O zabezpieczeniach usług chmurowych
Zastosowanie pięciu zabezpieczeń usług w chmurze
Czym są usługi w chmurze?
Usługi w chmurze to zbiorcza nazwa dla zewnętrznie zarządzanych usług, które są dostępne dla użytkowników pracujących zdalnie. Są płatne na zasadzie subskrypcji lub – rzadziej – jednorazowej płatności.
Wiele organizacji korzysta z usług w chmurze, pozwala to na elastyczne i wspólne korzystanie z zasobów bez konieczności ponoszenia dużych nakładów na ciągle zmieniającą się technologię. Podczas pandemii organizacje były w stanie dostosować się i przetrwać, umożliwiając pracownikom dostęp do informacji firmowych z dowolnego miejsca oraz świadczenie usług online. W tym celu często wykorzystywano usługi w chmurze. Zrewolucjonizowało to model pracy, ale również wzbudziło poważne obawy dotyczące bezpieczeństwa. Jeśli pracownicy mogą uzyskać dostęp do informacji organizacji z dowolnego miejsca, to przestępcy również. Ważne jest, aby te usługi były skonfigurowane prawidłowo i posiadały niezbędne zabezpieczenia.
Jaka jest różnica między chmurą publiczną, prywatną i hybrydową?
Usługi chmury publicznej to szeroko rozpowszechniony i powszechnie stosowany model przetwarzania w chmurze. Wszystkie zasoby potrzebne do uruchomienia infrastruktury (serwery, pamięć masowa, komponenty sieciowe i oprogramowanie wspierające) są własnością zewnętrznego dostawcy i są przez niego zarządzane, a dostęp do nich mają użytkownicy w ramach organizacji przez Internet za pośrednictwem przeglądarki internetowej. W chmurze publicznej firmy współdzielą infrastrukturę z innymi organizacjami, ale dane i obciążenia są zwykle odizolowane od siebie w bezpiecznej przestrzeni wirtualnej. Zamiast posiadać i obsługiwać sprzęt, organizacje płacą tylko za usługi, z których faktycznie korzystają.
Usługa chmury prywatnej to infrastruktura obliczeniowa przeznaczona do użytku przez pojedynczą organizację. Może być umieszczona w prywatnym centrum przetwarzania danych lub u zewnętrznego dostawcy usług. Cechą charakterystyczną jest to, że zasoby informatyczne są uruchamiane i utrzymywane w prywatnej sieci tylko dla jednej organizacji użytkownika, a w konsekwencji zabezpieczenia są pod jej pełną kontrolą.
Chmura hybrydowa to każde środowisko, które wykorzystuje zarówno chmurę publiczną, jak i prywatną.
Na potrzeby tego poradnika mówimy o usługach chmury publicznej.
Trzy główne kategorie chmur obliczeniowych
Istnieją trzy główne modele usług w chmurze. Litery „aaS” oznaczają „as a service” („jako usługa”), co znaczy, że organizacje mogą wynajmować obiekty, które fizycznie znajdują się w innym miejscu, do różnych celów (Patrz O wirtualizacji).
Infrastruktura jako usługa (IaaS)
Dostawca usług w chmurze IaaS hostuje elementy infrastruktury, które zazwyczaj istnieją w centrum przetwarzania danych w siedzibie firmy, w tym serwery, pamięć masową i sprzęt sieciowy, a także narzędzie hipernadzorca lub warstwę wirtualizacji. Firma może korzystać z IaaS, jeśli musi opracować aplikacje i programy na zamówienie, ale nie jest wyposażona w infrastrukturę, której to wymaga. Organizacja użytkownika uzyskuje dostęp do zasobów, konfiguruje je i zarządza nimi za pomocą pulpitu nawigacyjnego lub interfejsu programowania aplikacji (API).
Poza rozwojem oprogramowania i utrzymywaniem środowiska testowego, IaaS to także rozwiązanie do odzyskiwania danych po awarii lub tworzenia kopii zapasowych, hostingu złożonych stron internetowych, wysokiej wydajności obliczeniowej i analizy big data.
W modelu IaaS dostawca usług w chmurze zapewnia jedynie sprzęt, a za wszystkie zabezpieczenia i tworzenie kopii zapasowych odpowiada organizacja użytkownika.
Przykładami IaaS są Rackspace, Google Compute Engine czy Amazon EC2.
