A Gartner szerint a felhőalapú szolgáltatásmodellek a következő három évben érezhetően átformálják majd az IT-biztonsági megoldások piacát. Az egyre több felhőszolgáltatást használó szervezetek figyelme ugyanis a változó igények következtében új biztonsági megoldások felé fordul, és a nagyobb felhőfüggés következtében a kormányok is kezdik más szemmel vizsgálni a magán- és a közszféra szereplői, valamint a lakosság által egyaránt használt nyilvánosfelhő-infrastruktúrák biztonságosságának kérdését, különös tekintettel arra, hogy azok a kiberbűnözés mellett az utóbbi időben politikai indíttatású támadások, a kiber-hadviselés célpontjává váltak. A piacelemző szerint például várható, hogy az Egyesült Államok kormánya a nemzetbiztonság szempontjából kritikussá nyilvánítja a nyilvános felhők infrastruktúráit. – A felhőalapú IT-biztonsági szolgáltatások elterjedése kategóriánként eltérő mértékben ugyan, de át fogja alakítani a biztonsági megoldások piacát – mondta Ruggero Contu, a Gartner kutatási igazgatója. – A virtualizált környezetek átveszik a hagyományos, fizikai hardverplatformok helyét, és ez várhatóan a hálózatvédelmi funkciók eddigi használatán is változtatni fog, ez a modell a jövőben mind nagyobb mértékben virtuális biztonsági készülékekre (appliance-okra) fog épülni.
A piacelemző az idei és a következő pár évre három előrejelzést is adott a biztonsági megoldások piacát formáló trendekről.A nyilvánosfelhő-infrastruktúra 2016-ra a nemzetbiztonság szempontjából kritikus infrastruktúrákra vonatkozó szabályozások hatálya alá kerülhet – A nehéz gazdasági helyzet és a nagymértékű eladósodottság körülményei között a kormányok világszerte keresik a lehetőséget informatikai költségeik csökkentésére, IT-szervezeteik konszolidálására és erőforrásaik optimalizálására. A minden szempontból hatékonyabb működés érdekében több kormány is indított már programokat a felhőalapú megoldások bevezetésére.
Ugyan nem tapasztalták még, hogy milyen következményekkel járna, ha a szolgáltatások akár meghibásodás, akár kibertámadás következtében országos szinten elérhetetlenné válnának, a katasztrófa várható hatását és a válaszadás hatásosságát azonban már több kormány is tesztelte kiber-hadgyakorlatok keretében. Egyébként könnyű elképzelni, hogy egy ilyen leállás nemcsak az egyre több felhőszolgáltatást használó gazdasági és kormányzati szervezetek számára jelentene problémát, hanem a nemzetgazdaság teljesítményét és a nemzetbiztonságot is komolyan érintené.
– A felhőszolgáltatóknak ezért fel kell készülniük arra, hogy a jövőben a kritikus infrastruktúrákra vonatkozó, szigorúbb törvényi előírások követelményeinek is eleget kell majd tenniük – mondta Lawrence Pingree, a Gartner kutatásvezetője. – Azok a szolgáltatók, amelyek nem tudják tanúsítani a megfelelőséget, nemcsak a kormányzati megrendelésektől fognak elesni, hanem azzal is szembesülhetnek, hogy szolgáltatásaikat többé a versenyszféra szereplői sem találják eléggé biztonságosnak.
Virtualizált védelem
Nagyvállalati környezetben az IT-biztonsági funkciók 10 százaléka felhőalapokra kerülhet 2015-re – A Gartner szerint a következő három évben a felhőalapú IT-biztonsági megoldások piaca gyorsabban fog nőni, mint a hagyományos, helyben üzemeltethető eszközöké. A felhőalapú megoldások beruházás nélkül, gyorsan bevezethetők különböző IT-környezetekben, és alacsonyabb költségek mellett használhatók, ami vonzóbbá teszi őket a felhasználók szemében.
Térhódításuk azonban nem lesz korlátlan. A földrajzi elhelyezkedésüknél fogva kevésbé megbízható internetkapcsolatot használó vagy a biztonsági megoldások nagyobb mértékű testre szabását igénylő szervezetek továbbra sem tudják majd kiaknázni a felhőmodell kínálta lehetőségeket. – A felhőalapú biztonsági megoldásokat a legtöbb szervezet jelenleg olyan területeken használja, mint az üzenetkezelés és az internet-hozzáférés védelme, valamint a távoli sérülékenységelemzés – fejtette ki Ruggero Contu. – A továbbiakban azonban ez a paletta gyorsan bővülni fog, többek között az adatvesztés megelőzésére szolgáló, valamint titkosító és felhasználóazonosító szolgáltatásokkal. Mindez szállítói oldalon is kihat majd a piacra.
