Проблемы с безопасностью в облаке

Потеря контроля: почему возникают проблемы с безопасностью в облаке и перерасход средств

Огромное число компаний по всему миру перенесли частично или полностью свои рабочие сервисы в облако. Опросы показывают, что среди ИТ-специалистов высок процент тех, кто не удовлетворен качеством «управляемости» облачной инфраструктуры. Все дело в низком уровне менеджмента, который увеличивает риски для безопасности и приводит к перерасходу средств на облачные ресурсы.

 

4 причины, почему компания теряет контроль над облачной инфраструктурой

Преимущества переноса ИТ-ресурсов компании и рабочих процессов в облако понятны и много раз проговорены: гибкость, масштабируемость, сокращение издержек, простота управления и бюджетирования, удобство развертывания, планирования обновлений и патчей.

Неэффективный менеджмент в облачной среде при всех очевидных плюсах может только добавить головной боли. Простота развертывания может обернуться проблемой, если у организации нет собственной политики управления корпоративной сетью и хороших гайдов.

Самые распространенные риски миграции в облако, как их видят авторы журнала BizTech:

1. ИТ-отдел фирмы перестает полностью видеть картину по безопасности данных и приложений.

Тема кибербезопасности настолько въелась в сознание любого руководителя ИТ-подразделения, что, как правило, в каждой компании действует строгий контроль доступа к вычислительным ресурсам и базам данных. Настраиваются уровни доступа, прописываются правила работы с особо ценной информацией. Облако переворачивает эту историю с ног на голову.

Согласно недавнему отчету Forcepoint, 21% опрошенных специалистов в области кибербезопасности компаний заявили, что критическая информация и интеллектуальная собственность их организаций хранятся в облаке. Лишь 7% из этой группы удовлетворены степенью контроля безопасности. То есть они способны видеть и корректировать процессы работы пользователей с критически важной информацией. Остальные заявили, что видимость в облаке для них «стремится к нулю».

2. Компании вместо того, чтобы сокращать издержки, начинают переплачивать за облачные сервисы.

Простота подключения новых сервисов, пакетов программ, дополнительных ресурсов, как ни странно, в итоге приводит к нерациональному перерасходу средств в облачной среде. Организации начинают тратить больше, чем это им в реальности нужно.

Например, предприятие подключает полезные ресурсы под единичный проект, а потом забывает отключить их в облачном сервисе. Некоторые, как среднестатистический покупатель в супермаркете, хватают с полок то, что на виду: подключают версии ПО «pro» и «plus», когда сотрудникам базовой версии хватило бы за глаза.

3. Пользователи не получают доступ к ресурсам, которые им в действительности необходимы.

Когда внутренние специалисты не видят полной картины, какие сервисы и софт подключаются в облаке, за что компания платит, они не могут обеспечить сотрудникам оптимальный режим доступа к этим ресурсам. Даже если в компании четко следят за тем, что приобретают, часто настройка рабочих процессов вызывает трудности.

Компания с высоким уровнем управления облачной средой должна иметь библиотеку, где пользователи смогут видеть, какие ресурсы им доступны, и запросить временный или постоянный доступ к ним. В организации, где все пущено на самотек, сотрудники даже не будут знать, чем они могут облегчить себе труд, какие сервисы есть в их распоряжении.

4. Вопросы отслеживания юридических аспектов, соответствия законодательству, актуальности лицензий на софт (все, что подразумевает термин «compliance в IT») становятся трудноразрешимой задачей.

Если ИТ-команда не способна полностью управлять ресурсами компании в облаке, ей тяжело отслеживать срок истечения лицензионных соглашений. Ведь они даже не осознают, что подключено, что используется, а что нет. Когда вендоры проводят аудит, результатом становится обычно увесистый счет за использования ПО без лицензии. Иногда случается, что часть серверов давно перенесли в облако, а они все еще числятся рабочими, хотя никто в компании ими не пользуется.

Последние два вопроса тесно завязаны на первые два, и все они сводятся к проблеме умного управления своей облачной средой. Остановимся на задачах обеспечения безопасности в облаке и на том, как избежать перерасходов в этой среде, более подробно.

 

Облачная среда не несет уникальных угроз

Артур Коул из IT Business Edge уверен, что компаниям необходимо принять тот факт, что они никогда не смогут добиться полного прямого контроля своей облачной инфраструктуры. Но в этом нет ничего страшного.

