Czym jest bezpieczeństwo chmury?

Bezpieczeństwo chmury to zbiór procedur, zasad i technologii chroniących oparte na chmurze środowiska obliczeniowe przed cyberzagrożeniami. W praktyce zapewnia to integralność i ochronę modeli chmury obliczeniowej podczas ataków lub włamań. Dostawcy usług chmurowych tworzą bezpieczną infrastrukturę chmurową.

Bezpieczeństwo chmury

Zabezpieczenie chmury nie jest tak skomplikowane, jak się wydaje. Istnieje wiele sposobów na ochronę działalności biznesowej i chmury przy jednoczesnym wykorzystaniu wszystkiego, co ona oferuje.

Bezpieczeństwo chmury rozpoczyna się od wyboru właściwego modelu usług, który spełnia potrzeby danej organizacji. Dostępne są trzy unikatowe modele usług i cztery opcje wdrażania w ramach oferty zabezpieczeń chmury. Modele usług to:

  • Infrastruktura jako usługa (IaaS):Model IaaS umożliwia firmie zbudowanie własnego wirtualnego centrum danych (vDC). Model wirtualny obejmuje zasoby dostępne w chmurze zamiast fizycznych, dostępnych w tradycyjnym centrum danych. W zwirtualizowanym centrum danym nie trzeba regularnie przeprowadzać konserwacji, aktualizacji ani serwisowania fizycznych maszyn.
  • Platforma jako usługa (PaaS): Model PaaS zapewnia wiele opcji umożliwiającym klientom dostarczanie, wdrażanie lub tworzenie oprogramowania.

 

Oprogramowanie jako usługa (SaaS):  W modelu SaaS klienci mają do dyspozycji oprogramowanie, którego nie trzeba instalować na komputerze ani serwerze. Do przykładów tego typu rozwiązań należą Microsoft 365 (wcześniej Office 365) i Gmail. Klienci potrzebują tylko komputera, tabletu lub telefonu, aby uzyskiwać dostęp do każdej z aplikacji. Firmy stosują wiele różnego rodzaju własnych określeń do opisu swoich usług, takich jak DRaaS (odzyskiwanie sprawności po poważnej awarii), HSMaaS (moduł bezpieczeństwa sprzętu), DBaaS (baza danych) czy XaaS (wszystko jako usługa). W zależności od strategii marketingowej firmy czasami trudno stwierdzić, czy dany produkt jest typu SaaS czy PaaS, ale w ostatecznym rozrachunku najważniejsze jest przestrzeganie zobowiązań umownych. Dostawcy usług chmurowych rozszerzają swoje umowy dotyczące zabezpieczeń o takie usługi, jak HSMaaS (Hardware Security Module) czy DRMaaS (Digital Rights Management).

Cztery modele wdrażania:

  • Publiczny:  Usługę może kupić każdy. Przykładami takich usług są Amazon Web Services (AWS), Microsoft Azure i Google Cloud Platform (GCP).
  • Prywatny: Stworzony dla jednej firmy, a sprzęt nie jest udostępniany nikomu innemu. Model prywatny może być zbudowany na bazie chmury publicznej lub we własnym centrum danych klienta, ale może też być realizowany przez firmę specjalizującą się w dostarczaniu chmur prywatnych, czyli przez dostawcę usług zarządzanych.
  • Społecznościowy: Ten model opiera się na koncepcji współdzielenia. Kilka firm może wspólnie korzystać z usługi lub z danych w tej usłudze. Przykładem takiego rozwiązania są chmury wykorzystywane przez wiele agencji rządowych.
  • Hybrydowy: Ten model łączy przynajmniej dwa z wcześniej wymienionych: publiczny i prywatny, prywatny i społecznościowy lub publiczny i społecznościowy. Możliwe jest też połączenie trzech modeli.

Który aspekt bezpieczeństwa chmury jest najważniejszy?

Wszystkie aspekty zasad ochrony chmury są ważne, ale są podstawowe elementy, które powinien oferować każdy dostawca. Są one uważane za niezbędne i niektóre z najważniejszych aspektów infrastruktury bezpieczeństwa chmury. Jeśli wybrany dostawca zapewnia wszystkie te podstawowe elementy, uzyskasz najpełniejszą strategię bezpieczeństwa chmury, jaką można wdrożyć.

Stałe monitorowanie: Dostawcy zabezpieczeń chmury mogą zapewnić Ci wgląd w to, co dzieje się na Twoich platformach chmurowych, nieprzerwanie rejestrując dane w dziennikach. W razie incydentu zespół ds. bezpieczeństwa może sprawdzić i porównać wewnętrzne dziennika z rekordami dostawcy, aby uzyskać informacje o potencjalnych atakach lub zmianach. Może to pomóc w szybkim wykrywaniu i reagowaniu na wszelkie incydenty.