Innovatív, felhőalapú IT-biztonsági megoldásokat kínáló, induló cégek szállnak be a versenybe, amelyek közül a sikeresebbeket a versenyképességük megőrzésére törekvő, nagy szállítók fogják felvásárolni.Az évtized közepére a VPN/tűzfal-piacon a virtuális kapcsolók részesedése eléri a 20 százalékot – A fizikai, hardveres hálózatbiztonsági eszközök mellett a virtualizált szerverkörnyezet előnyei – például a szerverek hordozhatósága, az egyszerű architektúra – kevésbé jutnak kifejezésre. A piaci szereplők számára ezért kulcsfontosságúvá vált, hogy a hypervisor-szállítókkal együttműködve virtuális kapcsolókra épülő hálózatbiztonsági megoldásokat kínáljanak.
A trendnek köszönhetően új szereplők, például hostolt tűzfal-szolgáltatásokat kínáló cégek jelentek meg a piacon, míg a hypervisor-szállítók ezeket a tűzfal-megoldásokat az adatközpont falain kívül, a hálózat peremén is elérhetővé teszik. – Az adatközpontokban alapelvárássá vált, hogy a védelemre szolgáló eszközök mellett a virtualizált szerverkörnyezet minden előnye érvényre jusson, méghozzá anélkül, hogy ez a biztonság rovására menne – mondta Eric Ahlm, a Gartner kutatási igazgatója. – A virtuális tűzfalak kategóriáját mostanáig kizárólag adatközpontokba szánt megoldások alkották, és ez a kisebb szelet a teljes tűzfalpiacon.
A virtuális eszközeikkel a hálózatok peremét is megcélzó szállítók ezért tovább növelhetik a piacot. Megoldásaikkal ugyanis a hálózati tűzfalak felügyelete sokkal könnyebben kihelyezhető egy harmadik félhez, és ez fontos szempont azon szervezetek számára, amelyek menedzselt szolgáltatásokat vesznek igénybe kritikus rendszereik üzemeltetéséhez és védelméhez.
Megelőzés és automatizálás
A mobilitás és a felhőszolgáltatások, a big data és a közösségi alkalmazások mindössze pár év leforgása alatt akkora változást hoztak az üzleti világban, amelynek horderejét nem lehet túlbecsülni. Ma már elvárjuk, hogy az általunk elért információk percre a legfrissebbek, tranzakcióink gyorsak és zökkenőmentesek legyenek, lekérdezéseink és kereséseink azonnali és pontos eredményeket, találatokat adjanak, méghozzá bárhol és bármikor, bármilyen eszközt is használunk. Nem csupán a kapcsolattartás és együttműködés módja változott meg, a technológia új üzleti modelleket hív életre.
Ebben a felgyorsult világban az IT-osztálynak minden eddiginél kevesebb ideje marad arra, hogy megfelelő lépésekkel válaszoljon a változásokra, legyenek azok új üzleti igények vagy biztonsági események. Az üzleti oldal érthető módon hasznosítani kívánja az új technológiákat, miközben az IT-osztály a kellő eszköztámogatás és szaktudás hiányában nem látja át a biztonsági kockázatokat, ezért gyakran korlátozza, vagy egyenesen megakadályozza azok használatát – mutatott rá a HP fehér könyvében (Security for a Faster World, 2012).
A területek közötti érdekütközés az egyik legrosszabb dolog, ami egy vállalaton belül történhet, mivel a versenyképességet és a hatékonyságot éppúgy aláaknázza, mint a biztonságot. A HP szerint a szervezetek olyan nagyvállalati szintű, több, egymással együttműködő eszközből felépülő biztonsági megoldással kerülhetik el ezt a csapdát, amely a behatolás észlelésétől kezdve a hálózati forgalom elemzésén és a gyanús hálózati események kiszűrésén át a szoftverkód sérülékenységeinek feltárásáig és javításáig többrétegű védelmet biztosít.
A szállító Enterprise Security eszközkészletével a vállalati IT-osztály például proaktív módon védheti a kritikus rendszereket és az érzékeny adatokat, automatizálhatja az informatikai biztonsággal összefüggő, időigényes és költséges feladatok jelentős részét, illetve az emberi beavatkozást igénylő válaszadás hatékonyságát is javíthatja, mivel részletes képet kap arról, hogy hol és mi váltotta ki a biztonsági eseményt, a veszély miként hárítható el.
Tanácsok szolgáltatóválasztáshoz
Jóllehet a vezetők elismerik, hogy a felhőszolgáltatások sok tekintetben javíthatják az üzleti folyamatokat és a vállalatok versenyképességét, továbbra is aggódnak a felhőben tárolt adatok, az online szolgáltatásként használt alkalmazások biztonsága miatt – és aggályaik annál erősebbek, minél több üzletileg kritikus funkciót helyez a felhőbe a szervezet.