Согласно исследованию Propeller Insights, уровень «управляемости» облачной средой для коммерческих предприятий остается критически низким. Было опрошено порядка 300 специалистов ИТ из разных компаний по всему миру. Почти треть из них (28%) высказали сомнение в безопасности своей облачной инфраструктуры, лишь 25% респондентов сообщили, что их облачная среда «более-менее надежна».

В реальности, безопасность в облаке напрямую зависит от качества менеджмента ИТ-подразделений компании. Никаких новых и уникальных угроз, свойственных только ей, облачная среда не несет.

Все риски безопасности, включая организационные (низкий уровень поддержки и управления по вине вендора или клиента), технические (недостаток мощностей, прямые атаки на сеть, утечки данных) встречаются в любой экосистеме. Они также распространены в локальных сетях, как и в облаке.

Здесь действует, скорее, психологический момент. Специалисты по кибербезопасности в компаниях не всегда понимают, где заканчивается сфера ответственности облачного провайдера и начинается их работа.

Многие организации решают эту проблему развертыванием гибридной сети, которая дает все преимущества облака в локальном окружении. Об этой модели мы уже рассказывали в одной из статей.

 

Как избежать ненужных расходов в облаке

Коммерческие организации продолжают заносить облачным провайдерам миллиарды долларов по всему миру за использование их ресурсов по всем доступным на сегодня моделям (SaaS, PaaS, IaaS, WaaS и прочим). По данными Gartner Group, с 2016 по 2020 год на облачные сервисы бизнес потратит, напрямую или косвенно, более 1 триллиона долларов США.

Компании переходят на облачную модель или гибридную модель управления своими ИТ-ресурсами, потому что это позволяет сокращать издержки: платить лишь за то, чем действительно пользуешься. В реальности 53% пользователей облака все еще видят снижение затрат как главный фокус планирования. То есть облако в этом им не сильно и помогло.

Несмотря на весь хайп вокруг тезиса о том, что облако – это про экономию денег, большое число компаний берут из него больше, чем могут переварить и платят за то, чем на самом деле не пользуются. Согласно исследованию RightScale, опрошенные руководители ИТ-отделов уверены, что их организация впустую расходует на облако в среднем 30% средств. Например, платят за виртуальные машины (VM), которые используются только на 20-40% своих возможностей.

Компании часто закупают больше мощностей, чем это необходимо, в надежде, что это обеспечит не только текущие нужды, но и оптимистичный будущий прирост. Когда присутствует такая самоуспокоенность, никого внутри организации не волнует, какие приложения используются по максимуму, какие простаивают большую часть времени, не востребованы. Но платят за все одинаково.

Для того чтобы избежать перерасходов в облаке, компания должна иметь возможность, когда необходимо, запускать и останавливать инстансы (экземпляры объекта) для оптимального использования вычислительных ресурсов.

Важно видеть картину работы облачных сервисов как можно детальней, регулярно мониторить облачные затраты и степень утилизации ресурсов в отношении к вложенным в них средствам.

Облачные сервисы все еще проходят стадию эволюции. Когда вам говорят, что они позволяют использовать только то, что нужно, и платить только за то, что используется – это, скорее, то, каким облако все хотят видеть. Компании самостоятельно должны озаботиться вопросом, как оптимизировать отдачу от облачных сервисов. Есть мнение, что крупные организации используют облачную инфраструктуру лишь на 10% ее операционных возможностей.

Инструменты облачной автоматизации и мониторинга помогут контролировать сверхиздержки и максимизировать утилизацию облачных сервисов. Существуют специальные боты, которые способны идентифицировать инстансы, которые используются по полной и продолжительное время, и те, которые имеют слабую нагрузку. Они же могут рассчитать интервалы простоя сервисов и приложений. Наверняка, есть вещи, которые используются только на коротких промежутках времени, в конце месяца или года, когда нужно сверстать финансовую отчетность.

Ботам можно задать и более сложный сценарий мониторинга и аналитики. К примеру, Resize Bot (свойство resize указывает, можно или нет изменять размер элемента) способно создать лист всех инстансов, которые использовались менее 5% за текущие 30 дней. Затем ужать их до требуемого значения, чтобы компания платила за фактическую утилизацию ресурса. В среднем при таком подходе экономия может достигать до 50% средств.

Модель «плати лишь за то, что используешь» в отношении облака работает. Но при условии, что компания тщательно мониторит свои облачные ресурсы и знает, какие приложения, в какой момент разумнее отключить.