10 dobrych praktyk w zakresie bezpieczeństwa w chmurze: jak chronić zasoby swojej firmy
2023-06-26 12:58:37Migracja do chmury oznacza, że Twoja organizacja korzysta z narzędzi utrzymywanych przez inny podmiot.
Dzięki temu nie musisz się martwić o zarządzanie oprogramowaniem, tak aby działało właściwie, i możesz zająć się tym, w czym się specjalizujesz. Według badania Deloitte MŚP korzystające z chmury obliczeniowej rozwijały się o 26% szybciej i osiągały o 21% większe zyski.
Migracja do chmury ma też jednak wady, a jedną z najbardziej dotkliwych jest ryzyko przeoczenia pozornie podstawowej procedury.
Może się tak zdarzyć, gdy współpraca z dostawcą usług w chmurze (CSP) odbywa się w „modelu współdzielonej odpowiedzialności”. W takim przypadku zespoły niekiedy zakładają, że ich CSP zajmie się wszystkimi kwestiami związanymi z bezpieczeństwem w chmurze, podczas gdy w rzeczywistości zabezpieczenie danych i obciążeń leży po ich stronie. Konfiguracja bezpieczeństwa chmury najczęściej jest obowiązkiem Twojego zespołu.
W tym poście przedstawimy najważniejsze kroki do zabezpieczenia swojego środowiska w chmurze. Ale po kolei – zacznijmy od krótkiego omówienia czynników ryzyka, z którymi mamy w tym zakresie do czynienia.
Jakie są czynniki ryzyka związane z chmurą obliczeniową?
Według raportu firmy Flexera State of the Cloud 2022 (Raport na temat technologii chmurowej na 2022 rok) bezpieczeństwo pozostaje największym wyzwaniem dla firm – w badaniu ankietowym wskazało tak 85% respondentów.
Strategia konfigurowania zabezpieczeń w chmurze różni się znacząco od budowania zabezpieczeń dla fizycznych centrów danych. Wiele problemów z bezpieczeństwem w chmurze ma swój początek w błędach konfiguracji, które prowadzą do luk w zabezpieczeniach.
Niewłaściwa konfiguracja chmury, brak ochrony środowiska uruchomieniowego i błędy ludzkie mogą sprawić, że Twoja konfiguracja stanie się podatna na ataki osób chcących wykraść Twoje dane. Takie osoby mogą na przykład dostać się do aplikacji na serwerze i zainstalować skrypty wykonywane podczas wprowadzania przez użytkowników wrażliwych informacji. Następnie mogą one przesłać te dane na serwer należący do przestępczych podmiotów, które wykorzystają je do swoich celów.
Ewolucja krajobrazu zagrożeń w chmurze doprowadziła do wzrostu liczby bardziej złożonych ataków z udziałem oprogramowania typu ransomware. Ataki tego rodzaju polegają na uzyskaniu przez hakerów dostępu do systemu dzięki wprowadzeniu złośliwego kodu do infrastruktury w chmurze i ingerencji w aplikacje znajdujące się w tej przestrzeni.
Odzyskiwanie danych po takim ataku może być trudne i kosztowne. Według Sophos State of Ransomware 2022 (Raport firmy Sophos dotyczący oprogramowania typu ransomware na 2022 rok) średni koszt odzyskania danych podwoił się w ciągu roku, sięgając 1,85 miliona dolarów w 2021 roku.
Weźmy więc sobie do serca powiedzenie „Przezorny zawsze ubezpieczony”
Dziesięć dobrych praktyk w zakresie bezpieczeństwa w chmurze:
Poniżej znajdziesz najważniejsze praktyki związane z bezpieczeństwem w chmurze, sprawdzone przez nasz zespół podczas pracy z klientami.
Pamiętaj jednak, że nawet najlepsza procedura nie zastąpi zdrowego rozsądku, globalnego oglądu sytuacji i krytycznego myślenia.
#1: Określ swoje potrzeby w zakresie bezpieczeństwa w chmurze i stwórz plan, który te potrzeby spełni
Jedno z podstawowych pytań, na które musisz sobie odpowiedzieć, dotyczy rodzajów danych, które planujesz przechowywać w chmurze oraz zagrożeń wpływających na ich bezpieczeństwo.
