Когда в 2015 году компания Accenture начала свой путь к облачным технологиям, компания знала, что грядут существенные изменения – и это к лучшему. В первый год компания увеличила свое присутствие в облаке для всех своих бизнес-приложений с 9% до 90% после того, как поняла, что облако может сократить время и усилия, необходимые для проектирования, создания и развертывания приложений в нужном масштабе и на нужной скорости. За первые три года компания Accenture, лауреат премии CSO 50 2023, сэкономила более 20 миллионов долларов.
«Мы использовали подход старой школы, доиндустриальной эпохи, для обеспечения безопасности этих объектов. Вместо создания надлежащего индустриального процесса, который сделал безопасность неотъемлемой частью жизненного цикла разработки от начала до конца, он был очень индивидуальным», — рассказывает CSO директор по информационной безопасности Accenture Крис Буркхардт.
Поначалу этот метод работал, но быстро стал неэффективным, поскольку потребности Accenture в облачной безопасности стали более сложным процессом для тысяч облачных учетных записей с миллионами развертываемых ресурсов. В нем участвовало несколько этапов и люди из разных команд. Проблема еще больше усугубилась мультиоблачной средой Accenture.
Accenture создает собственный пакет безопасности
Буркхардт объясняет, что адаптируемый подход к безопасности был, однако, лучшим вариантом в то время, поскольку не было готовых облачных решений безопасности. «Не было провайдеров, которые предлагали бы пакеты безопасности и уж тем более пакеты межоблачной безопасности, поэтому нам пришлось создать свои собственные», — говорит он. «Мы сделали это, чтобы выжить, и это сработало нормально, но когда наши разработчики выросли и смогли воспользоваться преимуществами гибкости и простоты приобретения виртуальных машин и облака, мы поняли, что нам нужно сделать что-то другое, чтобы идти в ногу с быстрыми темпами наших разработчиков».
Некоторые из возникших конкретных проблем безопасности включали обеспечение того, чтобы только авторизованные пользователи имели доступ и привилегии к определенным данным, объектам, кодам или приложениям. Буркхардт добавил, что хитрость заключалась также в том, чтобы «не отставать от потока объектов и двух или трех уникальных особенностей каждого из тех основных строительных блоков, которые с ними связаны».
Сложности, связанные с облачной безопасностью, стали препятствием для разработчиков Accenture. О безопасности часто думали в последнюю очередь; разработчики думали о безопасности только в конце цикла разработки и воспринимали ее как не самый важный шаг перед запуском продукта. «Мы хотим, чтобы наши разработчики тратили свою творческую энергию на собственные проекты, а не на облачную безопасность; облачная безопасность должна работать только на них», — говорит Буркхардт. «Мы были обеспокоены тем, что собираемся замедлить их работу, поскольку на самом деле мы помогаем нашим разработчикам добиться большего успеха, обеспечивая их безопасность самым простым способом. Мы поняли, что нужно продолжать идти в том же темпе и оставаться конкурентоспособными, для этого нам пришлось обеспечить более быстрое управление».
Буркхардт признает, что это была проблема, которую никто — даже он — не предвидел. «Когда вам больше не нужно планировать приобретение оборудования нужного размера или когда вам больше не нужно думать о капиталовложениях, и вы можете идти в нужном темпе и выбирать любые виртуальные машины, которые вам нужны, любые облачные объекты, которые вам нужны, со скоростью и масштабом, которые вам нужны», — говорит он. «Я думаю, что обеспечение такого масштаба и действительное понимание того, как справиться со всем этим инвентарем, было проблемой, о которой никто толком не догадывался».
Упрощение безопасности за счет централизации
Как только компания осознала, что проблема усугубляется, Accenture изучила потенциальные решения, которые она могла бы принять, чтобы позволить компании оптимизировать весь процесс обеспечения соответствия облачной безопасности и поддерживать его в долгосрочной перспективе. Решением, которое она приняла, стал новый бережливый процесс, включающий партнерство с Palo Alto Networks, одним из долгосрочных партнеров Accenture по выходу на рынок, и внедрение Prisma Cloud.
Компания Accenture разработала виртуальную фабрику управления облаком для поддержки пяти крупнейших мировых поставщиков облачной инфраструктуры и обеспечения надежной инвентаризации; последовательная доставка журналов и оповещений для поддержки обнаружения инцидентов безопасности; и предсказуемые, стабильные и повторяемые процессы сертификации облачных сервисов и реализации мер безопасности.
На фабрике есть пять виртуальных «отделов». Существуют исследования и разработки, которые осуществляют сертификацию услуг, определение контроля, выбор, измерение и постоянную переоценку; проектирования и внедрения контролей; обеспечение качества контролей; доставка и получение интегрируют контроли с инструментами отчетности о соответствии; а служба поддержки клиентов обеспечивает поддержку пользователей после запуска контролей.
