4. Brány zabezpečení cloudu
Úřady ve Wyomingu v létě oznámily plány na ukončení provozu většiny svých datových center a na přesun veškerého fyzického vybavení do komerčního pronajatého datového centra.
Zaměstnanci úřadu sice budou i nadále spravovat své vlastní fyzické servery v pronajatých centrech, ale tento outsourcingový krok je součástí širšího plánu přesunout výpočetní prostředky na cloudové služby. Není pochyb o tom, že bezpečnost bude mít při ochraně dat v cloudu nejvyšší důležitost.
Podniky, které používají cloud, by měly uvážit použití bran zabezpečení cloudu. Tyto body pro vynucení bezpečnostních zásad se mohou nacházet v jejich interní infrastruktuře nebo přímo v cloudu. Nacházejí se mezi uživateli a poskytovateli cloudových služeb, aby šlo zavést podnikové zásady zabezpečení při přístupu ke cloudovým zdrojům.
„Je to skutečný závan budoucnosti, jak IT personál získá viditelnost a kontrolu v cloudových architekturách,“ prohlašuje Lindstrom.
Brány pro zabezpečení cloudu fungují podobně jako jednotná správa hrozeb (UTM) v cloudu a poskytují zabezpečení přístupu a vynucení zásad, ale monitorují také aktivitu pomocí analytických nástrojů, zajišťují funkci DLP (prevence proti únikům dat) v back-endu a implementují šifrování komunikace i strukturovaných a nestrukturovaných dat.
Zmíněné brány lze nasadit zcela v cloudu nebo jako zařízení umístěná na hranici. „Je to velmi užitečný způsob řešení problémů ztráty viditelnosti a kontroly, která obvykle s cloudem přichází, a navíc nejsou nijak zvlášť drahé,“ dodává Lindstrom.
5. Adaptivní řízení přístupu
Přestože je třeba data chránit, musí IT oddělení zároveň podporovat i podnikový provoz – povolením využívání celé řady mobilních zařízení pro přístup do podnikových systémů.
Gartner radí používat pro udržení dat v bezpečí adaptivní řízení přístupu, které je formou řízení přístupu zohledňující kontext a slouží k vyvažování důvěry vůči riziku v okamžiku přístupu pomocí kombinace zvýšení důvěry a dalších dynamických technik pro snižování rizika.
Gartner uvádí, že v tomto případě zohlednění kontextu znamená, že rozhodnutí o tom, kdo má či nemá dostat přístup, odráží aktuální okolnosti. Dynamické snižování rizik zase znamená, že přístup může být bezpečně povolený, zatímco jinak by byl odepřen.
Tento typ architektury řízení přístupu umožňuje společnostem poskytnout přístup z libovolného zařízení na jakémkoli místě a dovoluje nastavit různé úrovně přístupu k celé řadě podnikových systémů v závislosti na profilech rizika uživatelů.
Gartner také doporučuje další metody a technologie zabezpečení včetně využití reportů počítačově zjištěných hrozeb od nezávislých dodavatelů a akceptování tzv. zadržení a izolace jako základní bezpečnostní strategie – tedy přístupu, při kterém se vše neznámé považuje za nedůvěryhodné.
Mezi další technologie, které Gartner doporučuje bezpečnostním profesionálům ke zvážení, patří softwarově definované zabezpečení, v němž se bezpečnostní funkce integrují do všech nových aplikací. Doporučuje také interaktivní testování zabezpečení aplikací, které kombinuje statické a dynamické testovací metody v rámci jednoho řešení.
Výběr zabezpečovacích technologií
Rozhodování o tom, zda a kdy nasadit některou ze zmíněných technologií zabezpečení, závisí na struktuře organizace a množství i typech dat, která samy považují za cenná, uvádí David Brown, ředitel pro nasazování technologických řešení ve společnosti Accuvant.
„Je nutné zohlednit způsob používání dat, kdo k nim potřebuje mít přístup a jaký je váš rozpočet, a to nejen na technologie, ale také na personál, který je bude podporovat,“ připomíná Brown. Například „systémy pro analýzu zabezpečení nabízejí zajímavá řešení, ale pro jejich využití a správu budete zároveň potřebovat několik chytrých lidí“, upozorňuje Brown.
Nakonec je to všechno o vyvažování rizik a příležitostí k růstu podnikání, uvádějí lídři zabezpečení.
„Vždy existuje přijatelná úroveň rizika, takže nalezení a dohodnutí nejlepšího kompromisu obvykle zahrnuje více účastníků – právní oddělení, vedení, personální i obchodní oddělení,“ popisuje Mannarino. Lindstrom souhlasí s tím, že výše rizika v oblasti IT sice roste, „ale je to výsledek prosperující ekonomiky“.
„Pokud použijete k řízení technologických rizik ekonomický přístup, vznikají kompromisy,“ poznamenává. „Většina lidí to zvládá úspěšně. Přijměte povahu rizika, řiďte ho a naopak nedovolte jemu, aby řídilo vás.“
Tento příspěvek vyšel v Security Worldu 4/2014.
PŘEDPLATNÉ
ČLÁNKY DO MAILU