Cloud computing je zásadnou súčasťou dnešného digitálneho prostredia. IT infraštruktúra, platformy a softvér sú dnes častejšie poskytované ako služba (odtiaľ skratky IaaS, PaaS a SaaS) ako v tradičnej lokálnej konfigurácii. A to predstavuje obrovskú výhodu najmä pre malé a stredné podniky (SMB).
Cloud poskytuje príležitosť vyrovnať sa väčším konkurentom, umožňuje väčšiu podnikateľskú agilitu a rýchle rozširovanie bez toho, aby to priviedlo vašu spoločnosť k bankrotu. Možno aj preto celosvetovo 53 % malých a stredných podnikov v prieskume uviedlo, že ročne minú za cloud viac ako 1,2 milióna dolárov (vlani to bolo 38 %).
S digitálnou transformáciou však prichádza aj riziko. Bezpečnosť (72 %) a dodržiavanie predpisov (71 %) sú druhou a treťou najčastejšie uvádzanou hlavnou výzvou v oblasti cloudu pre respondentov z radov SMB. Prvým krokom k riešeniu týchto výziev je pochopenie hlavných chýb, ktorých sa menšie podniky pri nasadzovaní cloudových služieb dopúšťajú.
Typické chyby v zabezpečení cloudu
1. Žiadne viacfázové overovanie (MFA)
Statické heslá sú zo svojej podstaty nezabezpečené, a nie každá firma má nastavenú rozumnú politiku tvorby hesiel. Heslá je možné odcudziť rôznymi spôsobmi, napríklad pomocou phishingu, útokov hrubou silou alebo jednoducho hádaním, preto by ste mali pridať ďalšiu vrstvu overovania. MFA navyše útočníkom sťaží prístup k účtom v SaaS, IaaS alebo PaaS aplikáciách, čím sa zmierni riziko útoku ransomvérom, krádeže dát a ďalších možných následkov. Ďalšou možnosťou je prejsť, ak je to možné, na alternatívne metódy overovania, ako je napríklad overovanie bez hesla.
2. Prílišná dôvera v poskytovateľa cloudu (CSP)
Mnoho vedúcich IT pracovníkov sa domnieva, že efektívna investícia do cloudu znamená zveriť všetko dôveryhodné tretej strane. To je pravda len sčasti. V skutočnosti existuje model zdieľanej zodpovednosti za zabezpečenie cloudu, ktorý je rozdelený medzi poskytovateľa a zákazníka. O čo sa musíte postarať, závisí od typu cloudovej služby (SaaS, IaaS alebo PaaS) a od poskytovateľa cloudových služieb (CSP). Aj keď väčšina zodpovednosti leží na poskytovateľovi (napr. u SaaS), môže sa vyplatiť investovať do ďalších kontrolných mechanizmov tretích strán.
3. Nezabezpečenie záloh
V súlade s vyššie uvedeným nikdy nepredpokladajte, že vám poskytovateľ cloudu (napr. pri službách zdieľania/ukladania súborov) kryje chrbát. Vždy sa oplatí pripraviť sa na najhorší možný scenár, ktorým bude s najväčšou pravdepodobnosťou zlyhanie systému alebo kybernetický útok. Nejde len o stratu dát, ktorá bude mať vplyv na vašu organizáciu, ale aj o výpadky a zásahy do kontinuity činností, ktoré môžu po incidente nasledovať.
4. Podcenenie inštalácií záplat
Pokiaľ neinštalujete pravidelne záplaty, vystavujete svoje cloudové systémy riziku zneužitia zraniteľností. To by následne mohlo viesť k infekcii malvérom, úniku dát a ďalším problémom. Správa záplat je základným osvedčeným postupom v oblasti zabezpečenia, ktorý je rovnako dôležitý v cloude ako v lokálnom prostredí.
5. Chybná konfigurácia cloudu
Poskytovatelia služieb cloud computingu sú síce inovatívne, ale obrovské množstvo nových funkcií a možností, ktoré zavádzajú v reakcii na spätnú väzbu zákazníkov, môže pre mnoho malých a stredných firiem vytvoriť neuveriteľne zložité cloudové prostredie. Je potom oveľa ťažšie zistiť, aká konfigurácia je najbezpečnejšia. Medzi časté chyby patrí konfigurácia cloudového úložiska tak, aby k nemu mala prístup akákoľvek tretia strana, a neblokovanie otvorených portov.
6. Nemonitorovanie cloudovej prevádzky
Dnes už nejde o to „či“, ale „kedy“ dôjde k narušeniu vášho cloudu (IaaS/PaaS). Preto je veľmi dôležitá rýchla detekcia a reakcia, pokiaľ chcete útok včas odhaliť a zastaviť ho skôr, než ovplyvní vašu organizáciu. Z toho vyplýva nutnosť nepretržitého monitorovania.
7. Zlyhanie pri šifrovaní dôležitých dát
Žiadne prostredie nie je stopercentne odolné proti narušeniu. Čo sa teda stane, ak sa útočníkom podarí dostať k vašim najcitlivejším interným dátam alebo vysoko regulovaným osobným údajom zamestnancov/zákazníkov? Šifrovaním dát (pri uložení aj prense) zaistíte, že dáta nebude možné zneužiť, aj keď sa dostanú do nesprávnych rúk.
Ako správne zabezpečiť cloud?
Prvým krokom k riešeniu bezpečnostných rizík v cloude je pochopiť, kde leží vaša zodpovednosť a ktoré oblasti bude riešiť poskytovateľ cloudových služieb. Potom je potrebné posúdiť, či dôverujete natívnym bezpečnostným kontrolám CSP v cloude, alebo ich chcete rozšíriť o ďalšie produkty tretích strán. Zvážte nasledujúce:
- Investujte do bezpečnostných riešení tretích strán, aby ste zvýšili zabezpečenie cloudu a ochranu svojich e-mailových aplikácií, úložísk a aplikácií pre spoluprácu nad rámec bezpečnostných funkcií zabudovaných do cloudových služieb ponúkaných poskytovateľmi cloudu.
- Pridajte nástroje pre rozšírenú alebo riadenú detekciu a reakciu (XDR/MDR), ktoré umožnia rýchlu reakciu na incidenty a zamedzia narušeniu bezpečnosti.
- Zaveďte program priebežného zaplátania založený na riziku a postavený na dôkladnej správe prostriedkov (tj vedieť, aké prostriedky v cloude máte, a potom zabezpečiť ich neustálu aktuálnosť).
- Šifrujte dáta v pokoji (na úrovni databázy) a pri prenose, aby ste zaistili ich ochranu aj v prípade, že sa k nim dostanú kyberzločinci. To bude tiež vyžadovať účinné a priebežné zisťovanie dát a ich klasifikáciu.
- Definujte jasnú politiku riadenia prístupu, vyžadujte silné heslá, MFA, zásady najnižších oprávnení a zoznamy zakázaných/povolených prístupov pre konkrétne IP adresy.
- Zvážte prijatie prístupu nulovej dôvery, ktorý bude zahŕňať vyššie uvedené prvky (MFA, XDR, šifrovanie) spolu so segmentáciou siete a ďalšími kontrolnými prvkami.
- Mnoho z vyššie uvedených opatrení patrí všeobecne medzi osvedčené postupy aj v lokálnom prostredí, líšiť sa budú len detaily. Najdôležitejšie je pamätať na to, že za bezpečnosť cloudu nie je zodpovedný iba poskytovateľ.