«Мы решили централизовать разработку облачного управления, собрать все потребности в одном месте, начать организовывать их таким образом, чтобы мы могли запускать их через фабрику и распространять их, чтобы люди могли использовать общие элементы управления, общую архитектуру, чтобы идти в ногу с инновациями [наших инженеров], находясь на вершине инноваций [основных облачных платформ]», — говорит Буркхардт.
Формирование мер безопасности – Путь Тойоты
Решение об оптимизации мер безопасности соответствует Пути Тойоты (The Toyota Way, TTW) — философии управления, основанной на 14 принципах. Accenture использовала его для определения процессов и инструментов, необходимых для контроля и соблюдения требований облачной безопасности.
«Путь Тойоты — это способ производства. Причина, по которой мы были заинтересованы в производственном подходе, заключалась в том, что нам нужно было индустриализировать наше производство контролей безопасности», — говорит Буркхардт. «Toyota, вероятно, одна из наиболее интересных компаний для изучения с точки зрения качества производства, скорости и масштабов. Мы знали, что нам нужно производить, если хотите, эти контроли в больших масштабах. Мы хотели добиться в этом успеха, поэтому вместо того, чтобы пытаться изобретать велосипед, мы решили, что нам лучше посмотреть на других людей, которые действительно хороши в крупномасштабном производстве».
Буркхардт объясняет, что некоторые из принципов TTW, которые Accenture внедрила на практике, включают обеспечение того, чтобы каждый, кто участвует в процессе обеспечения соответствия облачной безопасности, мог внести свой вклад, чтобы этот процесс постоянно улучшался. Компания создала совет по приему пользователей, где присутствуют разработчики и инженеры, и каждый может высказать свое мнение и предложить улучшения.
Другой принцип, объясняет Буркхардт, заключается в построении прочных отношений вверх и вниз по цепочке поставок от поставщика до конечного потребителя. «Мы потратили много времени, пытаясь понять, как наши разработчики вообще собираются использовать объекты и какими способами мы собираемся работать с ними с точки зрения контроля безопасности», — говорит он. «Мы не хотели быть одной из организаций, которые просто диктуют стандарты безопасности сверху из башни из слоновой кости. Вместо этого мы хотели помочь нашим разработчикам, поэтому мы попытались понять, как они используют облачные объекты и контроли. Точно так же мы хотели сотрудничать с нашими поставщиками, чтобы разработать то, что нам нужно, привлечь их к участию и дать им понять, чего мы пытаемся достичь».
Стандартизация и эффективность также являются двумя другими ключевыми принципами TTW, которые подчеркивает Буркхардт. «Вместо того, чтобы разные команды разработчиков пытались реализовать эти стандарты разными способами, подходящими для их области, мы хотели иметь команду, которая создавала бы контроли, которые будут работать для всех так, как этого ожидают разработчики», — говорит он.
Безопасное проектирование с самого начала
С момента внедрения фабрики облачного управления и Prisma Cloud она обеспечила надежную инвентаризацию; последовательная доставка журналов и оповещений для поддержки обнаружения инцидентов безопасности; и предсказуемые, стабильные и повторяемые процессы сертификации облачных сервисов и реализации мер безопасности.
В результате Accenture более чем удвоила количество сертифицированных услуг каждый месяц, что привело к увеличению контроля над релизами на 84% за один год. Кроме того, время между релизами сократилось на 50%.
Другие заметные преимущества, по мнению Accenture, включают увеличение производительности критически важных облачных средств управления и проверок соответствия, а также оптимизацию бизнес-операций за счет сокращения времени и ресурсов, необходимых для реагирования на инциденты и их устранения. Принятие новой методологии и платформы также поддерживает следующие этапы планов Accenture по автоматизации большинства процессов обеспечения безопасности: от моделирования угроз до контроля развертывания и превентивных мер.
Сегодня разработчики Accenture также могут сосредоточиться на своих основных задачах — решении бизнес-задач и внедрении инноваций, не слишком задумываясь о безопасности. Теперь существует отдельная группа, ответственная за обеспечение соответствия и безопасности всех элементов управления, выпускаемых фабрикой управления облаком.
«[Разработчики] рады, что они смогут быстрее использовать утвержденные облачные объекты, потому что мы можем быстрее их утверждать и быстрее получать нужные контроли», — говорит Буркхардт. «Они счастливы, что им не нужно слишком много думать об интеграции; они знают, что за них это сделают. Просто на одну вещь меньше, о чем им нужно беспокоиться. Работа безопасников — быть в фоновом режиме и быть невидимым, поэтому, пока мы невидимы и не тормозим [наших разработчиков], это лучший комплимент в мире».