Bezpečnost a compliance ve věku cloudu
Podniky se nachází uprostřed procesu přechodu z lokálních datových center na veřejný a privátní cloud. V počátcích byly rámce pro bezpečnost a compliance užívané v těchto cloudech převzaty ze známých konvenčních bezpečnostních technik a analytických postupů. V poslední době však můžeme pozorovat zrod nového modelu cloudové bezpečnosti a compliance, který se výrazně odlišuje od tradičního přístupu IT.
Vzhledem k dynamické povaze cloudu se zabezpečení svázané s hardwarovými konstrukty jako servery, sítě nebo disky ukázalo jako nepraktické. Namísto toho je bezpečnost stále úžeji spjata s virtuálními entitami, např. virtuálními stroji, překryvnými sítěmi a virtualizovanými úložišti. Klasické zabezpečení velkou měrou využívalo identifikátory jako IP adresy, MAC adresy nebo systémová SID k řízení přístupu a záznamu auditních stop. Oddělením fyzické a virtuální infrastruktury se tyto identifikátory stávají z hlediska bezpečnostní analýzy neefektivní. Pomíjivost cloudových entit, např. bezserverových funkcí nebo krátkodobých kontejnerů, znamená, že bezpečnostní opatření, aby byla účinná, budou muset pracovat s identifikátory a jinými závislostními metadaty, která nejsou dynamikou cloudu ovlivňována.
Cloud rovněž nabízí z hlediska bezpečnosti řadu jednoznačných výhod. Na rozdíl od tradičních datových center mívá cloud rich APIs a jednoznačně definované stavové modely, které lze využít k definování bezpečnostních pravidel i k ověřování compliance. Zachytáváním vztahů mezi entitami a identifikátory v okamžiku přidělení zdrojů a jejich sledováním v průběhu životního cyklu aplikace dokážeme získat komplexní auditní stopu, která popisuje záměr, abstrakce a vztahy napříč infrastrukturou.
V tomto příspěvku, představujeme praktickou ukázku toho, jak nám tento přístup umožňuje dosáhnout bezpečnosti a compliance u cloudové aplikace, která podléhá regulaci podle mezinárodních bezpečnostních standardů PCI pro transakce platebními kartami. V okamžiku zavedení šablona aplikace přidělí logický kontejnment (izolaci) a aplikační firewall, což umožní zamýšlené chování a zároveň zajistí ochranu proti zranitelnostem pro veškeré datové toky přes rozhraní aplikace. Tento kontext je zaznamenáván, uchováván a předáván prostřednictvím důvěryhodného značkovacího mechanismu na hostitelské platformě, takže veškeré relevantní abstrakce (tj. pody, segmenty, kontejnery, virtuální stroje, bezpečnostní prvky a virtuální bezpečnostní zařízení) mají pohotový přístup k identickým kontextovým informacím o aplikaci, její regulatorní klasifikaci a očekávaném chování.
Za běhu tento očekávaný kontext umožňuje jak automatické vymezení žádoucího chování aplikace, tak prevenci zneužití známých zranitelností její běžící instance. Dojde-li k narušení bezpečnostní politiky (při útoku), tentýž kontext, zaznamenávaný v protokolech aktivity, okamžitě poskytne prakticky využitelné informace pro procesy prioritizace, neutralizace a nápravy spouštěné upozorněním na narušení bezpečnosti.
Obecněji tato práce demonstruje, že odkryjeme-li očekávaný kontext a založíme bezpečnostní politiku na logických kontextuálních abstrakcích namísto nestálých infrastrukturních identifikátorech dokážeme zajistit účinné zabezpečení, reakci a analýzu v dynamickém cloudovém prostředí. Přechod do cloudu sice vyžaduje odlišnou bezpečnostní architekturu, ale domníváme se, že je ve výsledku možné ve veřejném cloudu vytvářet stejně bezpečné, ne-li bezpečnější aplikace, než jaké dokážeme dnes vytvářet v lokálním prostředí.Obecněji tato práce demonstruje, že odkryjeme-li očekávaný kontext a založíme bezpečnostní politiku na logických kontextuálních abstrakcích namísto nestálých infrastrukturních identifikátorech dokážeme zajistit účinné zabezpečení, reakci a analýzu v dynamickém cloudovém prostředí. Přechod do cloudu sice vyžaduje odlišnou bezpečnostní architekturu, ale domníváme se, že je ve výsledku možné ve veřejném cloudu vytvářet stejně bezpečné, ne-li bezpečnější aplikace, než jaké dokážeme dnes vytvářet v lokálním prostředí.
Dennis R. Moreau
Dennis R Moreau v současné době zastává pozici Senior Engineering Architect v společnosti VMware, kde se věnuje problematice využití kontextu aplikace a platformy pro vysoce odolné, škálovatelné a adaptivní zabezpečení a compliance v cloudech a softwarově definovaných datových centrech. Spolupracoval s konsorciem pro otevřené standardy OASIS, americkým Národním institutem pro standardy a technologie (NIST), Ministerstvem obrany USA a společností Mitre Corporation na vývoji informačních a automatizačních standardů pro bezpečnost a compliance. Má rozsáhlé zkušenosti s návrhem řešení pro správu zabezpečení/compliance. Před nástupem do společnosti VMware pracoval jako Senior Technology Strategist ve společnosti RSA, kde se specializoval na bezpečnost utility computingu, technologie pokročilých hrozeb a modelování důvěry. Byl spoluzakladatelem a technickým ředitelem společnosti Configuresoft (kterou později převzala společnost EMC) a technickým ředitelem zdravotnické vysoké školy Baylor College of Medicine. Získal doktorský titul v oboru počítačových věd a zastával výzkumné a pedagogické pozice v oboru informatiky a kybernetiky. Jeho výzkum podporovaly NASA, Caltech/Jet Propulsion Laboratories, Ministerstvo obchodu USA, Národní zdravotní institut, Národní zdravotnická knihovna, AT&T Bell Laboratories a IBM. Často přednáší na bezpečnostních konferencích po celém světě.
Guido Appenzeller
Guido Appenzeller v současné době ve společnosti VMware zastává pozici technického ředitele pro cloud a sítě, kde je odpovědný za přechod firmy na veřejný cloud a SaaS. Před nástupem do společnosti VMware spoluzaložil společnost Big Switch Networks a 4 roky ji vedl jako generální ředitel. Předtím založil společnost Voltage Security (později převzatou HP), kde zastával pozici technického ředitele a pomáhal ji rozvíjet a dosáhnout ziskovosti s více než 1000 firemními zákazníky. V letech 2008 až 2010 působil jako odborný asistent na Stanfordské univerzitě, kde vedl tým, který vyvinul standard OpenFlow. Byl zařazen mezi nejvýznamnější technické lídry v žebříčku MIT TR35, vyhlášen technickým průkopníkem na Světovém ekonomickém fóru a banka Goldman Sachs jej označila za jednoho ze 100 nejpozoruhodnějších podnikatelů. Získal doktorát na Stanfordské univerzitě a titul diplomovaného inženýra na Technické univerzitě v Karlsruhe.
Tel: +420 737 215 220
E-mail: