Strategia zerowego zaufania: bezpieczeństwo chmury z założenia

Wezwanie do zmian

Jak mogliśmy się przekonać w ciągu ostatnich 18 miesięcy, chmura otwiera drzwi do zwinności organizacyjnej na niespotykaną dotąd skalę. Jednak bezpieczeństwo ma zasadnicze znaczenie dla wykorzystania potencjału chmury. Firma Accenture, ze swoją wielkością, skalą i złożonością, doświadczyła na własnej skórze znaczenia bezpieczeństwa w chmurze.

Sześć lat temu firma Accenture rozpoczęła proces przenoszenia działalności do chmury. Chociaż nasze niedawne badanie wykazało, że ryzyko dla bezpieczeństwa i zgodności z przepisami jest postrzegane jako jeden z dwóch głównych problemów związanych z wdrażaniem chmury, od samego początku twierdziliśmy, że bezpieczeństwo w chmurze będzie kluczowym elementem zaspokajania naszych potrzeb biznesowych.

Przejście z infrastruktury lokalnej, nad którą mieliśmy pełną kontrolę, na współpracę w chmurze z dostawcami i konieczność polegania na ich technologii i środowisku było poważną zmianą. Infrastruktura i nowe możliwości usługowe w chmurze są inne; nie mogliśmy tak po prostu przenieść tego, co mieliśmy na miejscu, bezpośrednio do chmury.

Musieliśmy na nowo przemyśleć podejście do wdrażania naszego modelu bezpieczeństwa, aby wykorzystać możliwości rozwiązań natywnych dla chmury. Opracowaliśmy podstawowe zasady bezpieczeństwa, aby spełnić wymagania związane z działalnością w chmurze. Na nowo zdefiniowaliśmy swoje reguły bezpieczeństwa, aby były bardziej elastyczne i dostosowane do nowej infrastruktury w chmurze. Kiedy analizujemy swoje podejście do bezpieczeństwa, myślimy nie tylko o infrastrukturze, ale także o aplikacjach, danych i kodzie.

Obecnie infrastruktura IT firmy Accenture działa w chmurze hybrydowej i generuje znacznie niższe koszty niż nasze dotychczasowe modele realizacji. Nasza strategia polegała na zapewnieniu bezpieczeństwa od samego początku poprzez dostosowanie zabezpieczeń pod kątem możliwości chmury, co pomogło nam określić, jak nasze rozwiązania chmurowe mogą wspierać każdy element bezpieczeństwa niezbędny w działalności firmy.

Kiedy technologia spotyka się z ludzką pomysłowością

Na początku swojej drogi do chmury zdaliśmy sobie sprawę z konieczności zmiany praktyk bezpieczeństwa, aby dostosować je do naszych podstawowych wartości w zakresie bezpieczeństwa w chmurze. Postawiliśmy na rozwiązania definiowane programowo, zabezpieczając kod aplikacji i infrastruktury od samego początku. Wdrożyliśmy analitykę opartą na zachowaniach, wykorzystując zautomatyzowaną analitykę behawioralną opartą na sztucznej inteligencji (AI), aby szybciej i dokładniej identyfikować anomalie przy pracy na platformach chmurowych. Ważna była dla nas niezależność od chmury, odpowiednia do środowiska wielochmurowego, tak aby ramy i zasady bezpieczeństwa mogły być stosowane do każdego dostawcy chmury i audytowane.

Ponadto wdrożyliśmy solidną ochronę, opartą na wielu warstwach zabezpieczeń o różnym stopniu: chmura, sieć, dostęp, dane i punkty końcowe. Naszą strategię oparliśmy na metodologii zerowego zaufania, chroniąc każdy aspekt bezpieczeństwa w chmurze poprzez traktowanie każdego elementu jako niezaufanego. Koncentrując się na zerowym zaufaniu, przyjęliśmy podejście oparte na tożsamości, w którym cały dostęp opiera się na identyfikacji, a każde żądanie jest jawnie weryfikowane.

Pięć podstawowych funkcji przyczyniło się do sukcesu na drodze do bezpieczeństwa w chmurze:

Postawiliśmy na podział obowiązków. Wraz ze wzrostem wykorzystania rozwiązań typu „oprogramowanie jako usługa” (SaaS) i „platforma jako usługa” (PaaS) w chmurze, skupiliśmy się na modelu wspólnej odpowiedzialności z dostawcami chmury i zaufaliśmy mu. Dzieląc się odpowiedzialnością z naszymi hiperskalowymi dostawcami, zamiast ponosić ją samodzielnie, w sposób naturalny zyskujemy większe bezpieczeństwo. Praca z usługami chmurowymi firm Microsoft, Amazon i Google pozwoliła nam wykorzystać ich dojrzałość na rynku, liczne certyfikaty bezpieczeństwa oraz fakt, że cenią bezpieczeństwo tak samo jak my.

