Bezpieczeństwo w środowiskach chmurowych

By Weronika Skotnicka

Wraz ze zmianą chmury zmieniają się również zagrożenia, z którymi zmaga się dział IT. Dlatego szczególnie ważne jest precyzyjne określenie odpowiedzialności za programy i dane.

(Źródło: Netskope) Jeśli podążasz za wypowiedziami wielu dostawców w dziedzinie technologii chmurowych, dzięki takiemu podejściu wszystko staje się łatwiejsze: w idealnym przypadku administratorzy muszą dbać tylko o kilka własnych urządzeń, a oprogramowanie jest również „dobrze zapakowane”. ” i „gotowe” do użycia „dostarczone w kontenerach. Nawet serwery nie są już potrzebne – w końcu możemy pracować „bezserwerowo”.

Każdy, kto od dłuższego czasu pracuje w IT, nie powinien jednak popadać w żadne złudzenia. Ponieważ bez względu na to, jak piękne są wypowiedzi marketingowe, faktów nie można po prostu odrzucić: fizyczny serwer musi gdzieś być i nie działa bez sieci. Ponadto kontenery mogą zawierać błędy i przestarzałe, a nawet szkodliwe programy, bez względu na to, jak ładnie są zapakowane.

Dla zespołu IT i odpowiedzialnego kierownictwa oznacza to, że technicznie rozwijają swoje IT poprzez coraz większe wykorzystanie systemów i aplikacji chmurowych - ale oznacza to również, że firmy zbliżają się do zupełnie nowych wymagań i zagrożeń w zakresie bezpieczeństwa.

pl! Professional przyjrzał się różnym rozwiązaniom, które obiecują, że ich podejścia do bezpieczeństwa są „natywne dla chmury” i są w stanie monitorować i chronić szeroką gamę obciążeń w środowiskach chmurowych.

Wspólna odpowiedzialność: dostawcy usług w chmurze zapewniają bezpieczeństwo infrastruktury, podczas gdy klienci muszą uważać na ryzykowne konfiguracje. (Źródło: Palo Alto Networks) Analitycy i firmy zajmujące się bezpieczeństwem zgadzają się, że przetwarzanie w chmurze pojawiło się w firmach korporacyjnych, a także w większości firm średniej wielkości. Jednak niemal jednogłośnie krytykują, że wiele firm ma wiele do nadrobienia, jeśli chodzi o bezpieczeństwo w chmurze. Na przykład analitycy bezpieczeństwa z IBM odkryli w swoim corocznym „X-Force Threat Intelligence Index” na 2020 r., że w 2019 r. naruszono ponad 8,5 miliarda rekordów danych. Według raportu, wiele z tych przypadków, jak podają badacze, 86%, jest spowodowanych nieprawidłową konfiguracją serwerów w chmurze. W rezultacie na przykład dane dotyczące przechowywania w chmurze były nieumyślnie publicznie dostępne, bazy danych na platformach w chmurze były niezabezpieczone, a pamięć masowa w sieci była jawnie dostępna przez Internet.

Agencja Bezpieczeństwa Narodowego (NSA), amerykańska służba wywiadu zagranicznego, która znalazła negatywne nagłówki nie tylko z powodu spraw takich jak rzekoma inwigilacja smartfona kanclerza i rewelacje Edwarda Snowdena, również zajęła się bezpieczeństwem w chmurze w styczniu 2020 roku. Serwis opublikował raport „Mitigating Cloud Vulnerabilities” pod nagłówkiem „Informacje o cyberbezpieczeństwie”. Autorzy poruszają w nim kwestię współodpowiedzialności, a także innych niebezpieczeństw związanych z wykorzystaniem przetwarzania w chmurze, takich jak szyfrowanie w chmurze i zarządzanie kluczami.

