Cloud okem bezpečnostního specialisty
aneb 4krát jinak o všudypřítomné technologii
Cloudové technologie přináším podnikům nové možnosti a příležitosti, kladou nové požadavky na zabezpečení. Chránit neustále každou aplikaci, každý virtuální workload, každé zařízení a každého, libovolným způsobem připojeného uživatele vyžaduje nový, výrazně komplexnější pohled na bezpečnost, která musí nově pokrývat i cloudová a hybridní prostředí. Cloudové technologie ale samy také umožňují nový přístup k bezpečnosti IT.
Cloud jako hnací síla pokroku
Cloudové technologie mění způsob každodenního fungování podniku. Cloud v mnoha případech představuje významný prvek digitální transformace, protože nabízí lepší a snazší způsob spolupráce a umožňuje rychle navyšovat a snižovat kapacity podle potřeby. Posiluje akceschopnost podniku jako dosud žádná jiná technologie a umožňuje přizpůsobovat využití IT zdrojů podle potřeb zákazníků a byznysu.
Díky cloudovým službám mají k profesionální IT infrastruktuře přístup i menší firmy, aniž by potřebovaly celé IT oddělení. Úlohy, k nimž byla dříve nutná podpora IT a nový hardware nebo software, lze dnes provádět v cloudu – flexibilněji, s nižšími náklady a bez větších odborných znalostí. To posiluje jejich konkurenceschopnost, efektivitu a kreativitu.
Původně se od cloudu očekávalo zjednodušení architektury a takřka neomezená škálovatelnost, ale po letech je zřejmé, že namísto přechodu do cloudu podniky spíše expandují do cloudu. To znamená, že využívají výhod platforem, infrastruktury a softwaru poskytovaných formou služby (PaaS, IaaS, SaaS), ale řadu systémů si ponechávají ve vlastních datových centrech.
Současně s tím stoupají očekávání koncových uživatelů. Přáli by si užívat všech výhod cloudu – snadného přístupu pomocí jakéhokoli zařízení, kdykoli a odkudkoli – ke všem službám, včetně těch, které běží pouze v privátních podnikových datových centrech.
Cloud jako hrozba
Digitální transformace podporovaná mimo jiné cloudem sice rozšiřuje možnosti a zásadně mění podnikové IT prostředí, ale jeden nanejvýš důležitý aspekt se nemění, a to potřeba důkladného zabezpečení. Rozvoj technologií s sebou nese stoupající množství nových typů hrozeb, od pokročilých cílených útoků přes vyděračský software po neoprávněnou těžbu kryptoměn. Tyto a další důmyslné útoky schopné překonat běžné zabezpečovací a ověřovací mechanismy přidělávají vrásky na čele nejednomu manažerovi podnikové informační bezpečnosti.
Zatímco v minulosti bylo celé prostředí lokální – včetně infrastruktury, aplikací a uživatelů. Dnes se základní infrastruktura nachází jinde než aplikace a přistupovat k nim potřebují pobočky i stále větší počet mobilních uživatelů. V průzkumu společnosti IDG 82 % respondentů, kteří užívají mobilní zařízení k přístupu do firemní sítě, připustilo, že občas nepoužije zabezpečené připojení VPN. A 70 % dotázaných firem uvádí, že jejich pobočky se připojují k internetu přímo, nikoli přes centrální infrastrukturu a bezpečnostní systémy. Nové způsoby práce tedy na jedné straně napomáhají produktivitě a flexibilitě, avšak zároveň vedou k tomu, že se větší počet uživatelů nachází mimo dosah zabezpečení tradiční síťovou ochranou a podnik ztrácí přehled o možných hrozbách.
Propojenost systémů, aplikací, zařízení a uživatelů uvnitř i vně firmy sice otevírá nové příležitosti, ale také rozšiřuje prostor pro potenciální útoky. Dosavadní metody zabezpečení založené na ochraně síťového perimetru naprosto nevyhovují této nové situaci, kdy je nutné zajistit bezproblémové sdílení dat, migraci pracovních zátěží a přechod uživatelů mezi různými prostředími a způsoby připojení.
Narušení bezpečnosti si však může vyžádat značné náklady kvůli odstávce podnikových systémů, ztrátě dat a poškození reputace u zákazníků. Zvláště pro menší firmy mohou být takové škody až likvidační. Bezpečnost by tedy při digitalizaci měla být nejvyšší prioritou. A samozřejmě jako v jiných oblastech i zde platí, že se mnohem více vyplatí investovat do prevence než napravovat škody.