Platforma jako usługa (PaaS)
Platforma jako usługa oferuje programistom platformę do tworzenia i wdrażania oprogramowania przez Internet, umożliwiając im dostęp do aktualnych narzędzi. Osoba lub firma może korzystać z PaaS, jeśli potrzebuje środowiska do wspólnego rozwoju i wdrażania w celu tworzenia i zarządzania niestandardowymi aplikacjami, bez konieczności samodzielnego budowania i utrzymywania infrastruktury bazowej.
Przykładami PaaS są Azure Web Apps i Amazon Web Services Lambda.
Oprogramowanie jako usługa (SaaS)
Dostawcy usług w chmurze SaaS hostują aplikacje i udostępniają je użytkownikom przez internet. Dzięki SaaS organizacje nie muszą pobierać żadnego oprogramowania do swojej istniejącej infrastruktury IT.
SaaS jest wykorzystywany przez większość organizacji do codziennych zadań, takich jak tworzenie i udostępnianie plików, podpisywanie i wysyłanie umów oraz zarządzanie projektami. Narzędzia i aplikacje są wysoce skalowalne i łatwe w dostępie zdalnym, co jest szczególnie pomocne dla rozproszonych zespołów globalnych.
Przykładami SaaS są Microsoft 365, Jira, Dropbox, Gmail.
Jakie są zagrożenia bezpieczeństwa związane z usługami w chmurze?
Większość naruszeń bezpieczeństwa danych w chmurze ma miejsce, gdy przestępcy są w stanie uzyskać dostęp poprzez źle skonfigurowane konta i interfejsy, aby zlokalizować cenne dane. Wynika to zwykle ze słabej kontroli dostępu użytkowników i błędnej konfiguracji, a odpowiedzialność za to ponosi klient usługi chmurowej.
Według badań przeprowadzonych przez Microsoft, każdego dnia odnotowuje się ponad 300 milionów nieuczciwych prób logowania do usług w chmurze. Większość naruszeń danych dotyczy słabych, domyślnych lub skradzionych haseł, co podkreśla wymóg kompleksowej polityki haseł i silnego uwierzytelniania. Szacuje się, że 99,9% ataków może zostać zablokowanych dzięki wykorzystaniu uwierzytelnienia wieloskładnikowego (MFA).
Innym zagrożeniem dla danych przechowywanych za pomocą usług w chmurze są niezamierzone błędy lub złośliwe zamiary pracowników, znane również jako „zagrożenie wewnętrzne”. Nieuczciwy pracownik może wykorzystać swoją wiedzę i dostęp do informacji firmowych do kradzieży danych lub popełnienia oszustwa.
Dostęp do wrażliwych zasobów musi być ograniczony do pracowników, którzy potrzebują tych informacji do wykonywania swojej pracy. Konta administratorów zwykle dają największy dostęp do systemu i konieczne jest, aby były chronione za pomocą MFA. Konta uprzywilejowane, takie jak te, muszą być tworzone, ograniczane i kontrolowane za pomocą kompleksowej polityki.
Kto wdraża pięć podstawowych zabezpieczeń usług w chmurze?
Większość dostawców usług w chmurze stara się stworzyć bezpieczną chmurę dla klientów i dąży do zapobiegania naruszeniom oraz utrzymania zaufania publicznego. Większość inwestuje znaczne środki w utrzymanie bezpieczeństwa swoich usług, jednak nie może kontrolować, w jaki sposób klienci korzystają z usługi, jakie dane do niej dodają i kto ma do nich dostęp. Warto pamiętać, że nie wszyscy dostawcy usług w chmurze rozumieją lub cenią bezpieczeństwo. Istotne jest, aby organizacja użytkownika zbadała środki bezpieczeństwa stosowane przez dostawcę usług w chmurze przed powierzeniem danych organizacyjnych tej usłudze.
Mówiąc o bezpieczeństwie, dostawcy usług w chmurze często odwołują się do „modelu wspólnej odpowiedzialności”. Oznacza to, że w przypadku niektórych środków kontroli bezpieczeństwa to usługa w chmurze jest odpowiedzialna za wdrożenie, podczas gdy w przypadku innych funkcji to organizacja użytkownika. To, kto wdraża które środki, będzie się różnić w zależności od projektu subskrybowanej usługi w chmurze.