Szukaliśmy właściwych rozwiązań opartych na chmurze. Dostawcy chmury dużo inwestują w oferowane innowacyjne rozwiązania i bezpieczeństwo. Dzięki zastosowaniu natywnych dla chmury i opartych na chmurze zasad, mechanizmów kontroli, procesów i technologii udało nam się wykorzystać nieodłączną zwinność i skalę do wsparcia własnego bezpieczeństwa w chmurze.

Zadbaliśmy o zgodność z przepisami. Dzięki współpracy z konkretnymi dostawcami nasza strategia bezpieczeństwa w chmurze opiera się na uznanych w branży standardach i jest stale dostosowywana do potrzeb biznesowych przedsiębiorstwa. Przestrzegamy zasad branżowych, wykorzystując alerty, kierując się zasadą zerowego zaufania i zarządzając bezpieczeństwem za pomocą kodu, aby zachować zgodność z przepisami. Dzięki temu zapewniamy naszym użytkownikom, usługom, obciążeniom roboczym i danym bezpieczeństwo od samego początku i nieustanną ochronę przed stale zmieniającymi się zagrożeniami, a także kontrolę zewnętrzną w celu weryfikacji przez inne podmioty.

Zwiększyliśmy widoczność. Przyjęliśmy wielopoziomowe podejście, zwiększając bezpieczeństwo dzięki technologiom dostawców chmury i zaawansowanym rozwiązaniom do wykrywania zagrożeń. Zyskaliśmy widoczność nie tylko na potrzeby własnego aktywnego zarządzania, ale także przeprowadzania audytów zewnętrznych.

Trwale wbudowaliśmy zaufanie. Uważamy, że tożsamość jest nową zaporą. Nasze podejście skoncentrowane na tożsamości oznacza, że przyjęliśmy strategię zerowego zaufania, w ramach której stosujemy odpowiednią i ciągłą weryfikację tożsamości. Zaufanie będzie teraz oparte głównie na tożsamości i roli.

Cenna różnica

Przyjęliśmy kompleksowe podejście do różnych elementów działalności w chmurze, aby stworzyć kompleksową strategię bezpieczeństwa w chmurze. Wdrażając takie transformacyjne podejście do bezpieczeństwa w infrastrukturze wielochmurowej, możemy nadal egzekwować wysoce skuteczne zasady bezpieczeństwa, zasoby i usługi.

Oto kilka wniosków, jakie wyciągnęliśmy na temat solidnego bezpieczeństwa w chmurze:

• Projektowanie pod kątem chmury: Przejście na model Cloud Continuum wymaga zupełnie innego modelu operacyjnego niż jakiekolwiek rozwiązanie lokalne. Przemyśl zasady bezpieczeństwa pod kątem chmury, aby wykorzystać potencjał zabezpieczeń w chmurze i odmienić swoją działalność.

• Zmiana kultury organizacyjnej: Zacznij wypełniać odgórnie lukę kulturową w zakresie usług natywnych dla chmury. Edukacja i szkolenia mogą pomóc zmienić sposób myślenia, tak aby pracownicy zrozumieli korzyści płynące z chmury i znaczenie stanu bezpieczeństwa.

• Promowanie partnerstwa: Każde przejście na model Cloud Continuum wiąże się nie tylko z przekazaniem części kontroli osobom trzecim, ale także z przejęciem zaawansowanych rozwiązań chmurowych. Ważne jest budowanie opartych na zaufaniu relacji z dostawcami chmury oraz postrzeganie bezpieczeństwa z perspektywy wspólnej odpowiedzialności.

Aby uzyskać i utrzymać mechanizmy kontroli dostępu w środowisku wielochmurowym, w przyszłości zamierzamy skupić się na koordynacji różnych platform, aby uspójnić wszystkie tożsamości na wszystkich platformach i u wszystkich dostawców. Wykorzystując dane jako kluczowy czynnik, będziemy utrzymywać kompleksowe bezpieczeństwo w chmurze, w miarę jak nasze możliwości w zakresie chmury będą rosły na poziomie różnych platform.

Chcemy poznawać nowe rozwiązania i zwiększać nasze bezpieczeństwo przez wykorzystanie AI do wykrywania zagrożeń oraz uczenia maszynowego do poprawiania kodu i zapobiegania występowaniu potencjalnych luk w zabezpieczeniach. W połączeniu z naszą strategią „Zapobieganie, ochrona, wykrywanie i odzyskiwanie” może to wzmocnić nasz model zerowego zaufania.