Dalším důležitým faktorem jsou legislativní a regulatorní požadavky. Podniky a organizace se musí řídit řadou předpisů na regionální, národní a oborové úrovni, které mají vliv na nakládání s daty, jako je Obecné nařízení o ochraně osobních údajů (GDPR) na evropské úrovni nebo český zákon o kybernetické bezpečnosti. Možný postih za jejich nedodržení může být stejně likvidační jako škody způsobené kybernetickým útokem.
Cloud jako předmět ochrany
V dnešním podnikovém prostředí je obvyklé využití různých cloudových platforem současně, včetně veřejných cloudových služeb (infrastruktura i software), privátních cloudů a hybridních cloudových prostředí kombinujících veřejné a privátní cloudy. Zatímco u veřejných cloudových služeb zajišťují poskytovatelé zabezpečení nabízené infrastruktury, klient se musí sám postarat o bezpečnost svých dat a systémů, která na ní provozuje. U privátního cloudu si samozřejmě podnik sám odpovídá za bezpečnost infrastruktury, systémů a dat a přístupu k nim. V hybridních cloudech se k požadavkům na zabezpečení navíc přidává nutnost chránit data při pohybu mezi interními a externími prostředími.
Skutečně efektivní bezpečnost cloudových prostředí vyžaduje komplexní přístup se vzájemně provázanými komponentami, které budou spolu komunikovat a poskytovat ucelený přehled o dění v síti a připojených zařízeních. Mezi funkcemi takového systému by neměl chybět monitoring pokrývající privátní i veřejný cloud a migraci pracovních zátěží a dat mezi nimi, zabezpečení přístupu k síti ze všech typů koncových zařízení, uplatňování jednotné bezpečnostní politiky v celém prostředí, ochrana proti známým i dosud neznámým útokům a zranitelnostem a efektivní kontrola a zajišťování souladu s relevantními předpisy.
Cloud jako nositel ochrany
Zabezpečení se přirozeně musí vyvíjet a přizpůsobovat novým nárokům, novému způsobu práce a chování uživatelů tak, aby zajišťovalo účinnou ochranu moderního podniku. Stejně jako se infrastruktura, aplikace a data přesouvají do cloudu, musí se do cloudu přesouvat i zabezpečení a chránit prostředky, dat a uživatele všude, kde se právě nachází.
Cloudové bezpečnostní technologie jsou optimálním řešením především pro podniky střední velikosti. Lze je zavést velmi snadno i bez specializovaného týmu bezpečnostních expertů, jejich kapacitu je možné rychle přizpůsobovat nárůstu či poklesu zátěže a obecně poskytují lepší schopnost reagovat na potřeby zákazníků i interní požadavky.
První linii obrany představuje ochrana přístupu pomocí internetové brány. Ta poskytuje bezpečný přístup k internetu ze všech zařízení a u všech způsobů připojení, a to i bez využití VPN. Tím, že běží v cloudu, představuje brána nejjednodušší způsob, jako snadno a rychle zabezpečit skutečně všechny uživatele. Internetová brána přijímá požadavky na připojení, analyzuje je a porovnává s historickými záznamy a detekuje případné anomálie, které mohou indikovat ohrožení. Zároveň blokuje připojení ke škodlivým destinacím.
K ochraně cloudových aplikací slouží nástroje nazývané zprostředkovatel zabezpečení přístupu do cloudu (CASB). Ten chrání v první řadě aplikace poskytované v podobě softwaru jako služby (SaaS). Dokáže sledovat jejich využití, revokovat přístup k rizikovým aplikacím, detekovat narušené účty, rozpoznat, že uživatel do cloudu umisťuje zneužitelná nebo regulovaná data (GDPR, HIPAA apod.), a umožňuje podniku zavést pravidla blokující škodlivé nebo nežádoucí aplikace. Ochranu pomocí CASB lze aplikovat i na aplikace běžící na infrastruktuře ve formě služby (IaaS) a platformě ve formě služby (PaaS). To znamená na aplikace, které si podnik vyvine a provozuje vlastními silami.
Spojení technologií internetové brány, zprostředkovatele přístupu do cloudu a dalších cloudových bezpečnostních technologií, jako je detekce pokročilého škodlivého softwaru a ochrana e-mailu, umožňuje spolehlivě zabezpečit smíšená prostředí s privátními a veřejnými cloudy, s lokálními i cloudovými aplikacemi a s uživateli pracujícími v centrále, na pobočkách, v terénu i doma.
 |
Milan Habrcetl Autor článku je bezpečnostním expertem společnosti Cisco. |
