fb
IT Systems 6/2021 Cloud a virtualizace IT IT Security 29. 7. 2021 9:42

Bezpečnostní rizika při přechodu do cloudu není radno podceňovat

Cloud computing dnes hraje v poskytování IT služeb stále zásadnější roli. Ve Spojených státech přistupuje vzdáleně ke službám providerů už více než 90 % firem a institucí, v tuzemsku je jejich počet zhruba poloviční. Přesto si řada organizací přechodem do cloudu není jistá a rozhodnutí takového řešení odsouvá. Výraznou roli v tom hraje nejistota vyplývající z toho, že firemní data budou uložena mimo své prostředí, a také obavy z nedostatečného zabezpečení těchto dat.

Lze to sledovat na každém kroku. Nové výzvy spojené s pandemií koronaviru během uplynulého roku výrazně akcelerují změny v IT prostředí. Společnosti urychlují svoji digitální transformaci a jedním z nejmarkantnějších trendů je nárůst zájmu o cloudová řešení. Lidé s rozhodovacími pravomocemi pochopili, že přínos cloudových technologií může být pro další konkurenceschopnost jejich organizace natolik zásadní, že je třeba být proaktivní a zaměřit se na příležitosti, jež cloudové aplikace nabízejí.

Pro některé firmy je výhodné využívat více cloudů

Společnosti dnes v rámci cloud computingu jednoznačně nejčastěji využívají služby na úložišti a výměnu dat a kancelářské aplikace jako Office 365 nebo Google Apps. Další řešení, jako je například infrastruktura či specifické zákaznické aplikace, jsou zastoupené v menším měřítku. Mnohé tuzemské firmy, včetně těch středních a menších, si však začínají uvědomovat všechny výhody přechodu do některého z modelů cloudu, který jim může výrazným způsobem ušetřit práci, zvýšit její efektivitu, minimalizovat údržbu a maximalizovat dostupnost jejich služeb.

Základním modelem a nejčastějším typem cloudu je public cloud computing, tedy klasické řešení určené pro nejširší veřejnost. Privátní cloud je oproti tomu dedikován pouze pro určitého zákazníka či omezenou skupinu zájemců, kteří jej často preferují hlavně z bezpečnostních důvodů. Zejména v poslední době roste zájem o hybridní model cloud computingu, který je kombinací dvou a více typů cloudu. A konečně lze využít i komunitní model, jehož infrastruktura je uzpůsobena pro sdílení společného tématu či oblasti zájmu.

Z aktuálních údajů vyplývá, že nemalý počet firem v USA dnes považuje za samozřejmé a smysluplné využívat služeb tří i více cloudů podle potřeby a poskytovaného servisu. To sice v našich poměrech ještě není úplně běžné, ale dá se očekávat, že výhodám takového řešení přijdou časem na chuť i zdejší podnikatelé. Vybírat mohou z několika distribučních modelů nasazení cloudů, které se liší podle toho, jakým způsobem a komu jsou služby distribuovány.

Distribuční model označovaný jako Infrastructure as a Service (IaaS) znamená, že poskytovatel dodává kompletní IT infrastrukturu, například úložiště, servery, síťové komponenty nebo typicky virtualizace, a zákazník pak nasazuje vlastní operační systém a své aplikace. V případě řešení Platform as a Service (PaaS) dodává poskytovatel IaaS a operační systém, middleware, knihovny pro vývojáře a další, zákazník nasazuje jen vlastní aplikace. A do třetice, pokud hovoříme o modelu Software as a Service (SaaS), dodává poskytovatel PaaS plus přístup k aplikacím, nástrojům a správě dat.

Při přechodu do cloudu platí bezpečnost především

Není pochyb o tom, že přístup ke cloudovým službám a programům dnes řadě firem uvolňuje ruce a umožňuje využívat potenciál, na nějž by v případě on-premise řešení nemohly pomýšlet. A nejde jen o pořízení nákladného hardwaru, resp. angažování expertů na správu a zabezpečení softwaru. Využívání cloudu umožňuje přizpůsobit IT zázemí aktuálním potřebám společnosti, a tím i mnohem efektivněji pracovat. Proč tedy stále nezanedbatelné množství organizací nechává otázku přechodu do cloudu otevřenou?

Tvrdit, že firmy se bojí přejít do cloudu prostě proto, že nejsou dostatečně obeznámené s tím, jak to celé funguje, není korektní. Existují překážky či minimálně nejasnosti, s nimiž se musí každý zájemce o cloudové služby vypořádat, a samotný tento fakt může pro někoho znamenat zásadní problém. Zcela legitimní obavy může vzbuzovat už problematika compliance, tedy nutnosti splnění všech zákonných požadavků a nařízení, včetně dodržování regulí souvisejících se vstupem do cloudu. A pak je tu další citlivé téma, a to otázka transparentnosti nakládání s daty v případě poskytovatele služby.

Nejen tato, ale celá řada dalších otázek mají jediného společného jmenovatele, a tím je problematika bezpečnosti cloudového řešení. Poskytovatelé cloudových služeb si toho jsou velmi dobře vědomi, a proto vždy deklarují zabezpečení dat a procesů na vyšší úrovni, než je tomu v případě IT prostředků u běžných organizací. Zpravidla také zaměstnávají mnohem větší počet bezpečnostních expertů, kteří se starají výhradně o zabezpečení poskytovaných služeb.

