Kako efikasno zaštititi PaaS infrastrukturu?

Globalno tržište PaaS (Platform as a Service) usluga u oblaku neprestano raste. Danas je gotovo 20% svih usluga u oblaku isporučeno kroz PaaS model. U 2021. godini, ovo je tržište ostvarilo prihod od više od 55 milijardi dolara. PaaS olakšava kompanijama isporuku aplikacija i usluga, ali uz sve prednosti, rastu i sigurnosni izazovi.

Uz IaaS (Infrastructure as a Service) i SaaS, PaaS je jedan od tri osnovna računarska modela u oblaku. Provajder usluge hostira hardver i softver na vlastitoj infrastrukturi, a korisnicima isporučuje integrisano rešenje ili skup usluga.

Vodeći globalni provajderi javnih PaaS usluga su Amazon (AWS), Microsoft (Azure) i Google (GCP). Osim usluga koje su uključene u IaaS model – virtuelizacija, serveri, skladištenje i networking – PaaS uključuje i druge specijalizovane upravljane usluge poput kontejnera, DevOps pipeline, IAM, relacijske baze, integraciju podataka, data lake, ETL, itd.

PaaS platforma pruža jednostavan razvoj i isporuku mobilnih i web aplikacija, najčešće kroz kontejnere. Infrastrukturne „brige“, kao što su održavanje servera, operativnog sustava i patching, poverene su PaaS provajderu usluge. Kompanija se time rasterećuje od niza poslova održavanja. Omogućeno je fokusiranje na osnovnu delatnost i bržu isporuku IT usluga ili aplikacija.

Ovo ima značajne implikacije za IT sigurnost. Naime, zaštita IT sustava je već ionako dovoljno teška i zahteva mnogo vremena. Stoga ne čudi da se sve više kompanija okreće as-a-service modelu. Takav pristup rasterećuje od vremenski zahtevnih, ali potrebnih poslova poput održavanja osnovne infrastrukture, redovnih provera, ažuriranja, „krpanja“ OS-a i SQL servera, itd.

Zaštita PaaS (i IaaS) cloud infrastrukture?

PaaS i IaaS cloud infrastrukturu u značajnoj meri štite provajderi usluga u oblaku. Ipak, za sigurnost od krađe uskladištenih podataka i kriptovanje odgovoran je korisnik (Shared Responsibility Model). 

Fleksibilnost podizanja novih PaaS servisa koji su raspršeni kod različitih provajdera usluga, ujedno znači i gubitak vidljivosti i kontrole, a time i sigurnosti. IT infrastruktura dodavanjem PaaS i IaaS usluga postaje još složenija.  Zaštita tako ne uključuje samo tradicionalne servere, već i druge tačke poput kontejnera i drugih elemenata platforme.

Zato više nije realno očekivati da će kompanija uspeti da se zaštiti uz poverenje u interne napore. Isplativije rešenje je oslanjanje na proizvođače rešenja isporučenih kao SaaS usluga. One omogućavaju drastičnu automatizaciju i eliminišu potrebno vreme za obradu sigurnosnih upozorenja ili stvarnih incidenata. Fokus IT osoblja se preusmerava sa održavanja osnovne infrastrukture na stvarne rizike i zaštitu podataka.

Zašto poveriti sigurnost posvećenom provajderu usluga?

Sigurnosni izazovi su sve češći i teško je očekivati da će se kompanije odbraniti bez razmatranja barem dve stvari.

Prvo, treba se maksimalno osloniti na rešenja koja donose automatizaciju i informacije o aktivnostima širom IT infrastrukture, uključujući moderne PaaS i IaaS servise. To znači da reaktivne aktivnosti poput prikupljanja logova više nisu dovoljne.

Znanje o tehnikama napada mora biti ugrađeno u samo rešenje. Zaposleni tako ne moraju trošiti vreme na analizu aktivnosti i pitati se je li sistem kompromitovan. Rešenja ove kategorije su Cloud Workload Protection (CWP) i Extended Detection and Response (XDR).

Drugo, ne možemo očekivati da će interni timovi moći da prate sve od održavanja mrežne i serverske infrastrukture te aplikacija do napredne analitike i prevencije napada. Korisno je ovde razmotriti angažman specijalizovanih provajdera sigurnosnih usluga (eng. Managed Security Service Provider ili MSSP). Osim što mogu rasteretiti interne timove, uz korišćenje ranije pomenutih rešenja osiguravaju isplativu i efikasnu uslugu sigurnosti.

Trend Micro isporučuje i CWP i XDR rešenja, odnosno automatizaciju i vidljivost uz podršku široke mreže MSSP partnera.