Όσο η εξάρτηση των οργανισμών από την τεχνολογία μεγαλώνει, η πολυπλοκότητα των IT υποδομών αυξάνεται με ταχείς ρυθμούς. Το πέρασμα σε υβριδικά ή multi-cloud μοντέλα δεν είναι απλώς ένα τεχνολογικό βήμα, αλλά μια ευρύτερη στρατηγική επιλογή με άμεσες επιπτώσεις στην ασφάλεια, τη διακυβέρνηση και τον επιχειρησιακό σχεδιασμό. Το θέμα λοιπόν της ασφάλειας σε αυτά τα περιβάλλοντα δε μπορεί να αποτελεί μεμονωμένη δραστηριότητα αλλά χρειάζεται να ενσωματώνεται, από το σχεδιασμό ακόμα, στον πυρήνα της αρχιτεκτονικής και να παρακολουθείται αδιάλειπτα και σε πραγματικό χρόνο.
Σωκράτης Κελέσογλου
SOC Manager, Space Hellas
Στο παρόν άρθρο μοιραζόμαστε την εμπειρία μας από την υποστήριξη ενός μεγάλου οργανισμού, ο οποίος προχώρησε στην υλοποίηση κατανεμημένης υποδομής σε πολλαπλά περιβάλλοντα. Η προσέγγιση που υιοθετήθηκε συνδύασε τοπικές (on-prem) και cloud υποδομές, με στόχο την επιχειρησιακή συνέχεια, την ευελιξία, αλλά και την ενισχυμένη ασφάλεια.
Ετερογενής αρχιτεκτονική με ενιαία προσέγγιση ασφάλειας
Η υποδομή του οργανισμού κατανέμεται σε τρεις βασικούς άξονες: σε public cloud πλατφόρμα με ~120 VMs (με γεωγραφικό πλεονασμό για διαθεσιμότητα), σε δεύτερη public cloud υποδομή με ~20 VMs που υποστηρίζουν ειδικά workloads, και τέλος σε on-prem υποδομή ~70–80 VMs για authentication, core enterprise applications και security infrastructure.
Η αρχική απόφαση για διαχωρισμό βασίστηκε όχι μόνο σε τεχνικά κριτήρια, αλλά και σε στρατηγικούς στόχους για διαθεσιμότητα, επιδόσεις αλλά και εγγύτητα με τα endpoints.
Από πλευράς ασφάλειας, αυτή η κατανομή αυξάνει την επιφάνεια επίθεσης (attack surface). Για να υπάρξει συνοχή, η αρχιτεκτονική σχεδιάστηκε με κοινό domain, χρήση Azure AD Sync για ενοποιημένη ταυτοποίηση και VPN συνδέσεις μεταξύ των υποδομών ενώ παράλληλα, αξιοποιήθηκαν εργαλεία όπως το Azure Arc και το vCenter για ενοποιημένη διαχείριση.
Η ασφάλεια ενισχύθηκε περαιτέρω με την προσθήκη XDR, intelligent proxy και CNAPP. Μέσω αυτών των λύσεων, ο οργανισμός απέκτησε διαρκή παρακολούθηση, προστασία cloud workloads, και έλεγχο συμμόρφωσης σε όλα τα επίπεδα. Η παρακολούθηση και η απόκριση σε περιστατικά γίνεται μέσω του SOC που παρέχουμε ως πάροχος υπηρεσιών SOCaaS, ενσωματώνοντας alerting, playbooks και συνεχή αξιολόγηση κινδύνου.
Τεχνικές προκλήσεις και πρακτικές παρατηρήσεις
Όπως συμβαίνει σε κάθε σύνθετη υποδομή, η υλοποίηση ανέδειξε ορισμένες πρακτικές δυσκολίες. Παρατηρήθηκε, για παράδειγμα, αυξημένο latency σε file-based workloads στο cloud, κυρίως σε περιπτώσεις με μεγάλο αριθμό μικρών αρχείων. Το γεγονός αυτό παραμένει μια γνωστή δυσκολία και μία διαχρονική πρόκληση των υπηρεσιών αποθήκευσης των Public Cloud Providers, ειδικά όταν οι απαιτήσεις και οι ανάγκες καθορίζονται από IO-bound περιορισμούς.
