IT@BANK 2020 | Bezpieczeństwo w infrastrukturze hybrydowej – dziś i jutro

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
O bezpieczeństwie infrastruktury IT w nadchodzących latach rozmawiamy z Piotrem Sękowskim, System Storage Sales Managerem w IBM Poland & Baltics oraz Danielem Wysockim, specjalistą ds. bezpieczeństwa w Dziale Cybersecurity w firmie Advatech, jednego z największych polskich integratorów rozwiązań informatycznych.

Piotr Sękowski,
System Storage Sales Manager w IBM Poland & Baltics

Daniel Wysocki,
Specjalista ds. bezpieczeństwa w Dziale Cybersecurity w firmie Advatech

Ostatnie lata obfitowały w głośne naruszenia bezpieczeństwa infrastruktury IT, zarówno w kontekście biznesowym, jak i geopolitycznym. Zasadne zatem wydaje się pytanie, czy w dzisiejszych czasach możliwe jest bezpieczne i niezawodne dostarczanie danych użytkownikom, bez narażania się na skuteczny atak ze strony hakerów.

Piotr Sękowski: Na początku 2020 r. Światowe Forum Ekonomiczne opublikowało listę głównych zagrożeń dla naszego świata. Wśród nich wymieniono m.in. zmiany klimatu, katastrofy naturalne oraz niedobór wody, natomiast w sferze technologicznej wskazano na kradzież danych, cyberataki oraz niedostępność infrastruktury informatycznej. Takie spojrzenie potwierdzają też wnioski płynące z najnowszego badania przeprowadzonego przez Phenomen Institute: średni koszt wycieku danych w 2019 r. wyniósł 3,92 mln USD, natomiast średni koszt niedostępności infrastruktury informatycznej w 2019 r., według portalu Statista.com, wynosi najczęściej pomiędzy 300 a 500 tys. USD.

Jak zatem zminimalizować wpływ tych zagrożeń na funkcjonowanie biznesu?

Daniel Wysocki: Odpowiedź na to pytanie jest bardzo trudna, bo zbyt wiele czynników decyduje o wyborze optymalnej strategii działania. W mojej ocenie, decydują trzy główne parametry – realna oceny ryzyka w każdym obszarze biznesowym, spójność proceduralna firmy oraz zaawansowanie technologiczne w zakresie infrastruktury IT. Na to wszystko niestety nakłada się nasze przeświadczenie, że jesteśmy w stanie przewidzieć wszystkie zagrożenia. Jednak, jak dowodzi pandemia, w której się znaleźliśmy, nie jest to prawda. Zawsze może się pojawić coś, o czym nie pomyśleliśmy, a czego skutki mogą być dla wszystkich bardzo dotkliwe i kosztowne.

Skupmy się zatem na stronie technologicznej. Na ile współczesne architektury IT są przygotowane na obecne i przyszłe zagrożenia?

Daniel Wysocki: Zacznijmy od zabezpieczeń w warstwie aplikacyjnej. Szerokie zastosowanie technologii wielochmurowej, bo mowa tu zarówno o chmurze prywatnej, publicznej, jak i hybrydowej, przenosi dyskusję w nowy wymiar. Już nie zastanawiamy się, czy stosować rozwiązania chmurowe, ale jak ich bezpiecznie używać.

Rozbudowa infrastruktury o wciąż nowsze elementy powoduje, że zwiększa się także liczba punktów narażonych na cyberatak. Przestępcy są w stanie zagrozić firmie, wykorzystując luki w zabezpieczeniach i brak pełnego wglądu w nową, stale zmieniającą się infrastrukturę.

Firmy oczywiście nie pozostają bierne, wiele z nich korzysta z wielu narzędzi, chcąc w pełni zabezpieczyć swoją infrastrukturę, ale i tu czai się niebezpieczeństwo. Badania firmy IBM pokazują, iż firmy wykorzystują średnio od 25 do 49 różnych narzędzi bezpieczeństwa pochodzących od 10 różnych producentów. Problemem nie jest już brak danych, a brak narzędzi do szybkiej ich analizy bez potrzeby przenoszenia, czy agregacji w nowym miejscu. Dodatkowo 55% firm narzeka na brak integracji między narzędziami, a 48% z nich uważa, że nadmierna liczba rozwiązań zabezpieczających nie tylko zwiększa złożoność infrastruktury, ale i ogranicza widoczność tego, co się aktualnie w niej dzieje.

Czyżby było to sygnał, żebyśmy nie przesadzali z tą nowoczesnością? Przecież tak czy inaczej, na ataki trzeba się jakoś przygotować. Jak pogodzić, te przynajmniej z pozoru sprzeczne działania?

Daniel Wysocki: Ująłbym to tak – pomocną dłoń wyciągnął IBM z nowym portfolio produktów IBM Cloud Pak. IBM współpracuje z czołowymi producentami systemów bezpieczeństwa tworzącymi otwarte standardy wymiany informacji. Celem jest umożliwienie łatwej integracji różnych rozwiązań oraz zmniejszenie zależności klientów od jednego dostawcy. Bazą technologiczną są wspólnie opracowywane rozwiązania Open Source.

IBM Cloud Pak for Security, dzięki integracji z systemem Red Hat OpenShift, pozwala na wykorzystanie skonteneryzowanych aplikacji do budowy niezwykle elastycznych rozwiązań opartych na mikroserwisach. Unikalną cechą tego rozwiązania jest jego elastyczność operacyjna, pozwalająca na instalację w dowolnie wybranym przez nas miejscu – lokalnie czy też w chmurze.

Otwarte standardy wymiany informacji dają możliwość pełnej analizy bezpieczeństwa bez potrzeby przenoszenia danych, i to nawet w środowiskach wielochmurowych. Dzięki wbudowanym funkcjom wyszukiwania możemy jednocześnie badać wiele źródeł informacji, co pozwala na szybką analizę ogromnych zbiorów danych. Dodatkowo, dzięki implementacji orkiestracji i automatyzacji, analitycy bezpieczeństwa mają możliwość szybkiego podejmowania decyzji i działań, a wszystko to w ramach zunifikowanego i nowoczesnego interfejsu.

Brzmi to bardzo sensownie. Jak zatem wyglądają perspektywy zabezpieczeń w warstwie infrastrukturalnej? Czy serwery i cały proces dostarczania i przechowywania danych są równie dobrze chronione?

Piotr Sękowski: Przyjrzyjmy się warstwie związanej z przetwarzaniem danych. Najbardziej popularna i powszechna architektura x86, jest najlepiej rozpoznana i co za tym idzie najczęściej atakowana. To cena, jaką płacimy za jej dostępność i masowość. 

W prasie branżowej możemy przeczytać o atakach, w których hakerzy byli w stanie zbierać nie tylko wrażliwe informacje z systemu operacyjnego, ale także przechwycić klucze szyfrujące i hasła. Skutki tego typu ataków mogą być bardzo dotkliwe finansowo.

Wniosek – najbardziej krytyczne systemy powinny być przetwarzane na platformach o zamkniętej architekturze. Przyjrzyjmy się twardym danym: 90% największych firm energetycznych, 80% największych firm z branży retail, 92% największych firm medycznych, a także 90% transakcji płatniczych kartami kredytowymi jest realizowanych na serwerach IBM klasy mainframe z systemem operacyjnym z/OS. To nie przypadek. Zamknięta architektura procesora połączona z funkcjonalnością sprzętowego szyfrowania oraz funkcje weryfikacji zabezpieczeń czynią tę platformę najbezpieczniejszą na świecie. Takie są fakty.

Nawiązując do wypowiedzi Daniela o systemach Open Source – platforma mainframe jest także dostępna dla tych, którzy używają „otwartego oprogramowania”. Mowa tu o serwerach mainframe IBM LinuxONE, które posiadają procesor mainframe pracujący pod kontrolą systemu operacyjnego Linux. Mamy tu zatem perfekcyjne połączenie otwartości z bezpieczeństwem. Co więcej, obecnie jest to najwydajniejszy procesor na świecie, który jednocześnie ma najniższy wskaźnik nieplanowanej rocznej niedostępności. Zatem w jednym urządzeniu mamy maksymalizację wydajności, dostępności i bezpieczeństwa.

Ale co z warstwą przechowywania i dostarczania danych? Jak tu wyglądają obecne i przyszłe kwestie bezpieczeństwa?

Piotr Sękowski: Tu zadanie jest tylko pozornie proste – należy tak przygotować infrastrukturę IT, aby zapewnić nieprzerwane dostarczanie i odbieranie danych z systemów biznesowych, a także skuteczne i trwałe ich przechowywanie. Jak to zwykle bywa, pod pozorami prostoty kryje się całe spektrum różnych rozwiązań, metod i działań mających w sumie ten sam cel.

Przykład pierwszy z brzegu to konieczność utworzenia środowiska zapasowego DR. Rzecz wydawałoby się oczywista, jednak w praktyce spotykamy kluczowe, choć na szczęście nie krytyczne środowiska, które nie posiadają ani środowiska zapasowego, ani nawet kopii bezpieczeństwa. Przykładem mogą być środowiska testowo-deweloperskie, które nie są krytyczne do czasu utraty ich dostępności. W przypadku całkowitej utraty takich danych trzeba ponieść spore koszty osobowe, a nowe wersje aplikacji bądź kampanie muszą być zrealizowane od nowa. Życie pokazuje, że te z pozoru mało prawdopodobne scenariusze potrafią się ziścić w rzeczywistości. Bywało już w historii, że sytuacja katastroficzna typu pożar, powódź lub wybuch gazu gaśniczego może dotknąć także serwerowni. A wtedy utrata danych jest gwarantowana.

Jak się zatem zabezpieczyć przed konsekwencjami takich zdarzeń?

Piotr Sękowski: Trzeba szukać rozwiązań minimalizujących ryzyko utraty danych, np. poprzez wykorzystanie funkcjonalności chmury hybrydowej. Wystarczyłoby zbudować kopię bezpieczeństwa środowiska w chmurze publicznej za pomocą aplikacji IBM Spectrum Protect. Na dodatek wbudowana w ten system funkcja analizy archiwizowanych danych natychmiast powiadomi administratora o każdej występującej anomalii, np. ataku typu ransomware.

Na nieco wyższym poziomie można zastosować replikację synchroniczną bądź asynchroniczną do chmury publicznej typu IBM Cloud lub Amazon Web Services. Pomocna jest wtedy technologia IBM Spectrum Virtualize, która zapewnia spójną replikację danych. W ten sposób, nawet w przypadku nagłej i nieplanowanej awarii całego podstawowego centrum danych, nie ma przerw w dostępie do danych. Są to absolutnie bezcenne cechy chmur hybrydowych.

Podsumujmy zatem, jak wygląda infrastruktura hybrydowa w kontekście bezpieczeństwa danych? Jakie wyzwania nas czekają w tych kwestiach w najbliższych latach?

Daniel Wysocki: Pomimo wciąż pojawiających się nowych wyzwań związanych z bezpieczeństwem, widać wyraźnie, że rozwiązania wielochmurowe stają się powoli standardem. Od tego nie ma odwrotu. Tym bardziej że funkcjonalności, jakie oferują chmury hybrydowe, wciąż się rozrastają. Zaangażowanie takich firm jak IBM, gwarantuje odpowiedni potencjał innowacyjności i twórczego podejścia do pojawiających się problemów. Chmura hybrydowa oferuje obecnie najwyższy poziom bezpieczeństwa danych. O ich bezpieczeństwo dbają najwyższej klasy specjaliści. Dlatego warto być mądrym przed szkodą i skorzystać z tego, co oferuje zaawanasowana technologia IT.

Źródło: Miesięcznik Finansowy BANK