ служители вероятно нямат експертния опит или бюджета за вида сигурност, от която се нуждаете, за да преодолеете днешните заплахи.

Въпреки че можете (и трябва, ако е възможно) да наемете някой, който да управлява вашата ИТ сигурност, заплатите в управлението на сигурността на центровете за данни са в момента стратосферни. И дори да наемете експерт по сигурността, натоварването често е прекомерно само за един човек, особено във всичко по-голямо от малък бизнес и със сигурност във всяка организация, която извършва значим бизнес в мрежата. Това е така, защото това не изисква само работа, но и защото обхваща най-много всеки аспект на вашата ИТ инфраструктура. Следователно изискваното ниво на експертиза е значително. Освен ако вашите нужди не забраняват използването на облачен ресурс, Security-as-a-Service е може би най-изгодното и бързо реализирано решение.