Przygotowanie środowiska przechowującego kod źródłowy, obrazy i wideo udostępniane w ramach licencji otwartego oprogramowania lub Creative Commons będzie się różnić od na przykład środowiska przechowującego dane medyczne pacjentów w UE.
Przechowywanie niektórych typów danych podlega regulacjom prawnym, co należy brać pod uwagę już na początku projektowania systemu.
#2: Zastosuj wielowarstwową ochronę – uwierzytelnianie wieloczynnikowe (MFA)
Nazwa użytkownika i hasło to za mało. Łącząc kilka różnych metod uwierzytelniania, można lepiej zabezpieczyć dane w chmurze przed różnymi rodzajami ataków.
Na przykład ataki siłowe polegają na generowaniu nazw użytkowników i haseł. Oczywiście systemy powinny być w stanie odeprzeć takie ataki, ale jeśli to się nie uda, kolejna warstwa zabezpieczeń pomoże chronić cenne zasoby.
Trzeba pamiętać, że nie tylko długość, ale i jakość hasła ma znaczenie. Z tego powodu najlepiej unikać „słabych” haseł, czyli krótkich haseł składających się ze znaków tylko jednego rodzaju (np. małe lub wielkie litery) lub pozbawionych symboli specjalnych. Silne hasło jest fundamentem dla reszty struktury, którą będziesz na nim budować.
Dobrym pomysłem jest też korzystanie z aplikacji generujących klucze jednorazowe, takich jak Google Authenticator, LastPass Authenticator czy Microsoft Authenticator. Zainstaluj lub zainicjuj aplikację w chmurze, a Twoi użytkownicy wykonają resztę kroków na swoich smartfonach. Następnie będą mogli użyć kodu, który dostaną w aplikacji na swoim telefonie, przy każdym logowaniu. Jeśli będzie prawidłowy, uzyskają dostęp do systemu.
Aby jeszcze bardziej zwiększyć bezpieczeństwo logowania, można użyć uwierzytelniania opartego na lokalizacji, haseł jednorazowych wysyłanych w bezpiecznej wiadomości e-mail lub kart dostępu dołączanych bezpośrednio do komputera.
#3: Ustanowienie zasad i kontrola dostępu do danych w chmurze
Utrzymanie chmury ma charakter wielopoziomowy – jeśli ktoś korzysta z aplikacji w rodzaju edytora arkuszy kalkulacyjnych, nie musi wiedzieć, gdzie jest ona zainstalowana ani jakim procesom podlega. Do tego typu informacji – niekoniecznie do wszystkich – muszą (i mogą) mieć dostęp tylko administratorzy.
Najlepiej kierować się zasadą najmniejszego możliwego uprzywilejowania i udzielać użytkownikom dostępu do systemu tylko w takim zakresie, jaki jest konieczny – nigdy nie należy przyznawać go „lekką ręką”.
Co więcej, jeśli Twoja organizacja działa na silnie regulowanym rynku (medycyna, finanse itp.), a pracownicy migrują między działami, należy zwrócić szczególną uwagę na ich uprawnienia w zakresie dostępu.
Incydenty bezpieczeństwa zdarzają się najczęściej w okresach zmian stanowisk w organizacji. Paradoksalnie, najprostszym scenariuszem jest odejście pracownika z firmy. W tym momencie traci on wszelkie prawa dostępu.
#4: Monitoruj infrastrukturę chmury i reaguj na potencjalne zagrożenia
Podstawowym zadaniem zabezpieczeń jest sprawdzanie, czy wszystko działa, jak należy. Osoby próbujące włamać się do Twojej infrastruktury będą w stanie wyrządzić największe szkody, jeśli ich działania pozostaną niewykryte.
Rozwiązanie w zakresie całodobowego monitorowania bezpieczeństwa w chmurze jest koniecznością, podobnie jak reagowanie na ewentualne incydenty w czasie rzeczywistym.