Az üzleti és informatikai vezetők ugyanakkor maguk is sokat tehetnek annak érdekében, hogy az irányításuk alá tartozó vállalat biztonságos módon használhassa a felhőszolgáltatásokat, mutatott rá testvérlapunk, a Computerworld hongkongi kiadása. Íme néhány tanács, amelyet a hazai szervezeteknek is érdemes fontolóra venniük:
Győződjön meg adatainak biztonságáról – Az adatközpontok kialakítására vonatkozó előírások megkövetelik a szolgáltatóktól, hogy megfelelően gondoskodjanak a felhőkörnyezetben működő alkalmazások és az ott kezelt adatok digitális és fizikai védelméről. A szolgáltatók üzleti érdeke is ezt diktálja, szerződéskötés előtt azonban a felhasználónak tételesen is meg kell bizonyosodnia arról, hogy a kiszemelt szolgáltató valóban eleget tesz minden biztonsági követelménynek.
Szolgáltatónak és ügyfelének közösen kell gondoskodnia az érzékeny – például személyhez köthető – adatok védelméről, a vonatkozó törvénynek megfelelő kezeléséről. A hozzáférési jogosultságok szabályozása és a szabályok betartatása felhasználói és üzemeltetői oldalon egyaránt alapvető.
Szolgáltatónak és ügyfelének is tisztában kell lennie mind a megfelelési követelményekkel, mind az adott országban érvényes adatkezelési törvénnyel – a felhőszolgáltatást biztosító adatközpontra földrajzi elhelyezkedésénél fogva ugyanis eltérő szabályozás vonatkozhat, mint a szolgáltatást használó, valamely más piacon működő szervezetre.
A szolgáltatásként használt alkalmazásnak emellett éppúgy biztonságosnak – például rendszeresen frissítettnek és karbantartottnak – kell lennie, mint a szolgáltatás elérésére használt digitális eszközöknek. Minden hozzáférést, felhasználói és üzemeltetői aktivitást naplózni, dokumentálni kell, mert ez az információ nélkülözhetetlen a biztonsági események és az ezekből eredő vitás kérdések gyors és megnyugtató kezeléséhez.
Készüljön fel a katasztrófahelyzetekre – Győződjön meg róla, hogy leendő szolgáltatója minden tekintetben felkészült az üzletmenet folytonosságának biztosítására és az adatok visszaállítására még abban az esetben is, ha a szolgáltatást működtető adatközpont rendszerei valamilyen okból leállnának. Katasztrófaelhárító megoldások, kidolgozott tervek és dokumentált folyamatok hiányában a szolgáltató nem tudja garantálni a szolgáltatás folyamatosságát, és a végleges adatvesztés kockázata is nagy lehet.
Érdemes átgondolni azt is, hogy a vállalat működése szempontjából mely alkalmazások számítanak abszolút kritikusnak. Első körben legalábbis érdemes olyan alkalmazásokat a felhőbe vinni, amelyek esetleges átmeneti leállását az üzlet tolerálni tudja, és csak később, kellő gyakorlati tudás birtokában továbblépni a kritikus alkalmazások felhőbe helyezésével. A tapasztalatszerzésre például kiváló alkalmat ad a felhőalapú tesztkörnyezetek használata.
Válogassa meg alkalmazottait – Az IT-osztályra olyan szakembereket toborozzon, akik ismerik és értik a biztonsági modelleket és technológiákat, amelyeket a felhőkörnyezetben menedzselniük kell. Ha a szervezet mérete ezt lehetővé teszi, alkalmazzon egy kimondottan a felhőkörnyezetek védelmére szakosodott informatikust is.
Egyre több munkáltató keres olyan IT-szakembereket, akik a technikai hozzáértésen túl kiváló vezetői és kommunikációs képességekkel is rendelkeznek. Ezek az informatikusok ugyanis jobban szót értenek az üzleti vezetőkkel, ami hatékonyabb együttműködést valószínűsít, akár házon belül szolgáltat az IT-osztály, akár külső szolgáltatókkal kell kapcsolatot tartania.
A szervezetnek emellett minden területre és alkalmazottjára kiterjedő biztonsági szabályrendszert is ki kell dolgoznia, amely pontosan meghatározza a felhőalapú rendszerek használatával kapcsolatos jogosultságokat és követelményeket. A szabályok betartásáról éppúgy gondoskodni kell, mint a felhőszolgáltatások használatával gyarapodó tapasztalatok, a bevált gyakorlat vállalati szintű megosztásáról.
Célszerű olyan vállalati kultúrát kialakítani, amely minden alkalmazottat a felhőalapú megoldások használatára, az új technológiák és lehetőségek megismerésére bátorít. Az alkalmazottak így nemcsak az együttműködés, hanem a felhőszolgáltató monitorozása terén is hatékonyabbak lesznek, hamarabb észreveszik, ha a szolgáltatás nem felel meg a biztonsági követelményeknek.
Nem utolsósorban a felhőszolgáltatások használatával járó kockázatokat a szolgáltató és ügyfele, az IT és az üzleti oldal egymással szorosan együttműködve kezelheti a legbiztosabban.