Serverløs databehandling fremhever nye sikkerhetsutfordringer innen hybrid IT

Hva er serverløs arkitektur, og hvorfor betyr det noe for bedriften din? Forrester Researchs hovedanalytiker Jeffrey Hammond snakket med TechRepublic om de grunnleggende prinsippene for serverløs databehandling, og hvordan selskaper bruker det i neste generasjons infrastruktur.

Under den nylige hendelsen i Tech Field Day 16, ertet Forcepoint begynnelsen på det jeg mener er et sårt tiltrengt skifte i hybrid IT-sikkerhet. På den VMware-sponsede FutureNet-konferansen delte en talsperson for Verizon den grunnleggende utfordringen med hybrid IT-sikkerhet: Det er ikke en konsistent konstruksjon å bygge en sikkerhetshåndteringsplan på tvers av den offentlige og private skyen.

Den tradisjonelle tilnærmingen til bedriftssikkerhet er avhengig av nettverkstilgangskontroll (NAC). NAC har bevist en krykke for bedriftssikkerhet i mange år, da sikkerhetsfagfolk løst kunne basere identiteten på noden der trafikken kommer.

Et eksempel er å identifisere all trafikk som kommer fra et spesifikt nettverkssegment som stammer fra regnskapsavdelingen. Sikkerhetsfagfolk vil bruke en brannmurfunksjon for å aktivere trafikk fra segmentet for regnskapsnettverk til en filserver som er vert for organisasjonens økonomi. Den samme brannmurenheten kan begrense trafikken fra ikke-regnskapsmessige nettverkssegmenter.

Praksisen forbedres ved å bruke konsepter som sertifikater som sporer tilbake til identitetstjenester som Active Directory. Imidlertid forblir håndhevingspunktet brannmuren om enn med ytterligere identitetsattributter.

Løft og skift sikkerhet

Opprinnelige nettsky-distribusjoner var enkle - tjenester og datasikkerhetssoner var noe statiske. Foretak kan forvente å kontrollere sikkerheten i utkanten av nettverkene på en rimelig måte. Et eksempel er å flytte utvikling og test til den offentlige skyen. Sikkerhetsfagfolk kan gjenskape sikkerhetsdesignet i den offentlige skyen ved å bruke NAC via vertsbaserte brannmurer eller distribuere virtuelle brannmurer i den offentlige skyinfrastrukturen.

Etter hvert som organisasjoner modnet, kunne de bruke verktøyene for skykontrollplan for å lage NAC-regler. Mens grensesnittet krevde opplæring, var konseptene like. Trafikk fra ett sett med verter var tillatt eller ikke tillatt. Imidlertid representerer skysikkerhetskontrollplanet en av de første tidlige utfordringene innen hybrid IT-sikkerhet - et konsistent driftskontrollplan.

Etter hvert som hybrid IT-tjenester blir mer komplekse, krevde sikkerhetspersonell mer granulær kontroll mellom offentlig sky og privat infrastruktur. Ta det universelle eksempelet på nettet og applikasjonsnivåene i et trelagsapplikasjon som eksempel. Det var komplisert å opprette en brannmurregel som tillater trafikk fra web-tier til applikasjons-tier.

Tidlige private datasenterbrannmurer manglet konteksten til flyktige skysikkerhetsobjekter. Hvis netttrinnet benyttet elastisk beregning, måtte den offentlige skyadministratoren sørge for at automatisk skalerte webservere alle ble opprettet i samme nettverksomfang for den statiske brannmuren for å filtrere trafikken riktig. Nyere generasjons brannmurer integrert med skytjenester kan imidlertid identifisere skyobjekter og tillate filtrering basert på det gamle node-til-node-konseptet.

Innfødte skytjenester

Det er med sky-native tjenester som det tradisjonelle brannmur-konseptet bryter. Ta for eksempel Amazon Web Services (AWS) Lambda. AWS Lambda er en begivenhetsstyrt tjeneste som ikke har et konsept for en beregningsknute utsatt for tjenestekonsumenten - derav betegnelsen serverløs. Lambda introduserer en rynke i den tradisjonelle brannmurbaserte sikkerhetsmodellen. Hvordan filtrerer en brannmur trafikk fra en Lambda-hendelse bestemt til privat datasenter-node?

Jeg får et nysgjerrig blikk når som helst jeg presenterer dette scenariet. Tenk på en Lambda-funksjon som kopierer et bilde skrevet til en S3-funksjon til en lokal Oracle-database. Hvordan skiller en brannmur denne aktiviteten fra annen Lambda-aktivitet?

Cybersecurity-firmaet Forcepoint har kjøpt mange sikkerhetsprodukter det siste året. Inkludert i anskaffelsesrunden deres er både et brannmurprodukt og en cloud access security megler (CASB). CASB-produkter integreres naturlig med skybaserte tjenester som Office 365. Etter hvert som Forcepoint modnes, kan selskapet i teorien integrere brannmuren og CASB-produktene for å gi detaljene i sikkerhetskontrollene som kreves for hybrid IT til ende.

Forcepoint er ikke den eneste leverandøren som ser på denne utfordringen. Jeg har snakket med VMware NSX-teamet, og de er sikre på at NSX er på vei til å tilby en lignende evne. Inntil da må en organisasjon være oppmerksom på applikasjonsdesign som integrerer sky-native tjenester som Lambda med private datasenterressurser. Inntil en løsning på tvers av domener blir tilgjengelig, må organisasjoner bruke de granulære kontrollene som leveres av de offentlige nettskyleverandørene og de nettverksbaserte kontrollene til enterprise-brannmuren for å lage en fullstendig sikker løsning.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com