Bezpieczna chmura

Autor artykułu jest menedżerem ds. Sprzedaży Rozwiązań Enterprise Networking i Security w firmie Cisco Systems Polska; www.cisco.pl

Z punktu widzenia bezpieczeństwa warto skupić się na dwóch aspektach przetwarzania w chmurze. Pierwszy  obejmuje sposób konsumowania danych i usług dostępnych w modelu chmury opartym na zasadzie swobodnego dostępu do danych i usług z dowolnego miejsca, urządzenia oraz w dowolnym czasie. Jest to ogromne wyzwanie, którym zajmiemy się w pierwszej kolejności. Drugi aspekt to wirtualizacja centrów przetwarzania danych i związane z tym zagrożenia wynikające z tego, że tradycyjne pojęcie fizycznie odseparowanej strefy traci rację bytu.

Fragmentaryczne rozwiązania bezpieczeństwa pochodzące sprzed epoki chmury, opierające się na koncepcji tworzenia bezpiecznych, oddzielonych barierami ochronnymi fizycznych stref (perimeter) są rozwiązaniami niewystarczającymi w czasach, kiedy dane znajdują się w ciągłym ruchu pomiędzy urządzeniami użytkowników i aplikacjami. Tradycyjna zapora ogniowa zlokalizowana na fizycznym brzegu sieci naszej organizacji lub centrum przetwarzana danych przestaje wystarczać, gdyż pojęcie fizycznego brzegu sieci lub centrum przetwarzania danych traci sens, kiedy nasze dane lub maszyny wirtualne znajdują się u dostawcy chmury. Choć wciąż jest to ważny element systemu zabezpieczeń, którego nie można pomijać, to zamknięcie systemu IT w fortecy otoczonej „cyfrową fosą” z jednym pilnie strzeżonym punktem dostępu nie odpowiada faktycznym potrzebom organizacji, w których użytkownicy chcą uzyskiwać dostęp do danych i aplikacji, które są im potrzebne w pracy z dowolnego urządzenia, z dowolnego miejsca i o dowolnym czasie oraz w sposób intuicyjny i prosty – niewymagający żadnej wiedzy informatycznej.

Współczesne organizacje stają się organizacjami „bez granic”,  w których występuje wiele punktów styku i wymiany informacji pomiędzy systemem (siecią) a otoczeniem. Dodatkowo punkty te tworzone są dynamicznie przez samych użytkowników bez wiedzy działów IT, przez 24 godziny na dobę, np. poprzez nowe aplikacje czy usługi, z których mogą korzystać zdalnie pracownicy lub poprzez dołączanie nowych, prywatnych urządzeń mobilnych (BYOD – Bring your own device).

Jak skutecznie zabezpieczyć takie środowisko? Wydaje się, że kluczem jest kompleksowy wgląd w to „kto”, „co”, „w jakim czasie”, „do jakich zasobów„ oraz „z którego punktu w sieci” chce uzyskać dostęp do naszych zasobów – również do tych przechowywanych w chmurze. Wydaje się, że w obecnych czasach strategia ograniczania i eliminowania punktów wymiany informacji powinna być zastąpiona strategią zaufania, kontroli i integralności wszystkich elementów systemu.  

Widoczność (wgląd) w sieć i system IT staje się więc kluczowym elementem nowoczesnej architektury bezpieczeństwa. Kolejnym zagadnieniem jest kontrola i wymuszenie tego, co ten „ktoś” lub to „coś” może w sieci zrobić i do jakich zasobów może mieć dostęp w oparciu o to kim jest ten „ktoś” lub czym jest to „coś” i dostęp do jakich zasobów jest mu przypisany w naszej polityce bezpieczeństwa. Innymi słowy, chodzi tutaj o tożsamość i kontekst pracy (czas, punkt podłączenia, urządzenie, aplikacja, bieżąca kondycja bezpieczeństwa), które są podstawą do ograniczenia lub rozszerzenia dostępu.