Firmy se často bojí ztráty dat, k čemuž samozřejmě může dojít, ale je třeba konstatovat, že pokud se to stane, většinou to není chyba samotného cloudu. Každý provozovatel cloudu používá šifrování a další nejrůznější bezpečnostní mechanismy, a dokonce i smluvně garantuje, že k importovaným datům se nikdo nepovolaný nedostane. Či přesněji, i kdyby se dostal, tak vzhledem k šifrování nemá možnost je zneužít. Úroveň zabezpečení služeb jednotlivých cloudových providerů je navíc posuzována regulátorem, který dává těmto službám zelenou teprve po jejich důkladném ověření.

Pozor na smluvní podmínky s poskytovatelem služeb

Většina úniků dat je tradičně spojená se získáním hesla nebo zcizením identity, což může útočník použít i k tomu, aby se dostal do cloudového prostředí. Problém v tomto případě může být v tom, že běžný cloudový provider standardně nevynucuje sílu hesla a druhý faktor, tedy potvrzení formou kódu s SMS nebo přímo v mobilní aplikaci. Pokud firma, která se naintegrovala do cloudu, hned na začátku tuto otázku podcení a nenastaví si další faktory zabezpečení, vystavuje se pochopitelně riziku.

Vše je otázkou smluvních podmínek, přičemž je třeba konstatovat, že mnohdy platí úměra čím větší poskytovatel, tím hůře se vyjednávají podmínky. Je však třeba počítat s tím, že žádný provider nemůže garantovat uživateli bezpečnost jako celek. Poskytovatel garantuje dostupnost své služby. Z principu nemůže zodpovídat za to, že zájemce o jeho cloudové služby si zapomněl zapnout bezpečnostní nastavení. Potenciál, jak službu zabezpečit, v nabídce existuje, jiná věc je, že většina uživatelů ho nevyužívá, případně neví, jak ho využívat.

Ta největší nebezpečí, která ohrožují uživatele cloudových služeb, svého času identifikovala organizace Cloud Security Alliance (CSA), která se zabývá edukací a propagací osvědčených postupů zaručujících bezpečnost v rámci cloud computingu. Podle CSA mezi top hrozby cloud computingu patří:

  1. Krádež účtů
  2. Únik dat
  3. Nedostatečné řízení identit, přihlašovacích údajů a přístupu
  4. Insider hrozba
  5. Zranitelnosti systému a sdílených technologií
  6. Nezabezpečené rozhraní a API
  7. Zneužití, zločinné využití cloudové služby
  8. Denial of Service

Ke zcela oprávněným obavám firem patří i to, jak se během migrace dat do cloudu podaří integrace se stávajícím prostředím. Při přechodu do nového prostředí je totiž třeba vždy přistoupit na určité provozní ústupky, a ne vždy je snadné napasovat nové věci na stávající systém. Pro držitele certifikace Systému řízení bezpečnosti informací (ISMS) nepředstavuje přechod do cloudu žádný větší problém, pouze je třeba danou dokumentaci upravit, aby byla kompatibilní s cloudovým prostředím. Naopak, některé věci jsou v tomto případě jednodušší než při on-premise řešení, protože jsou již předem nadesignované.

Ujasněte si strategii, analýzu rizik svěřte specialistům

K velkým chybám firem a zároveň k největším bezpečnostním rizikům patří implementace dat do cloudu bez adekvátní bezpečnostní analýzy toho, co všechno a za jakých podmínek může firmě cloud poskytnout, včetně nastavení všech klíčových parametrů. Právě to je jeden z podstatných důvodů, proč se organizacím při přechodu do cloudu vyplatí využít služeb společností, které se specializují na poskytování kybernetického zabezpečení a které nabízejí také odpovídající poradenství, včetně školení či auditů pro zájemce o vstup do cloudu.

Proto našim klientům důrazně doporučujeme přistoupit hned na začátku co nejaktivněji k provedení analýzy bezpečnostních rizik a k nastavení pravidel. Firma by měla mít jasno v tom, jaká všechna data má v úmyslu do cloudu přesunout a proč, jaké moduly si k tomu bude muset obstarat, a především, jak by měla mít ošetřené veškeré nutné kroky s ohledem na své byznysové priority. Zároveň je třeba upravit směrnice tak, aby odpovídaly celé řadě požadovaných bezpečnostních standardů.

Firma si musí nejdříve ujasnit strategii, jakým způsobem chce cloud využívat, a my jí pak můžeme pomoci s dalšími kroky, především s analýzou rizik informační bezpečnosti a s hodnocením aktuálních organizačních a technických opatření, a to jak na straně uživatele, tak i poskytovatele cloudové služby. Teprve pak mohou následovat fáze implementace, ověření a auditu. Klíčovým předpokladem úspěšného přechodu do cloudu je nepodcenit bezpečnost. V případě on-premise řešení každý ví, jak by měla být nastavena doménová politika nebo používání identity, ale v případě cloudu je všechno nepoměrně dynamičtější.

Matej Kačic Matej Kačic
Autor článku působí na pozici Head of Security Technologies Division ve společnosti AEC.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 7-8 IT Systems 6 IT Systems 5 IT Systems 4
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1