Praca z dostawcą usług w chmurze może być nieznana i nowa dla niektórych organizacji i pomocne jest nakreślenie od początku, gdzie znajduje się granica między odpowiedzialnością za bezpieczeństwo dostawcy chmury a odpowiedzialnością organizacji użytkownika. Każdy dostawca i każda usługa będą miały różne modele bezpieczeństwa, różne narzędzia do zapewnienia bezpieczeństwa, różne parametry konfiguracyjne, różne pulpity nawigacyjne i różne punkty kontaktowe. Zebranie tych wszystkich szczegółów razem i stworzenie spójnej strategii bezpieczeństwa w wielu chmurach to ważny proces. Dobrym pomysłem jest pamiętanie o bezpieczeństwie już na etapie poszukiwania produktu z zakresu usług w chmurze oraz zapamiętanie wskazanego punktu kontaktowego, który pomoże i wesprze organizację w przypadku wystąpienia trudności.
Chociaż potencjalne oszczędności kosztów, elastyczność i skalowalność przyciągają wiele nowoczesnych firm do chmury obliczeniowej, stanowi ona również zmianę paradygmatu dla właścicieli firm i ich pracowników, którzy muszą zrozumieć nowe usługi, narzędzia i procesy. W przypadku korzystania z usług w chmurze konieczne jest ustanowienie odrębnych polityk dotyczących każdej z usług i zapewnienie, że cały dostęp jest kontrolowany. Konieczne jest również dokładne poinformowanie personelu na temat funkcji i obowiązków w chmurze za pomocą szkoleń i kursów informacyjnych dotyczących każdej wybranej usługi w chmurze.
Właściciel firmy lub kierownik działu IT powinien odnieść się do swoich umów o poziomie świadczenia usług (SLA) i w razie potrzeby wyjaśnić wszelkie niejasności z dostawcą, aby zapewnić skuteczną strategię bezpieczeństwa.
Google, AWS i Microsoft oferują szereg certyfikatów i programów szkoleniowych z zakresu cloud computingu dla swoich platform. Celem jest uzyskanie przez firmy, które nie są tak obeznane z chmurą, komfortu korzystania z nowoczesnych technik i praktyk.
W przypadku Infrastructure as a Service organizacja użytkownika jest odpowiedzialna za utrzymanie swojego systemu operacyjnego, wykorzystanie danych i aplikacji, a zatem ma kontrolę nad wdrożeniem wszystkich 5 zabezpieczeń Firmy Bezpiecznej Cyfrowo.
W przypadku Platform as a Service dostawca usług w chmurze zarządza bezpieczeństwem infrastruktury bazowej i systemu operacyjnego, a użytkownik zarządza wykorzystaniem swoich danych i aplikacji, co oznacza, że użytkownik musi kontrolować bezpieczną konfigurację, kontrolę dostępu użytkowników i zarządzanie aktualizacjami zabezpieczeń.
W przypadku Software as a Service organizacja użytkownika jest zwykle odpowiedzialna jedynie za bezpieczną konfigurację i kontrolę dostępu, a dostawca usług w chmurze zwykle zajmuje się ochroną przed złośliwym oprogramowaniem, firewallami i zarządzaniem aktualizacjami zabezpieczeń.
W przypadku gdy dostawca chmury wdraża zabezpieczenia, organizacja użytkownika musi upewnić się, że została ona przeprowadzona w wymaganym standardzie. Szczegóły dotyczące wdrożenia tych zabezpieczeń można zwykle znaleźć w warunkach świadczenia usługi. Należy szukać w klauzulach umownych lub w dokumentach, do których odwołuje się umowa, takich jak oświadczenia o bezpieczeństwie lub oświadczenia o ochronie prywatności. Dostawcy usług w chmurze często wyjaśniają, jak wdrażają bezpieczeństwo w dokumentach publikowanych w ich „centrach zaufania” (trust centers).
Ustalenia dotyczące bezpieczeństwa dostawcy chmury są czasami bardzo dokładnie udokumentowane; na przykład Microsoft Azure i AWS dokumentują wspólne obowiązki oraz to, czy dostawca lub klient jest odpowiedzialny za aspekty operacji i zarządzania bezpieczeństwem. W przypadku mniejszych dostawców lub produktów SaaS szczegóły te mogą być mniej wyraźne, ale nadal będą wymagały uwzględnienia.
Ważne!
Zrozumienie swojej odpowiedzialności za bezpieczeństwo jest kluczowe dla zachowania bezpieczeństwa danych w chmurze.
