Strona domowa Technologia Jak uchroni膰 si臋 przed kradzie偶膮 wirtualnych kosztowno艣ci

Jak uchroni膰 si臋 przed kradzie偶膮 wirtualnych kosztowno艣ci

1
0
Jak uchroni膰 si臋 przed kradzie偶膮 wirtualnych kosztowno艣ci

Yoav Shay Daniely, product manager z centrum ochrony danych firmy Check Point wyja艣nia, dlaczego organizacje powinny zmieni膰 podej艣cie do zabezpieczania swoich definiowanych programowo centr贸w przechowywania danych.

W kwietniu 2015 roku mia艂 miejsce jeden z najwi臋kszych rozboj贸w w dziejach: z艂odzieje obrabowali Hatton Garden – londy艅ski depozyt, w kt贸rym klienci przechowywali swoj膮 drogocenn膮 bi偶uteri臋. Rabusie przebrani za robotnik贸w dostali si臋 do budynku przez szyb windy i przebili przez betonow膮 艣cian臋 o grubo艣ci 50 centymetr贸w przy u偶yciu wiertarki elektrycznej, co umo偶liwi艂o im swobodny dost臋p do strze偶onego skarbca wype艂nionego bi偶uteri膮 na ponad 48 godzin podczas wielkanocnego weekendu. Rozbrajaj膮c ka偶da skrytk臋 depozytow膮 dokonali zuchwa艂ej kradzie偶y, kt贸rej straty szacowane s膮 na ponad 100 milion贸w funt贸w.

Co wi臋cej, w艂amywacze pocz膮tkowo uruchomili alarm, kt贸ry zosta艂 odnotowany przez policj臋. Mimo tego, nie znaleziono mechanicznych uszkodze艅 na zewn臋trznej cz臋艣ci skarbca, kt贸re mog艂yby wskazywa膰 na w艂amanie, dzi臋ki czemu przest臋pcy byli w stanie kontynuowa膰 napad. Innymi s艂owy, skok uda艂 si臋 dzi臋ki wy艂amaniu zewn臋trznej 艣ciany budynku 鈥 gdy tylko szajka dosta艂a si臋 do 艣rodka, nic nie sta艂o na przeszkodzie by dyskretnie pl膮drowa膰 wn臋trze skarbca.

Najcenniejszym maj膮tkiem wi臋kszo艣ci przedsi臋biorstw nie s膮 diamenty czy z艂oto, lecz dane. Nie sk艂aduje si臋 ich w opancerzonych skarbcach 鈥 ich przechowalni膮 s膮 centra danych. W wielu przypadkach zar贸wno centra danych jak i depozyty chroni膮 si臋 przed w艂amaniami w podobny spos贸b. Organizacje przyk艂adaj膮 wi臋ksz膮 wag臋 do budowania coraz wy偶szych mur贸w, zamiast zadba膰 o bezpiecze艅stwo od 艣rodka. Je偶eli atakuj膮cy jest w stanie naruszy膰 zewn臋trzne zabezpieczenia, mo偶e wtargn膮膰 do 艣rodka i manewrowa膰 mi臋dzy aplikacjami wykradaj膮c dane i zak艂贸caj膮c procesy biznesowe zanim zostanie z艂apany 鈥 tak samo jak rabusie pl膮druj膮cy Hatton Garden, kt贸rzy swobodnie poruszali si臋 po skarbcu pozostaj膮c niezauwa偶onymi. W ostatnich napadach na centra danych hakerzy mieli dost臋p do aplikacji i danych przez miesi膮ce 鈥 w艂a艣nie dzi臋ki niewykrywalno艣ci oraz braku 艣rodk贸w bezpiecze艅stwa wewn臋trznego.

