BANK 2023/05

Raport Specjalny | Bezpieczeństwo Banków – Integrated Solutions / Check Point | Bezpieczeństwo środowisk chmurowych banku

Piotr Siniarski | Maciej Melin | Check Point Software Technologies Poland| Integrated Solutions
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Sektor bankowy zawsze był liderem wdrażania najbardziej zaawansowanych rozwiązań IT. Zmiany naszych zachowań i nawyków, wynikające między innymi z doświadczeń pandemii czy zagrożeń związanych z wojną za wschodnią granicą, skutkują nowymi wyzwaniami także w kontekście rozwoju systemów informatycznych. Poza inwestycjami w zabezpieczenia swoich środowisk IT, banki inwestują także ogromne środki w rozwój bankowości elektronicznej i nowych usług dla swoich klientów. Zazwyczaj są one tworzone w duchu Agile i charakteryzują się dynamicznym rozwojem.

Piotr Siniarski, Check Point Software Technologies Poland Piotr Siniarski
Major Account Manager,
Check Point Software Technologies Poland

Maciej MelinMaciej Melin
Business Development Manager Security, Integrated Solutions

Zmiana tworzenia oprogramowania z klasycznego, kaskadowego do metod bardziej zwinnych daje możliwość pełniejszego wykorzystania zasobów ludzkich oraz szybszego wprowadzania usprawnień w usłudze. Oczywiście dynamika tych procesów pociąga za sobą duże zmiany w samej infrastrukturze. Środowisko, które będzie udostępniać usługi, musi wspierać je pod kątem koniecznych modyfikacji. Takie podejście wymaga równie dynamicznego środowiska, jakim jest chmura. Dla administratorów nie ma znaczenia, czy rozmawiamy o chmurze prywatnej, czy o chmurze publicznej. Nowy sposób działania to nowe wyzwania bezpieczeństwa i konieczność dopasowania zabezpieczeń do bieżących wymagań.

CloudGuard – sprawdzone rozwiązanie

Producenci rozwiązań security prześcigają się w sposobie zabezpieczenia komunikacji chmurowej. Podstawową ochroną sieci, czy to w naszym data center, czy u któregoś z operatorów chmury publicznej, nadal zostaje stary sprawdzony firewall. Oczywiście, o ile wdrożenie fizycznego firewalla w swoim wirtualnym środowisku jest karkołomne, ale wykonalne, tak wdrożenie go u operatora publicznego jest po prostu niemożliwe.

Bez wątpienia jedną z najciekawszych propozycji, gwarantujących wysoki poziom bezpieczeństwa i łatwość integracji z dostępnymi na rynku rozwiązaniami chmurowymi, ma w swoim portfolio firma Check Point. CloudGuard to, mówiąc najprościej, nowoczesny firewall, który szeregiem swoich funkcji pozwala skutecznie zabezpieczyć nasze zasoby chmurowe. Oferuje takie mechanizmy, jak pełny firewalling, głęboką inspekcję ruchu za pomocą mechanizmów IPS, AV, sandbox czy AntyBot aż po część pozwalającą na uwierzytelnianie użytkowników czy zestawianie szyfrowanych tuneli z naszymi lokalnymi zasobami. Wykorzystując CloudGuard w swoim środowisku, administratorzy mogą chronić tak węzły północne, jak i południowe w ruchu do i z chmury publicznej. Rozwiązanie umożliwia wdrożenie pożądanej w przypadku usług chmurowych mikrosegmentacji. Dzięki takiej polityce administratorzy będą mogli precyzyjnie analizować, jak wygląda komunikacja wewnątrz usług chmurowych, co oznacza jej optymalizacja i obniżenie kosztów korzystania z serwisów cloudowych. Warto też pamiętać o możliwości integracji systemu z narzędziami, takimi jak CloudFormation, Ansible i Terraform. Pozwala to na automatyzację środowiska, szybkie wdrożenie i skalowanie wydajności dla tysięcy maszyn. To elementy, które bez wątpienia spodobają się administratorom, DevOps-om czy działowi bezpieczeństwa.