Zatem widoczność, kontrola i wymuszenie polityki w oparciu o tożsamość i kontekst pracy to składniki nowoczesnej architektury bezpieczeństwa, ale czy czegoś tu jeszcze nie brakuje? Jak zapewnić integralność (w sensie bezpieczeństwa) całości systemu. Integralność bezpieczeństwa jest dość łatwa do uzyskania w odniesieniu do każdego z indywidualnych elementów systemu (np. router, przełącznik, serwer, zapora ogniowa) ale czy daje to pewność, że cały system ją zachowuje. I tutaj pojawia się kolejny ważny element, a mianowicie efektywne zarządzanie systemem i współpracą pomiędzy jego elementami oraz monitoring. Przykładem architektury zbudowanej na podstawie widoczności, kontroli, wymuszaniu oraz efektywnym zarządzaniu jest architektura Cisco TrustSec (www.cisco.com/go/trustsec).

Wróćmy do zagadnienia organizacji centrów przetwarzania danych – obecnie standardem dla takich rozwiązań jest wirtualizacja centrów przetwarzania danych dotycząca zarówno chmury prywatnej jak i publicznej. Czasy separacji fizycznej infrastruktury stopniowo odchodzą do historii, ponieważ architektura współczesnych centrów przetwarzania danych oparta jest na wirtualizacji. Wirtualizacja to nic innego jak współdzielenie fizycznych komponentów naszej infrastruktury obliczeniowej (serwery, pamięć masowe) oraz teletransmisyjnej (sieć) przez różne podmioty.

Współdzielenie i brak separacji fizycznej zawsze wywołuje wątpliwości osób odpowiedzialnych za bezpieczeństwo informacji. Wirtualizacja to większa elastyczność i efektywność wykorzystania infrastruktury i świadczenia usług, jednak elastyczność i efektywność stoją w sprzeczności z bezpieczeństwem. Wirtualizacja centrów przetwarzania danych zmusza więc do zmiany sposobu myślenia o sposobie zabezpieczania takich środowisk. Fizyczne punkty wymuszenia i kontroli bezpieczeństwa musimy zamienić na logiczne (wirtualne) punkty bezpieczeństwa. W praktyce oznacza to, że komponenty bezpieczeństwa, które dotychczas stosowaliśmy do realizacji na poziomie fizycznych segmentów sieci (zapory ogniowe, mechanizmy bezpieczeństwa w sieci LAN, IPS-y, routery do szyfrowania danych) musimy przenieść w świat wirtualny. Logiczna segmentacja to pierwszy i najważniejszy element bezpieczeństwa w środowisku nowoczesnego centrum przetwarzania danych.

Kolejny element bezpieczeństwa to automatyzacja procesów – bezpieczeństwo rozwiązań opartych o chmurę musi „rozumieć” i wpasowywać się w środowisko w pełni zautomatyzowane, gdzie maszyny wirtualne tworzone są dynamicznie i mogą przemieszczać się pomiędzy fizycznymi serwerami oraz fizycznymi centrami danych. Oprócz tego cały proces zabezpieczenia takich środowisk musi również być zautomatyzowany i wbudowany w narzędzia do zarządzania infrastrukturą chmury.

Innym aspektem bezpieczeństwa jest skalowalność i wydajność komponentów do realizacji zabezpieczeń. W przypadku centrów przetwarzania danych należy brać pod uwagę rozwiązania bardzo wysokiej wydajności przystosowane do pracy w środowisku o bardzo dużej gęstości maszyn wirtualnych i połączeń kierowanych do nich. 

Segmentacja w środowisku centrum przetwarzania danych wciąż pozostaje bardzo ważnym elementem systemu zabezpieczeń. W środowisku „multitenant” gdy z centrum przetwarzania danych korzysta wiele podmiotów (tenantów), którymi mogą być różne firmy lub działy jednej firmy, konieczna jest segmentacja na poziomie logicznym w relacji poziomej nazywanej również EW (East-West). Jeśli chodzi o firmę Cisco to dla takiego środowiska dostępne są dwa rozwiązania: ASA 1000V Virtual Firewall dla ochrony „podmiotów” (tenantów) w środowisku multitenant oraz VSG dla kontroli stref bezpieczeństwa tj. separacji aplikacji lub maszyn wirtualnych w środowisku dedykowanym dla jednego podmiotu.