Wyzwania dla bezpiecze艅stwa w cyfrowym 艣rodowisku

Sytuacja pogarsza si臋, kiedy przedsi臋biorstwo odchodzi od fizycznych centr贸w danych i zamienia je na sieci wirtualne celem przyspieszenia konfiguracji i wdra偶ania aplikacji oraz redukcji koszt贸w zwi膮zanych z zarz膮dzaniem i utrzymaniem sprz臋tu. W nowym 艣rodowisku centr贸w danych, wszystkie elementy infrastruktury鈥 sie膰,聽 przechowywanie danych, obliczenia oraz zabezpieczenia 鈥 uleg艂y wirtualizacji i s膮 dostarczane w postaci us艂ug. Ta fundamentalna zmiana udowadnia, 偶e tradycyjne podej艣cie do kwestii bezpiecze艅stwa przesta艂o si臋 sprawdza膰 w przypadku dynamicznego, wirtualnego 艣rodowiska.

G艂贸wne wyzwania dla bezpiecze艅stwa:

路聽 Wi臋cej po艂膮cze艅 wewn膮trzbazowych鈥 Dawniej, wi臋kszo艣膰 ruchu generowa艂y po艂膮czenia mi臋dzy klientem a baz膮 danych 鈥 takie po艂膮czenia by艂y chronione tradycyjnymi 艣rodkami bezpiecze艅stwa. W dzisiejszych czasach, ruch wewn膮trz centr贸w danych dramatycznie wzr贸s艂 razem z ilo艣ci膮 aplikacji, kt贸re wymagaj膮 podtrzymywania nawi膮zanego po艂膮czenia i wymiany danych mi臋dzy sob膮 w celu poprawnego funkcjonowania. Wraz ze wzrostem ilo艣ci program贸w, hakerzy maj膮 szerszy wyb贸r cel贸w do ataku: mog膮 skoncentrowa膰 si臋 na jednej, niezbyt wa偶nej aplikacji i manewrowa膰 ni膮 wewn膮trz centrum bazy pozostaj膮c niewykrytym. W takim wypadku, zewn臋trzne zabezpieczenia to za ma艂o.

路聽 R臋czna konfiguracja i zmiany w polityce bezpiecze艅stwa: w nowych, dynamicznych centrach danych, tradycyjne, manualne sposoby zarz膮dzania bezpiecze艅stwem dzia艂aj膮 za wolno, a ich obs艂uga jest zbyt czasoch艂onna dla za艂ogi IT. W rezultacie, kwestia ochrony przysparza dodatkowych problem贸w, kt贸re utrudniaj膮 nap艂yw nowych aplikacji. R臋czna obs艂uga proces贸w nara偶a je na skutki b艂臋du ludzkiego, przez co wzrasta ryzyko ataku. Dlatego wa偶ne jest zautomatyzowanie zarz膮dzania bezpiecze艅stwem, poniewa偶 pozwoli to w pe艂ni wykorzysta膰 potencja艂 bezobs艂ugowych aplikacji i wzmocni sprawno艣膰 centrum danych.

Do niedawna, wdra偶anie zaawansowanych technologii, kt贸re chroni膮 przed atakami i zapewniaj膮 bezpiecze艅stwo wewn膮trz centrum danych, poci膮ga艂o za sob膮 utrzymanie niezliczonej ilo艣ci oddzielnych sieci VLAN i nieustannego r臋cznego konfigurowania i aktualizowania diagram贸w sieciowych. Kr贸tko m贸wi膮c, dla wi臋kszo艣ci przedsi臋biorstw by艂y to zbyt trudne i kosztowne operacje.

Mikrosegmentacja: uzbrojeni stra偶nicy wewn膮trz skarbca

A co je偶eli by艂aby mo偶liwo艣膰, aby umie艣ci膰 odpowiednik ochroniarza w ka偶dej skrytce bazy danych 鈥 wtedy nawet je偶eli wr贸g wtarg膮艂by na nasz teren, wszystkie warto艣ciowe zasoby wci膮偶 by艂yby obj臋te ochron膮? Poniewa偶 centra danych s膮 coraz cz臋艣ciej zarz膮dzane programowo, ze wszystkimi funkcjami zarz膮dzanymi w spos贸b wirtualny, mo偶emy tego dokona膰 poprzez u偶ycie mikrosegmentacji w SDDC (ang. software-defined data center 鈥 centrum danych zarz膮dzane programowo).