Rys. 1. Schemat działania rozwiązania CloudGuard

Check Point CloudGuard WAAP dodatkowe zabezpieczenie

Pełna analiza ruchu stała się koniecznością, jeżeli zależy nam na bezpieczeństwie użytkowników i stabilności platformy. Przy budowie współczesnej aplikacji, z której będą korzystać klienci banku, często wystawia się jedynie front aplikacji w chmurze, całe zaplecze infrastruktury pozostawiając w lokalnej serwerowni. Takie podejście ma kilka zalet – po pierwsze, krytyczna część infrastruktury, w której znajdują się dane klientów jest w naszej, lokalnej serwerowni z dobrze nam znanymi rozwiązaniami bezpieczeństwa. Front w chmurze daje nam zaś wszystkie zalety metodyki Agile, dzięki czemu aplikacja może rozwijać się dynamicznie i nieprzerwanie. W takiej sytuacji należy dołożyć wszelkiej staranności. aby chronić komunikację pomiędzy kolejnymi elementami infrastruktury.

Dla wygody użytkowania większość aplikacji jest dostępna za pośrednictwem przeglądarki internetowej, warto więc zabezpieczyć dodatkowo dostęp za pomocą rozwiązania klasy Web Application and API Protection (WAAP). Check Point CloudGuard WAAP to rozwiązanie, które z jednej strony przypomina znane rozwiązania typu WAF (Web Aplication Firewall,) oferujące użytkownikowi podstawową ochronę np. w  oparciu o OWASP top10, z drugiej zaś strony dopasowuje się do aktualnego sposobu tworzenia aplikacji przez co dynamicznie reaguje na aktualne zagrożenia. Nieważne czy stosujemy mikroserwisy, czy korzystamy z API, wszelką komunikację WEB aplikacji będziemy mogli zabezpieczyć za pomocą licznych mechanizmów, takich jak: analiza komunikacji szyfrowanej, inteligentne dopasowywanie zachowań czy AI.

Rys. 2. Rozwiązania Check Point chroniące chmurę

W przeciwieństwie do klasycznego WEB Aplication Firewall, który chroni aplikacje za pomocą sygnatur znanych ataków, CloudGuard WAAP wykonuje także analizę behawioralną, dzięki czemu jest w stanie zabezpieczyć aplikację przed atakami typu zero-day. Kompleksowe podejście do bezpieczeństwa oraz infrastruktura projektowana natywnie dla chmury chroni ruch użytkowników, ale także zapytania do API. Mechanizm ten pozwala na dostęp z różnych źródeł do danych udostępnianych na naszych zasobach w internecie. Dzięki API programiści mogą zaimplementować w swoich programach dane udostępniane przez bank, tj. kursy walut, czy aktualne wyceny funduszy inwestycyjnych.

Dzieląc się danymi, niestety narażamy się także na atak na nasze środowisko i tutaj z pomocą przychodzi Check Point CloudGuard WAAP, chroniąc tak samo aplikacje, których jesteśmy właścicielami, jak i nasze zasoby, z których korzystają współpracujący z nami twórcy oprogramowania.

Gwarancja spokoju

Jak widać, rozwiązania bezpieczeństwa wykorzystywane w chmurach w zasadzie realizują te same zadania, co ich tradycyjni protoplaści. Różnice wynikają głównie z elastyczności i dynamiki wdrażania tych usług w infrastrukturze publicznej. Firma Check Point jako lider bezpieczeństwa IT odrobiła lekcje i dostarcza swoim klientom rozwiązania, które zapewniają najwyższy poziom bezpieczeństwa tak środowisk tradycyjnych, jak nowoczesnych platform multicloud. Dodatkowo rozwiązania zostały wyposażone w mechanizmy, które pozwolą skutecznie odpowiedzieć na ataki, których rodowód jest w 100% chmurowy. Dzięki temu administratorzy oraz szefowie instytucji finansowych, a przede wszystkim klienci mogą spać spokojnie.

Pomoc przy wdrożeniu

Wybór najlepszych technologicznie rozwiązań to nie wszystko – konieczne jest także ich prawidłowe wdrożenie – tutaj z pomocą przychodzą zaufani partnerzy technologiczni, do których należy jeden z wiodących na polskim rynku integratorów – Integrated Solutions. IS to wieloletni partner Check Point z najwyższym możliwym statusem 5 star Partner, posiadający niezbędne doświadczenie w projektowaniu, wdrażaniu i utrzymywaniu rozwiązań cyberbezpieczeństwa, w tym technologii ChP.

W swoich strukturach ma wyspecjalizowaną jednostkę w pełni adresującą projekty związane z bezpieczeństwem cyfrowym. Od lat z sukcesem wdraża je także w sektorze bankowym.
Zachęcamy do przetestowania opisywanych powyżej rozwiązań w Państwa środowisku.

Źródło: Miesięcznik Finansowy BANK