Автоматизация искусственного интеллекта и ИТ бросает вызов традиционным концепциям зонирования сети. Узнайте, почему.

Зонирование сети — это фундаментальный превентивный контроль безопасности, который уменьшает поверхность атаки компании и препятствует горизонтальному перемещению. Это усложняет жизнь злоумышленникам, поскольку они не могут напрямую получить доступ ко всем виртуальным машинам (ВМ) из Интернета. И даже если они попадут в сеть компании, они не смогут быстро переключаться с одной виртуальной машины на другую, если межсетевые экраны и зоны ограничивают подключение и трафик внутренней сети. Однако рост автоматизации ИИ и ИТ бросает вызов одному фундаментальному принципу зонирования: этапам. Адекватна ли дифференциация между зонами производства, подготовки к производству и интеграции, тестирования и разработки? Какие адаптации принесут 2020-е годы?

Как этапы влияют на сети и сетевую безопасность

Зона разработки, зона тестирования, зона подготовки к производству и производственная зона — гибкие методологии проектирования заменили старую добрую каскадную модель, но этапы сохранились (рис. 1). Некоторые ИТ-отделы имеют три (или только два) этапа, некоторые говорят об этапах интеграционного или модульного тестирования. Цели те же:

• Предотвращение «экспериментов на производстве» по ошибке или намеренное исправление проблем на производстве без предварительного тестирования на тестовой установке. Для многих компаний важна стабильность работы приложений, поэтому непроверенные изменения в производстве недопустимы. Этапы позволяют реализовать этот принцип и обеспечивают его соблюдение.
• Ограничение машин, хранящих конфиденциальные данные (например, путем разрешения только синтетических или анонимных данных на этапах разработки и модульного тестирования).
• Препятствование поперечному перемещению, особенно от зачастую не совсем защищенных серверов разработки к производственным машинам.

Организации, имеющие сертификаты ISO 27001, в любом случае должны разделять системы разработки, тестирования и производства на предмет соответствия ISO.

На практике в более крупных сетевых проектах различают внутренние и внешние (т. е. доступные из Интернета) зоны и размещают брандмауэры веб-приложений и решения для управления интерфейсом приложений (API) между Интернетом и внешними зонами. Другими распространенными параметрами зонирования являются страны или бизнес-единицы. Те же или более простые концепции зонирования могут применяться и на непроизводственных стадиях.

Это была традиционная установка. За последние несколько лет искусственный интеллект и автоматизация ИТ оказались в центре внимания и принесли изменения.

Как автоматизация ИТ влияет на зонирование сети

Высокая доступность и быстрый цикл разработки и развертывания требуют автоматизации в центрах обработки данных. Кроме того, автоматизация делает администраторов намного более эффективными. Установка и настройка программного обеспечения сегодня — это задача в один клик, по сравнению с работой на полный рабочий день в прошлые годы, когда администраторы манипулировали двадцатью дискетами. Сегодняшние серверы мониторинга имеют автоматическое оповещение. Они заранее информируют администраторов о необходимости ручного вмешательства. Кроме того, конвейеры CI/CD являются стандартными. Однако такое повышение эффективности требует изменения концепции зонирования сети.

Решения для мониторинга проверяют доступность виртуальных машин и сетевых компонентов, а также ищут события, потенциально указывающие на инциденты безопасности. В Великобритании существует одно решение для мониторинга всего центра обработки данных, но нет решения для производственной зоны. В Испании есть один для разработки, а в Индии — один для тестирования. Приложения мониторинга подразумевают необходимость межэтапного доступа. Вы можете разместить компоненты мониторинга в выделенной зоне внутри производственной зоны или полностью отдельно. Очевидно, что операционные ошибки менее вероятны, если эти приложения разделены по зонам. Кроме того, брандмауэры следует открывать выборочно, а не просто открывать все брандмауэры.

Решения для мониторинга являются одним из примеров; другие решения (например, для управления исправлениями или сканирования уязвимостей) попадают в ту же категорию. Однако, хотя для таких решений можно (но не всегда разумно) обойти межэтапный доступ, конвейеры CI/CD по определению являются межэтапными. Сначала вы развертываете код на своем локальном ноутбуке, затем на тестовом сервере, в среде интеграции и, наконец, в рабочей среде. Таким образом, чистая природа конвейеров CI/CD требует межэтапного доступа. Опять же, если один инструмент должен развертывать и изменять виртуальные машины на всех этапах, межсетевые экраны между зонами не следует сносить полностью, а только выборочно открывать для этого инструмента.

Обучение моделей ИИ и зонирование сети

ИИ критикует идею отделения производственных данных от деятельности по разработке. Обучение моделей ИИ означает запуск алгоритмов, которые обнаруживают зависимости от тысяч переменных и миллионов наборов данных, которые невозможно обнаружить вручную. Для этого обучения требуются реальные данные (хотя для него могут не потребоваться все конфиденциальные данные, такие как имена клиентов, адреса и номера социального страхования). Задача обучения модели, аналогичная разработке, должна выполняться на производственных данных и, следовательно, в производственной зоне. Однако изолированная (под)зона производства ИИ и аналитики имеет смысл. Искусственный интеллект обычно означает значительные объемы данных, которые вы хотите хранить в безопасности и отдельно от обычного рабочего процесса. Рисунок 3 иллюстрирует эту новую (суб)зону.

Проектирование платформ искусственного интеллекта и автоматизации и концепция сцены

Компоненты автоматизации ИТ и среды обучения искусственному интеллекту отличаются от «обычных» рабочих нагрузок приложений. И то, и другое требует адаптации традиционных концепций зонирования для обеспечения межэтапной связи. Однако очень важно различать производственные экземпляры и их разработку.

Разработка платформы искусственного интеллекта и мониторинг инструментов автоматизации следуют обычной инженерной методологии компании. Инженеры сначала работают в зоне разработки, а затем продвигают изменения для тестирования предпроизводственной и производственной сред. Без особых требований в проектировании действуют классические правила: подключение только к текущему этапу и никаких производственных данных для разработки и раннего тестирования. Рисунок 3 иллюстрирует это, предоставляя платформе искусственного интеллекта дополнительный блок в производстве. Здесь ученые, работающие с данными, могут экспериментировать. Платформа искусственного интеллекта, напротив, находится в стандартных зонах разработки, тестирования и подготовки производства со всеми типичными ограничениями.

В заключение: традиционные концепции зонирования и стадирования останутся в силе в 2020-х годах, хотя и с узкими исключениями для инструментов, связанных с автоматизацией ИТ, и обучения моделей искусственного интеллекта. Мир зон и сцен не размывается. Он становится более красочным и изысканным.