Ten model współodpowiedzialności za bezpieczeństwo różnych chmur i oczywiście obciążenia w nich pracą definiuje obowiązki dostawcy usług w chmurze (CSP) i jego klientów. Dostawcy odpowiednich usług w chmurze, takich jak Amazon Web Services (AWS), Microsoft Azure i Google Cloud Platform (GCP), są odpowiedzialni za infrastrukturę, na której działają oferowane usługi. Ponadto muszą wdrożyć logiczne elementy sterujące, za pomocą których dane klienta są bezpiecznie oddzielone od siebie.

Oprócz identyfikowania ryzykownych konfiguracji obowiązki klientów korzystających z tych usług obejmują wykrywanie podejrzanego ruchu sieciowego i nietypowych działań użytkowników, a także identyfikowanie i eliminowanie luk w zabezpieczeniach hosta. Chociaż niektórzy dostawcy usług w chmurze zapewniają narzędzia do konfiguracji i monitorowania bezpieczeństwa, nadal obowiązkiem klientów w chmurze jest konfigurowanie i monitorowanie usług, z których korzystają, zgodnie z wytycznymi i wymaganiami bezpieczeństwa własnej firmy. W raporcie NSA podkreślono również, że zasada współodpowiedzialności wpływa również na rutynowe operacje, takie jak zarządzanie poprawkami lub wyjątkowe zdarzenia, takie jak zarządzanie naruszeniami bezpieczeństwa.

Kalifornijska firma Palo Alto Networks prowadzi globalny zespół ds. analizy zagrożeń o nazwie Unit 42, w którym analitycy między innymi zbierają i oceniają nieznane zagrożenia dla globalnych sieci. W ramach badania opracowali pewne trendy i wnioski dotyczące bezpieczeństwa platform i aplikacji w chmurze.

Sergej Epp Chief Security Officer w Palo Alto Networks Central Europe www.paloaltonetworks.com Zdjęcie: Palo Alto Networks „Dzięki swoim zasobom i know-how dostawcy usług w chmurze gwarantują lepsze bezpieczeństwo niż 99 procent firm, ale nie na wszystkich poziomach”.

W fundamentalnym pytaniu o bezpieczeństwo wspólnych usług w chmurze Sergej Epp, Chief Security Officer w Palo Alto Networks w Europie Środkowej, a także eksperci NSA, zwracają uwagę na znaczenie modelu współodpowiedzialności: „To ważny model Zrozum. Ze względu na swoje zasoby i know-how dostawcy usług w chmurze gwarantują lepsze bezpieczeństwo niż 99 procent firm, ale nie na wszystkich poziomach.” Dodał w swoim oświadczeniu, że firmy nadal koncentrują się na bezpieczeństwie rozwiązań IaaS i PaaS. Doradza również stosowanie ciągłych usług bezpieczeństwa lub usług platformowych dla bezpieczeństwa natywnego dla chmury: „Pomagają w ciągłym monitorowaniu bezpieczeństwa środowiska chmurowego lub wielochmurowego, wykrywaniu błędnych konfiguracji przed uruchomieniem, a także systemów i aplikacji z niezbędnymi zabezpieczeniami – Identyfikacja aktualizacje ”.

Richard Werner, Business Consultant w Trend Micro, potwierdza tę ocenę i dodaje: „Sposób myślenia, że ​​dostawcy usług w chmurze dbają o bezpieczeństwo, jest niestety tylko w połowie prawdziwy i dlatego też jest powodem wielu nieprzyjemnych incydentów. Powszechni, przede wszystkim tak zwani dostawcy chmury publicznej, działają zgodnie z koncepcją współodpowiedzialności. Dostawca chmury przejmuje tutaj ważne funkcje bezpieczeństwa, które są szczególnie ważne dla działania infrastruktury i separacji poszczególnych klientów od siebie. Jednak nadal sami klienci są odpowiedzialni za systemy i dane w chmurze.” „Szczególnie podkreśla poziom poprawek, bezpieczeństwo aplikacji i prawa dostępu jako szczególnie ważne kwestie, za które odpowiadają klienci chmury.