Άλλο σημαντικό εύρημα ήταν η απόδοση των virtual appliances στο cloud. Ενώ οι κατασκευαστές παρέχουν specs, στην πράξη η ίδια συσκευή απαιτεί περισσότερους πόρους για να αποδώσει ικανοποιητικά στο cloud σε σχέση με on-prem περιβάλλον. Αυτό οφείλεται σε πολλούς παράγοντες όπως το πιθανό overprovisioning στην κατανομή πόρων από τους Παρόχους, τα abstractions των hypervisors που χρησιμοποιούν και άλλα. Σε κάποιες περιπτώσεις απαιτήθηκε εμπειρική ρύθμιση και oversizing, κάτι που πρέπει να λαμβάνεται υπόψη και από πλευράς κόστους.
Διακυβέρνηση και συνεργασία ομάδων
Η τεχνική συνοχή από μόνη της δεν είναι αρκετή. Η ασφάλεια οφείλει να υποστηρίζεται από διαδικασίες, και στον συγκεκριμένο οργανισμό αυτό επιτυγχάνεται μέσω πλαισίου ITSM, με έλεγχο, έγκριση και τεκμηρίωση κάθε αλλαγής. Η συνεργασία μεταξύ IT, GRC και Security ομάδων είναι καθοριστική καθώς αποτρέπει αστοχίες, διασφαλίζει λογοδοσία και μειώνει τον χρόνο απόκρισης σε περιστατικά.
Η εμπειρία δείχνει ότι τα εργαλεία είναι απαραίτητα, αλλά όχι από μόνα τους αρκετά. Αυτό που τελικά διαμορφώνει την ανθεκτικότητα μιας υποδομής είναι η διαρκής αξιολόγηση και κυρίως η πειθαρχία στον τρόπο με τον οποίο εφαρμόζονται οι πολιτικές ασφάλειας.
Προοπτικές ενίσχυσης ασφάλειας και κεντρικής διαχείρισης
Παρά τη συνοχή της υλοποίησης, ορισμένες περιοχές μπορούν να ενισχυθούν περαιτέρω. Η ενοποίηση των πολιτικών πρόσβασης στα διαφορετικά περιβάλλοντα θα ωφεληθεί από ένα ενιαίο IAM μοντέλο. Η προσθήκη εργαλείων attack surface management (ASM) και ανίχνευσης αλλαγών (drift detection) μπορεί να ενισχύσει τον εντοπισμό κινδύνων σε πραγματικό χρόνο. Επιπλέον, η καλύτερη διασύνδεση μεταξύ των διαδικασιών αλλαγής (ITSM) και των τεχνικών ελέγχων της υποδομής θα επιτρέψει πιο αποτελεσματική παρακολούθηση της συμμόρφωσης, μειώνοντας τον λειτουργικό κίνδυνο σε σύνθετα και ρυθμιζόμενα περιβάλλοντα.
Αντί επιλόγου: Η ασφάλεια ως διαδικασία και όχι ως προϊόν
Η μεγαλύτερη διαπίστωση δεν αφορά στην τεχνολογία, αλλά στον τρόπο σκέψης. Μια hybrid ή multi-cloud υποδομή χρειάζεται συνεχή παρακολούθηση, τακτική αναθεώρηση πολιτικών και σαφή ρόλο μεταξύ ομάδων IT, GRC και Security. Καλά τα εργαλεία όμως η συνοχή, η διαλειτουργικότητα και η πειθαρχία στη διαχείριση είναι επίσης κρίσιμοι παράγοντες.
Στο δικό μας πλαίσιο, αυτό επιτυγχάνεται μέσω change management που βασίζεται σε ITSM διαδικασίες βάσει των οποίων κάθε αλλαγή τεκμηριώνεται, εγκρίνεται και επανεξετάζεται. Κάθε στοιχείο της υποδομής παρακολουθείται και κάθε συμβάν αξιολογείται βάσει πλαισίου και κινδύνου, όχι μεμονωμένα.
Η υλοποίηση αυτή δεν αποτελεί μόνο παράδειγμα αρχιτεκτονικής, αλλά παράδειγμα συνδυασμού τεχνικής υλοποίησης και συνεχούς επιχειρησιακής επίγνωσης. Η ασφάλεια, τελικά, δεν είναι εργαλείο αλλά πρακτική και οι οργανισμοί που την αντιμετωπίζουν έτσι, θα έχουν πλεονέκτημα στην πράξη, όχι μόνο στη θεωρία.
