Naše firma přerostla své současné kanceláře a bude se stěhovat do nového sídla. Zatímco společnost jako celek bude mít více prostoru, datové centrum se zmenší na méně než polovinu současné plochy – cílem vedení je totiž snížit plochu datových center o 60 %.
Trouble Ticket
Co řešit: Provisioning SaaS serverů může vést k problémům se zabezpečením.
Akční plán: Použít přísná pravidla pro zabezpečení a kontrolu aplikací i infrastruktury.
Samozřejmě že klíčem k takové eliminaci datového centra bude cloud a je pochopitelné, že když vstupuje do hry cloud, je potřeba vzít v úvahu aspekty bezpečnosti.
V současné době už máme s cloudovou infrastrukturou docela rozsáhlé zkušenosti. Obvykle používáme pro nové podnikové aplikace externí dodavatele služeb SaaS, naše technické oddělení vytváří demonstrační verze v prostředích veřejného cloudu a dokonce i náš vlastní produkt má podobu nabídky SaaS.
Servery budeme umísťovat do tří typů prostředí. První, jímž je poskytovatel veřejného cloudu jako například Amazon EC2, nebude mít s naší vnitřní sítí žádný vztah. Druhému říkám hybridní model – umísťujeme infrastrukturu (včetně virtuálních serverů) v datovém centru třetí strany a do naší společnosti vytvoříme VPN tunel, čímž vznikne důvěryhodný vztah. Třetí je pak privátní cloud, kde vybudujeme virtuální prostředí v naší vlastní síti.
Kvůli správě, automatizaci, řízení a získání viditelnosti v těchto různých prostředích jsme se podrobněji podívali na několik společností, jež nabízejí komplexní provisioning serverů ve všech třech cloudových prostředích.
Tato část mne ale poněkud děsí. Nechci, aby inženýři používající novou platformu mohli omylem či jinak vytvořit server v DMZ naší společnosti. Ani nechci, aby měli možnost zprovoznit kritické produkční servery na Amazonu. Jsem na naše vystavování se internetu velmi citlivý.
Také se mi nelíbí myšlenka, že bude velká podnikové infrastruktury datového centra přístupná odkudkoliv z internetu. Pokud dnes chce vývojový inženýr vytvořit server, musí se fyzicky nacházet v jedné z našich budov nebo být součástí naší firemní sítě.
Cloud ale tuto oblast natolik otevírá, že takový server může vzniknout například z nedůvěryhodného internetového kiosku v Mexiku. Proto jsem pro tuto iniciativu vyhlásil pět bezpečnostních požadavků.
Požadavky na cloudy
První je, že přístup k nové platformě a všechny v ní uložené citlivé údaje společnosti musí být buď omezeny podle IP adresy, nebo obsahovat nějakou formu dvoufaktorové autentizace. Bez ohledu na to musí být přístup šifrován.
Další požadavek je na silné profily, které omezují a v případě nutnosti vytvoří pracovní postup pro provisioning určitých serverů. Tím by se zabránilo zbytečnému vytvoření DMZ serverů a produkčních serverů a naše duševní vlastnictví by se uchránilo před jejich vystavením méně bezpečným prostředím.
Tyto profily se musí integrovat s infrastrukturou Active Directory naší společnosti tak, že když je zaměstnanec propuštěn, bude jeho přístup k nové platformě zrušen.
Za třetí, všechny servery musí vyhovět našim zásadám pro správu konfigurací, které se týkají oblastí, jako jsou patch management, antivirová ochrana, zakázání nepotřebných služeb či centralizovaná správa.
Čtvrtý požadavek se týká dostupnosti a vyzývá k dostatečné odolnosti vůči chybám a také k vytvoření plánu obnovy po havárii. Předpokládá se, že řešení pro provisioning SaaS se bude provozovat mimo datové centrum vyhovující standardům SAS 70 nebo SSAE 16.
A konečně služba provisioningu musí nabízet robustní reportování a protokolování, aby bylo možné identifikovat zneužití a bezpečnostní problémy. Logy musí být kompatibilní a schopné přenosu do naší infrastruktury pro monitorování událostí.
Toto jsou hlavní řídicí prvky pro infrastrukturu, aplikace a zabezpečení, které musíme při přechodu k nové epoše provisioningu serverů zajistit.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.