Nigdy nie należy też oszczędzać na testach penetracyjnych. Polegają one na powierzeniu „białemu hakerowi” zadania etycznego włamania się do Twojej infrastruktury i zidentyfikowania jej podatności. Dzięki temu poznasz słabe punkty swojego systemu, a co za tym idzie, lepiej się zabezpieczysz przed rzeczywistymi naruszeniami.
Oprócz ochrony przed atakami testy penetracyjne pomagają również sprawdzić, czy Twój system monitoringu poprawnie wykrywa nieprawidłowości.
#5: Korzystaj z zabezpieczeń oferowanych przez dostawców chmury, takich jak kontrola dostępu
Kontrola dostępu to mechanizm określający, kto może uzyskać dostęp do danych lub zasobów w chmurze. Możesz go wdrożyć za pośrednictwem procesów uwierzytelniania i autoryzacji użytkowników i urządzeń.
Aby jeszcze lepiej zabezpieczyć dostęp do infrastruktury, nierzadko stosuje się tokeny sprzętowe. Usługi takie jak AWS IAM czy Azure AD umożliwiają zarządzanie dostępem zarówno do chmury, jak i do poszczególnych aplikacji. Działa to na podobnej zasadzie, jak dostęp do danych opisany w punkcie #3.
Nie ulega wątpliwości, że aplikacje to także dane. Różnica polega jednak na tym, że jeśli dane wpadną w niepowołane ręce, mogą służyć jako źródło ograniczonego zbioru informacji. Jeśli jednak ktoś nieuprawniony dostanie się do aplikacji i nie uda się tego wykryć, powstanie ryzyko długoterminowego wycieku danych.
Zainfekowana aplikacja może nawet niszczyć lub fałszować informacje, sabotując Twoją pracę. W takich przypadkach wykrycie zmian w danych może się okazać nie lada wyzwaniem, ponieważ nie ma jednego, oczywistego sposobu weryfikacji poprawności danych.
#6: Upewnij się, że masz kontrolę nad swoimi danymi
Usługi w chmurze to świetne narzędzie dla osób, które chcą skupić się na rozwijaniu swojego produktu i których nie interesują zaplecze. W takim przypadku przenosisz bowiem odpowiedzialność na kogoś bardziej doświadczonego, dzięki czemu możesz skoncentrować się na swoim produkcie.
Problem pojawia się, gdy dany komponent przestaje działać. Jeśli wybierzemy po prostu produkt znajdujący się aktualnie na szczycie hierarchii, pozbawimy się kontroli nad dostarczanymi nam usługami.
Oczywiście dostępne są usługi specjalistyczne, ale wiążą się one z dodatkowymi kosztami. Zazwyczaj kupuje się „rdzenie procesora”, „miejsce na dysku SSD” lub „zasoby pamięci RAM”. W takim przypadku nie wiadomo, czy dany model pamięci nie będzie podatny na ataki wykorzystujące jego niedociągnięcia i czy pamięć nie spowoduje utraty danych przy zapisie do określonej komórki.
O ile warto mieć te kwestie na uwadze, to trzeba też pamiętać, że do tego typu incydentów dochodzi rzadko.
#7: Zapewnij bezpieczeństwo połączeń z chmurą
Szyfrowanie danych to proces polegający na wykorzystaniu klucza szyfrującego do przekształcenia danych tak, aby były nieczytelne dla osób trzecich.
Można szyfrować dane przesyłane między użytkownikiem a chmurą oraz dane przechowywane w chmurze. Dostawcy chmury oferują różne opcje szyfrowania, w tym szyfrowanie po stronie klienta i szyfrowanie po stronie dostawcy. Takie zabezpieczenia pomagają zachować prywatność i bezpieczeństwo danych w chmurze.
Warto skonfigurować połączenia VPN dla swoich pracowników. Dzięki temu nawet jeśli atakujący przechwyci strumień danych, nie będzie w stanie go odszyfrować.