Mikrosegmentacja polega na oznaczaniu kolorami i grupowaniu zasob贸w w centrum danych. Komunikacja pomi臋dzy tymi grupami obj臋ta jest dynamicznymi metodami ochronnymi. Ruch w centrum danych jest potem kierowany do wirtualnych bram bezpiecze艅stwa, kt贸re 鈥 za pomoc膮 zaawansowanych technik zapobiegania zagro偶eniom 鈥 wnikliwie kontroluj膮 zawarto艣膰 ruchu sieciowego. Ma to na celu powstrzymanie pr贸b przej艣cia atakuj膮cych z jednej aplikacji do drugiej wykorzystuj膮c dziury w oprogramowaniu. Dzi臋ki temu, za ka偶dym razem kiedy zostanie wykryta pr贸ba dokonania ataku przez maszyn臋 wirtualn膮 albo serwer, zostan膮 one oznaczone jako zainfekowane i natychmiast automatycznie przeniesione do kwarantanny przez 鈥瀘chroniarza鈥 centrum danych: bram臋 bezpiecze艅stwa. W ten spos贸b w艂amanie do systemu nie zagra偶a ca艂ej infrastrukturze.

Kiedy aplikacja zostanie dodana i ewoluuje, dla strategii bezpiecze艅stwa koniecznym jest, aby b艂yskawicznie zareagowa膰 i automatycznie dopasowa膰 si臋 do dynamicznych zmian. Korzystaj膮c z integracji z chmur膮 oraz narz臋dziami do orkiestracji, program zarz膮dzaj膮cy ochron膮 w centrum danych uczy si臋 roli aplikacji, jej wagi i lokalizacji. W rezultacie, za spraw膮 umo偶liwienia aplikacjom wewn膮trz centrum danych bezpiecznej komunikacji mi臋dzy sob膮, realizuje si臋 odpowiednia strategia. Je艣li, przyk艂adowo, dodawane s膮 serwery lub zmienia si臋 adres IP, obiekt jest ju偶 zabezpieczony i dziedziczy odpowiednie zasady bezpiecze艅stwa, eliminuj膮c potrzeb臋 procesu r臋cznego.

Wirtualizacja nie tylko nap臋dza rozw贸j skalowanych, elastycznych, 艂atwych w zarz膮dzaniu centr贸w danych, ale r贸wnie偶 sprzyja powstawaniu nowej generacji program贸w do ich ochrony. Dzi臋ki u偶ywaniu mikrosegmentacji SDDC, dostarczanej przez zintegrowan膮 i zwirtualizowan膮 platform臋 bezpiecze艅stwa, zaawansowane us艂ugi bezpiecze艅stwa i zapobiegania zagro偶eniom mog膮 by膰 dynamicznie stosowane wsz臋dzie tam, gdzie s膮 one potrzebne w 艣rodowisku centr贸w danych definiowanych programowo. To rozmieszcza uzbrojonych stra偶nik贸w wok贸艂 firmowego skarbca, strzeg膮cych ka偶dego sejfu i ich cenn膮 zawarto艣膰 鈥 aby centra danych nie pada艂y ofiar膮 napad贸w w stylu Hatton Garden.

Poka偶 wi臋cej artyku艂贸w
Poka偶 wi臋cej artyku艂贸w z  Technologia

Jeden komentarz

  1. ala

    28 marca 2017 w 11:00

    bardzo ciekawy artyku艂 馃榾

    Odpowiedz

Dodaj komentarz

Tw贸j adres email nie zostanie opublikowany. Pola, kt贸rych wype艂nienie jest wymagane, s膮 oznaczone symbolem *

Zobacz tak偶e

10 najcz臋艣ciej pobieranych aplikacji na Androida

W bazie sklepu Google Play, w kt贸rym mo偶emy pobiera膰 aplikacje na urz膮…