Pięć podstawowych zabezpieczeń
Bezpieczna konfiguracja
Odpowiedzialność organizacji użytkownika względem wszystkich usług w chmurze
Konfiguracja standardowa może często obejmować konto administracyjne ze standardowym, publicznie znanym hasłem domyślnym, jedno lub więcej włączonych kont użytkowników (czasami ze specjalnymi uprawnieniami dostępu) oraz wstępnie zainstalowane, ale niepotrzebne aplikacje lub usługi. Wszystkie te elementy stanowią zagrożenie dla bezpieczeństwa. Jeśli masz taką możliwość, usuń lub wyłącz całe oprogramowanie, którego nie używasz w swoich usługach w chmurze.
Ważne!
- Sprawdź swoje usługi w chmurze i wyłącz wszystkie usługi, które nie są wymagane do codziennego użytku.
- Upewnij się, że wszystkie Twoje usługi w chmurze zawierają tylko niezbędne konta użytkowników, które są regularnie wykorzystywane w trakcie prowadzenia działalności.
- Usuń lub wyłącz wszelkie konta użytkowników, które nie są potrzebne w codziennym użytkowaniu na usługach w chmurze.
Kontrola dostępu użytkowników
Odpowiedzialność organizacji użytkownika względem wszystkich usługi w chmurze.
Konta użytkowników ze specjalnymi uprawnieniami dostępu (np. konta administracyjne) mają zazwyczaj największy poziom dostępu do informacji, aplikacji i komputerów. Gdy do tych uprzywilejowanych kont uzyskują dostęp cyberprzestępcy, mogą wyrządzić najwięcej szkód, ponieważ zwykle mogą wykonywać takie czynności, jak instalowanie złośliwego oprogramowania i wprowadzanie zmian. Dostęp specjalny obejmuje przywileje ponad te, które mają zwykli użytkownicy.
Ważne!
- Zidentyfikuj wszystkie możliwe formy dostępu kont uprzywilejowanych do danych i aplikacji oraz wdróż środki kontroli w celu zmniejszenia ryzyka ich kompromitacji.
- Niedopuszczalna jest codzienna praca w trybie uprzywilejowanego „administratora” (Patrz O kontach).
Włącz uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont użytkowników i wszystkich kont administratorów we wszystkich usługach w chmurze (Patrz Stosowanie MFA w celu uzyskania dostępu do usług w chmurze).
Zarządzanie aktualizacjami zabezpieczeń
Odpowiedzialność organizacji użytkownika względem usług chmurowych IaaS i PaaS.
Ważne!
Aby chronić swoją organizację, należy upewnić się, że całe oprogramowanie jest zawsze aktualne i posiada najnowsze aktualizacje zabezpieczeń (Patrz O oprogramowaniu).
Ochrona przed złośliwym oprogramowaniem
Odpowiedzialność organizacji użytkownika względem usług chmurowych IaaS i PaaS
Złośliwe oprogramowanie (takie jak wirusy komputerowe) jest zazwyczaj wykorzystywane do kradzieży lub uszkodzenia informacji. Złośliwe oprogramowanie jest często wykorzystywane w połączeniu z innymi rodzajami ataków, takimi jak „phishing” (pozyskiwanie informacji za pomocą podstępu) i mediów społecznościowych (które mogą być wykorzystywane do pozyskiwania informacji przydatnych dla cyberprzestępcy) w celu przeprowadzenia ukierunkowanego ataku na organizację. Rozwiązania antywirusowe (w tym programy antywirusowe) są dostępne u dostawców komercyjnych, niektóre bezpłatne, ale zazwyczaj w postaci kompletnych pakietów oprogramowania i pomocy technicznej. Złośliwe oprogramowanie stale się rozwija, dlatego ważne jest, aby program zapewniał zarówno sygnatury złośliwego oprogramowania, jak i heurystyczne narzędzia wykrywania, które są aktualizowane tak często, jak to możliwe. Produkty antywirusowe mogą również pomóc w sprawdzeniu, czy odwiedzane witryny internetowe są złośliwe.
Ważne!
Zapobiegaj przedostawaniu się złośliwego oprogramowania do usług w chmurze za pomocą technik takich jak skanowanie plików, whitelisting aplikacji, wykrywanie złośliwego oprogramowania oparte na uczeniu maszynowym oraz analiza ruchu sieciowego (Patrz O oprogramowaniu).
Firewalle
Odpowiedzialność organizacji użytkownika względem IaaS (Patrz O firewallach).