Awarie bezpieczeństwa cybernetycznego opartego na chmurze firmy Zscaler pokazują problem redundancji

Kiedy awaria ma wpływ na ofertę oprogramowania jako usługi zapewniającą cyberbezpieczeństwo, może to spowodować poważne zakłócenia, zwłaszcza jeśli usługa chroni krytyczne dla biznesu części infrastruktury firmy. 

W ciągu ostatnich dwóch tygodni np. Zaniki w firmie Zscaler świadczącej usługi cyberbezpieczeństwa spowodowały opóźnienia, utratę pakietów i awarie w niektórych firmach. 25 października wystąpił problem z przekazywaniem ruchu powodował zakłócenia oraz utratę pakietów u niektórych regionalnych klientów dostawcy cyberbezpieczeństwa. W zeszłym tygodniu firma ostrzegam klientów że mogą doświadczyć utraty pakietów w wyniku uszkodzenia kabla transoceanicznego w pobliżu Francji.

Niestety wiele firm nie było na to przygotowanych. „Dziś rano wyłączyłem całą firmę na kilka godzin” – powiedział jeden z inżynierów ds. bezpieczeństwa IT powiedział na Twitterze wpływu na jego firmę.

Chociaż awarie dowolnej usługi w chmurze mogą mieć dramatyczny wpływ na działalność biznesową – awaria Amazon Web Services w grudniu 2021 r. na wiele godzin usuwał połacie siecina przykład zabezpieczenia cybernetyczne często zajmują uprzywilejowaną pozycję w infrastrukturze firmy, przez co awaria ma większy wpływ. Aplikacja biznesowa typu oprogramowanie jako usługa (SaaS) zazwyczaj wpływa tylko na własną bazę użytkowników, podczas gdy usługi SaaS w zakresie cyberbezpieczeństwa często mogą mieć wpływ na różne aplikacje.

Rzecznik Zscaler podkreślił, że skutki przestojów były ograniczone i dotyczyły tylko jednej z pięciu chmur i tylko jednej oferty usług firmy. Ponadto „tylko niewielka część” klientów doświadczyła pogorszenia jakości usług. Sytuacja pokazuje jednak, że firmy muszą być przygotowane na takie awarie, nawet jeśli są rzadkie, mówi Merritt Maxim, wiceprezes i dyrektor ds. badań ds. bezpieczeństwa i ryzyka w Forrester Research.

Zscaler „nie jest pierwszą i nie ostatnią awarią chmury” – mówi, dodając: „Produkty i usługi w chmurze niekoniecznie są bardziej podatne na awarie niż ich odpowiedniki lokalne, [ale] problem często polega na tym, że z powodu takiego postrzegania organizacje nie oceniają właściwie wszystkich możliwych przyczyn awarii chmury i nie opracowują planów łagodzenia skutków w odpowiedzi na te zagrożenia”.

Rzeczywiście, incydenty związane z rozwiązaniem Zscaler nie są wyjątkowe. W październiku 2020 r awaria miała wpływ na usługę Microsoft Azure AD, firmową usługę zarządzania tożsamością i dostępem SaaS, blokującą firmom i użytkownikom łączenie się z ich aplikacjami. Rok później A sześciogodzinna awaria Facebooka zablokowało wielu użytkowników — w tym niektóre firmy — z korzystania z firmowej technologii jednokrotnego logowania i spowalniały wiele witryn internetowych, gdy nie działały skrypty korzystające z usług firmy.

Awarie chmury są coraz rzadsze, ale znaczące

Ogólnie rzecz biorąc, liczba znaczących przerw w świadczeniu usług w chmurze spadła – 60% operatorów twierdzi, że mieli awarie w ciągu ostatnich trzech lat, w porównaniu z 78% w 2020 r., według danych wyniki badania opublikowane przez Uptime Institute.

W porównaniu z lokalnym oprogramowaniem i urządzeniami zapewniającymi cyberbezpieczeństwo usługi oparte na chmurze są mimo to bardziej niezawodne, mówi Jim Reavis, dyrektor generalny Cloud Security Alliance, organizacji branżowej.

„Dojrzali dostawcy usług w chmurze, w tym ci oferujący rozwiązania w zakresie cyberbezpieczeństwa, działają podobnie do przedsiębiorstw użyteczności publicznej, które dostarczają usługi na żądanie dużym bazom klientów” – mówi. „Zazwyczaj są bardzo niezawodne, dlatego też ich sporadyczne awarie, np. w obiektach użyteczności publicznej, są godne uwagi”.

Z tego powodu wyróżniają się dwa zakłócenia, którym uległ Zscaler, a także brak przygotowania firm na nie.

„Wszystko będzie się działo, dopóki zaangażowani będą ludzie i przyroda” – mówi Misha Kuperman, starszy wiceprezes ds. operacji w chmurze i ekosystemu w firmie Zscaler. Dodaje: „Dzięki odpowiednim narzędziom możemy zapewnić większą niezawodność i obejść takie incydenty, jak to robiliśmy przy wielu okazjach”.

Wbudowanie nadmiarowości zabezpieczeń w chmurze

Firmy powinny również upewnić się, że zdają sobie sprawę, że bezpieczeństwo i niezawodność chmury to model wspólnej odpowiedzialności. Dostawcy usług w chmurze – w tym usługi cyberbezpieczeństwa oparte na chmurze – są odpowiedzialni za swoją infrastrukturę, ale firmy powinny zaprojektować swoją infrastrukturę chmurową lub hybrydową tak, aby radziła sobie z awariami.

Firmy, które znają architekturę swojego dostawcy usług w chmurze, będą lepiej przygotowane na awarie, mówi Reavis z CSA.

„Ważne jest, aby zrozumieć, w jaki sposób dostawca osiąga redundancję w swojej architekturze, procedurach operacyjnych, w tym aktualizacjach oprogramowania, oraz zasięgu globalnych centrów danych” – mówi. „Klient powinien następnie zrozumieć, w jaki sposób nadmiarowość spełnia jego własne wymagania w zakresie ryzyka i czy jego własna architektura w pełni wykorzystuje możliwości redundancji”.

Klienci biznesowi powinni również regularnie dokonywać ponownej oceny swojego krajobrazu technologicznego i profilu ryzyka. Choć awarie sieci i zasilania – a także klęski żywiołowe – były głównym tematem dyskusji na temat odporności, obecnie dyskusje częściej dominują złośliwe zagrożenia, takie jak oprogramowanie ransomware i ataki typu „odmowa usługi” – mówi Maxim z firmy Forrester.

„Zrozumienie zmieniającego się ryzyka i jego wpływu na działalność gospodarczą jest niezbędne do ustalenia priorytetów ryzyk, które należy złagodzić” – mówi. Analiza wpływu na działalność biznesową przeprowadzona z wewnętrznymi zespołami „umożliwia utworzenie poziomów krytyczności aplikacji, które pomogą określić, czy domyślna odporność usług w chmurze jest wystarczająca – lub czy potrzebujesz bardziej niezawodnego rozwiązania”.