Oczywiście cały czas należy zapewnić właściwą kontrolę i inspekcję całego ruchu przychodzącego i wychodzącego z/do dostawcy chmury, czyli w relacji pionowej NS (North-South). Dla tego typu zabezpieczeń w wypadku firmy Cisco dostępne są dwa produkty – Cisco ASA 5585-X oraz CiscoCatalyst6500ASA FW Module.

Rosnąca złożoność i dynamika zwirtualizowanych środowisk centrów przetwarzania danych wymusza poszukiwanie metod segmentacji, które pracować będą niezależnie od topologii sieci i lokalizacji maszyn wirtualnych. Tutaj wykorzystuje się segmentację kontekstową, która polega na znakowaniu danych generowanych na brzegu sieci, w miejscu gdzie do sieci przedsiębiorstwa podłącza się użytkownik końcowy, znacznikami SGT (Secure Group Tag) a następnie wykorzystanie tych znaczników na brzegu wirtualnego centrum przetwarzania danych do wyegzekwowania zasad dostępu do danych. Rozwiązanie takie jest niezależne od struktury sieci i środowiska dostawcy chmury, charakteryzuje się bardzo dużą skalowalnością i umożliwia praktyczne wdrożenia polityki bezpieczeństwa opartej o funkcje jakie użytkownicy pełnią w organizacji.

W tradycyjnym modelu dostępu do danych hostowanych u dostawcy centrum przetwarzania danych komunikacja z hostowanymi zasobami była prosta – wystarczyło postawić na brzegu takiego środowiska routery i poprzez sieć MPLS (Multiprotocol Label Switching) lub szyfrowany VPN (Virtual Private Network, wirtualna sieć prywatna) dostać się do zasobów zlokalizowanych w centrum danych. W środowisku zwirtualizowanym konieczne jest zastąpienie komponentów fizycznych komponentami wirtualnymi.

Usługobiorca dzierżawi od usługodawcy moc obliczeniową w postaci maszyn wirtualnych i w takim środowisku musi odtworzyć zasady komunikacji z np. placówek firmy do aplikacji i danych zlokalizowanych u dostawcy chmury. Przykładowym urządzeniem rozwiązującym problem bezpiecznej komunikacji z placówek firmy do zasobów w chmurze jest router wirtualny Cisco CSR1000V. Jest to w pełni funkcjonalny router pracujący z systemem Cisco IOS-XE w postaci paczki oprogramowania uruchamianej, jako maszyna wirtualna w środowisku hypervisora.

Jedynym z najbardziej typowych zastosowań tego routera jest funkcja wirtualnej bramy dostępowej do wirtualnego CPD (Centrum Przetwarzania Danych) z zachowaniem tych samych zasad bezpieczeństwa jak w przypadku fizycznego CPD czyli np. zaszyfrowanie danych, filtry ruchu, ochrona przed atakami DoS (Denial of Service), uwierzytelnienie dostępu. Co więcej urządzenie umożliwia również „wprowadzenie” prywatnej sieci MPLS do wnętrza chmury dostawcy. Innym przykładem jest rozszerzenie prywatnej chmury zlokalizowanej w CPD przedsiębiorstwa do CPD dostawcy chmury publicznej.

Realizacja bezpiecznego środowiska w środowisku chmury wymaga zastosowania przez przedsiębiorstwo nowego podejścia opartego o wirtualne komponenty bezpieczeństwa takie jak zapory ogniowe do segmentacji logicznej sieci dla ruchu pionowego i poziomego oraz zastosowanie wirtualnych routerów, które zagwarantują spójność rozwiązań zastosowanych w sieci WAN (MPLS, VPN) przedsiębiorstwa z rozwiązaniami hostowanymi w chmurze obliczeniowej.

Rozwiązaniem, które realizuje całościowe bezpieczeństwo w środowisku multitenant jest np. architektura Cisco Cloud Security. Opiera się ona na znanych i sprawdzonych komponentach bezpieczeństwa takich jak zapory ogniowe, bramy bezpieczeństwa, przełączniki i routery, które przeniesione zostają do środowiska wirtualnego i „rozumieją” procesy zachodzące na poziomie takiego środowiska np. przenoszenie maszyn wirtualnych itd.