#8: Przestrzegaj wszystkich obowiązujących przepisów dotyczących bezpieczeństwa danych
Ogólne rozporządzenie o ochronie danych osobowych („RODO”) reguluje bezpieczeństwo przechowywania danych osobowych w UE, wyraźnie określając miejsca i sposoby ich przechowywania. Co więcej, osoba odpowiedzialna za dane musi wyraźnie wskazać, kto będzie miał do nich dostęp. Niewywiązanie się z tych obowiązków grozi karami, które mogą sięgać milionów euro.
Skutek jest taki, że chociaż dane można przechowywać praktycznie w dowolnym miejscu na świecie, fizycznie trzeba je przechowywać na terenie Unii Europejskiej. Jeśli tak nie jest, należy to natychmiast wyjaśnić.
Pamiętaj, że RODO to nie jedyny zbiór przepisów, który może Cię obowiązywać. Najwięcej pracy od strony prawnej będą miały organizacje z branży prawniczej, medycznej i finansowej.
#9: Regularnie testuj swoje środki bezpieczeństwa, aby mieć pewność, że spełniają swoją rolę
IT jest jedną z najbardziej dynamicznych branż. Z tego powodu nawet jeśli nie ma się bezpośredniego kontaktu z informatyką, trzeba „być na bieżąco”.
Jeśli Twoja organizacja korzysta z jakiegokolwiek systemu komputerowego, musisz wiedzieć o nim jak najwięcej. Musisz dbać o aktualność systemów operacyjnych, zakupionych aplikacji i innego oprogramowania.
Korzystanie z aplikacji w chmurze zwalnia z tych obowiązków. Wtedy bowiem to do usługodawcy należy zapewnianie aktualności oprogramowania – Ty możesz się skupić na właściwym przedmiocie swojej działalności.
Jednak nawet w takim przypadku nadal trzeba kontrolować sytuację, a nic nie zastąpi dobrze wyszkolonego administratora systemu.
#10: Przygotuj plan działania na wypadek incydentu bezpieczeństwa, aby móc szybko reagować na zagrożenia
Zawsze należy być przygotowanym na najgorsze. Nawet najlepiej zabezpieczony system nie jest wolny od ryzyka.
Jeśli dojdzie do naruszenia bezpieczeństwa, należy niezwłocznie przystąpić do realizacji planu utrzymania ciągłości działalności biznesowej. Wcześniejsze opracowanie potencjalnych scenariuszy i sposobów reagowania to absolutna konieczność. Niedopuszczalne jest liczenie na szczęście i ograniczanie się do łagodzenia skutków incydentów po ich wystąpieniu.
Załóżmy, że dane Twoich klientów zostają opublikowane w postaci pliku na jakimś forum. Czy Twoi administratorzy będą wiedzieli, co robić? Czy Twój dział biznesowy będzie wiedział, co robić? A jeśli tak, to czy te działania zostały przetestowane w praktyce, czy też funkcjonują wyłącznie na papierze?
Należy tutaj zwrócić uwagę na paradoks, którego ofiarą często nieświadomie padają organizacje: nigdy nie ma czasu na testowanie, ale zawsze jest czas na naprawianie. Porzucając taką postawę, można uniknąć wielu nieprzyjemnych sytuacji.
Bezpieczeństwo w chmurze jest w Twoich rękach
Przetwarzanie w chmurze niewątpliwie przynosi wiele korzyści, ale może również stanowić zagrożenie dla bezpieczeństwa. Model współdzielenia odpowiedzialności związany z usługami w chmurze publicznej może niekiedy prowadzić do nieporozumień.
Opóźniona reakcja w przypadku incydentu może doprowadzić do naruszenia bezpieczeństwa danych, wycieków i utraty cennych aktywów biznesowych, ale także do kosztownych ataków typu ransomware. Dlatego bezpieczeństwo w chmurze powinno być jedną z kluczowych kwestii od samego początku.
Mam nadzieję, że przedstawione powyżej strategie pomogą Ci stworzyć bezpieczną i niezawodną konfigurację chmury dla Twojej organizacji. Powodzenia!
W razie jakichkolwiek pytań napisz do nas, a nasz zespół ekspertów ds. bezpieczeństwa w chmurze z przyjemnością pomoże Ci sprostać wyzwaniom związanym z migracją do chmury.