Zagrożenia związane z cyberbezpieczeństwem stają się jednym z najważniejszych tematów w każdej organizacji. Świadomym tego faktu jest z pewnością Google, które podczas swojego dorocznego Google Cloud Security Summit zaprezentowało aktualne oraz przyszłe technologie wykorzystywane przez swoje platformy do zapewnienia bezpieczeństwa firmom i rządom na całym świecie. Głównymi tematami było: zabezpieczanie łańcucha dostaw oprogramowania, przyspieszanie adopcji architektury Zero Trust, ulepszanie zarządzania chmurą i przekształcanie analiz i operacji związanych z bezpieczeństwem.
Zabezpieczenie łańcucha dostaw oprogramowania
Łatanie luk w zabezpieczeniach i instalacja poprawek oprogramowania open source często przypomina grę w kasynie – naprawiasz jedną rzecz, a dwie kolejne przestają działać. Ten fakt pomaga zrozumieć badania, które pokazują, że rok do roku obserwuje się wzrost liczby cyberataków wymierzonych w dostawców oprogramowania typu open source (OSS) o 650%.
Rządy na całym świecie również zauważyły, że infrastruktura krytyczna, taka jak szpitale i elektrownie, stanęła w obliczu gwałtownego wzrostu cyberataków wykorzystujących szeroko rozpowszechniony publiczny kod. W Stanach Zjednoczonych i na całym świecie rządy odpowiedziały nowymi wymaganiami i normami, szczególnie skoncentrowanymi na cyklu życia oprogramowania i łańcuchu dostaw.
W celu wzmocnienia łańcucha dostaw oprogramowania OSS Google ogłasza nową ofertę Google Cloud – usługę Assured Open Source Software. Usługa Assured OSS umożliwia użytkownikom oprogramowania typu open source w przedsiębiorstwach i sektorze publicznym łatwe włączenie w swój łańcuch tych samych pakietów OSS, których używa Google. Pakiety nadzorowane przez usługę Assured OSS:
– są regularnie skanowane, analizowane i testowane pod kątem luk w zabezpieczeniach
– mają odpowiednie wzbogacone metadane zawierające dane analizy artefaktów
– są zbudowane przy użyciu Cloud Build potwierdzającej zgodność z SLSA
– są podpisane cyfrowo przez Google
– są dystrybuowane z rejestru artefaktów zabezpieczonego i chronionego przez Google
Usługa Assured OSS pomoże organizacjom zmniejszyć potrzebę opracowywania, utrzymywania i obsługi złożonego procesu bezpiecznego zarządzania zależnościami typu open source. System ten ma wejść w życie w trzecim kwartale 2022 roku.
Architektura Zero-Trust
Pilna potrzeba przyjęcia architektury Zero Trust w organizacjach wzrosła między innymi dzięki strategi federalnej zmierzającej do przejścia rządu USA w kierunku architektury Zero Trust. Microsoft oraz Google od prawie dekady promują tą koncepcję wdrażając coraz to nowe technologie ułatwiające integracje środowiska produkcyjnego z modelem Zero Trust. O podstawowych założeniach tej strategii na przykładzie Microsoft pisaliśmy już w 2019 roku.
Jeśli chodzi o Google, to w ramach Zero Trust oferowana jest usługa chmurowa o nazwie BeyondCorp Enterprise, a nowością dostępną w trzecim kwartale tego roku ma być BeyondCorp Enterprise Essentials.
Usługa ta łączy kontekstową kontrolę dostępu do aplikacji SaaS lub innych aplikacji połączonych za pośrednictwem SAML z funkcjami ochrony przed zagrożeniami. Chodzi tutaj też o ochronę danych taką jak zapobieganie wyciekom, ochronę przed złośliwym oprogramowaniem i phishingiem oraz filtrowanie adresów URL zintegrowane z przeglądarką Chrome. Ma to być prosty i skuteczny sposób ochrony pracowników, w szczególności większej liczby użytkowników, którzy korzystają z modelu „Bring-Your-Own-Device”. Administratorzy mogą również korzystać z pulpitów nawigacyjnych Chrome, aby uzyskać wgląd w niebezpieczną aktywność użytkowników na niezarządzanych urządzeniach.
Oprócz tego Google informuje, że równolegle pojawi się konektor dla aplikacji oraz urządzeń klienckich, który posłuży do integracji z innymi chmurami jak Azure czy AWS. Wszystko to bez konieczności ustawiania tuneli VPN czy bezpośrednich przepustów na zaporze sieciowej. Pozwoli to rozległym organizacjom na wdrażanie jednego globalnego modelu Zero-Trust spójnego we wszystkich platformach. Wspierane będą tutaj nie tylko aplikacje udostępnione po HTTPS/HTTP, ale wszystkie usługi instalowane w środowiskach on-prem czy chmurach innych dostawców.
Podsumowanie
Zachęcamy do zapoznania się z całą agendą Google Cloud Security Summit, które odbyło się w ubiegłym miesiącu. Można oczywiście zarejestrować się na wydarzenie i obejrzeć wszystkie nagrania na żądanie. Samo bezpieczeństwo chmurowe Google skierowane do dużych organizacji (klasy enterprise) mocno rozwija się w ostatnich latach i można traktować je już na równi z Azure czy AWS pod kątem wyboru odpowiednio zabezpieczonej platformy.