Zarządzanie zmianami: Twój dostawca zabezpieczeń chmury powinien oferować protokoły zarządzania zmianami w celu monitorowania mechanizmów zgodności w razie zażądania zmian, modyfikacji lub przeniesienia zasobów albo wprowadzania serwerów do użytku lub ich wycofywania. Można wdrożyć dedykowane aplikacje do zarządzania zmianami, aby automatycznie monitorować nietypowe zachowanie i szybko podjąć działania zapobiegawcze lub naprawcze.

Mechanizmy bezpieczeństwa typu zero-trust: Odizoluj aplikacje i zasoby o znaczeniu krytycznym od sieci chmurowej. Zapewnianie prywatności obciążeń i blokowanie dostępu do nich pomoże w egzekwowaniu zasad bezpieczeństwa chroniących środowisko oparte na chmurze.

Pełna ochrona danych: Twój dostawca powinien oferować ochronę danych z dodatkowym szyfrowaniem warstw transportowych, zapewniać właściwą higienę danych, stałe monitorowanie zarządzania ryzykiem, bezpieczne udostępnianie plików i chronioną komunikacją. W skrócie – dostawca powinien doskonale radzić sobie ze wszystkimi aspektami ochrony Twoich danych biznesowych.

Zadaj sobie pytanie: „Jakie problemy mogą mnie dotyczyć?”. Pomoże to określić pytania, jakie należy zadać dostawcy chmury, a które pomogą w zrozumieniu najważniejszych aspektów, o których należy pamiętać.

Architektura chmurowa

W uproszczeniu architektura chmurowa jest wynikiem zestawienia wielu środowisk w celu udostępniania skalowalnych zasobów w aplikacjach, bazach danych i innych usługach. Zasadniczo ten termin odnosi się do infrastruktury i komponentów współdziałających ze sobą i razem tworzących "chmurę", jaką znamy.

Podstawowe składniki chmury to sieci, routery, przełączniki, serwery, zapory i systemy wykrywania włamań. Chmura zawiera także wszystkie elementy serwerowe, np. hipernadzorcę, maszyny wirtualne i oprogramowanie. Ponadto architektura chmurowa musi mieć dostawcę, architekta i brokera do tworzenia, zarządzania oraz sprzedaży i kupna usług chmurowych. To cały ekosystem do śledzenia, ale gdy ktoś mówi o „chmurze”, zasadniczo ma na myśli architekturę chmurową.

Wiele pojęć ze świata architektury chmurowej to stare terminy z dodatkiem słowa „chmura” w odpowiedniej formie, np. konsument chmury. Jeśli rozumiesz pojęcie konsumenta, to ten nowy termin też powinien być dla Ciebie jasny. Oznacza konsumenta usług chmurowych w odróżnieniu od np. usług telefonicznych.

Oto kilka podstawowych przykładów:

  • Konsument chmury: Osoba lub firma korzystające z usług chmurowych świadczonych przez dostawcę takich usług.
  • Dostawca chmury: Osoba lub firma posiadające zasoby pozwalające im na świadczenie wymaganego przez klienta zakresu usług. Zasoby te obejmują technologie umożliwiające tworzenie serwerów i maszyn wirtualnych, przechowywanie danych lub inne zasoby wymagane przez klientów.
  • Broker chmury: Osoba lub firma zajmujące się zarządzaniem kwestiami związanymi z dostarczaniem, użytkowaniem i wydajnością chmury na potrzeby klienta oraz negocjujące w jego imieniu relacje z dostawcą.
  • Operator chmury: Operator to dostawca usług łączący firmę z chmurą, np. dostawca usług internetowych (ISP). W przypadku przedsiębiorstw jest to zazwyczaj połączenie typu MPLS (multiprotocol label switching).
  • Audytor chmury: Osoba lub firma przeprowadzające audyty środowiska dostawcy chmury. Audyty obejmują zarówno kontrolę przestrzegania zasad zachowania prywatności, jak i bezpieczeństwa.

Bezpieczna architektura chmurowa

Podstawę bezpieczeństwa chmury stanowi jej architektura systemu bezpieczeństwa zawierająca podstawowe elementy. Do tradycyjnych elementów zabezpieczeń zaliczają się zapory (FW), ochrona przed złośliwym oprogramowaniem oraz systemy zapobiegania włamaniom (IDS). Do zaprojektowania bezpiecznych struktur w chmurze potrzebni są również audytorzy chmury, architekci i inżynierowie zabezpieczeń.

Innymi słowy, bezpieczeństwo architektury chmurowej nie ogranicza się jedynie do sprzętu lub oprogramowania.

Projektowanie bezpiecznej architektury zaczyna się od zarządzania ryzykiem. Wiedza na temat tego, co może pójść nie tak i jaki wpływ może to mieć na firmę, ułatwia podejmowanie odpowiedzialnych decyzji. Trzy krytyczne obszary wymagające dokładnego omówienia to ciągłość działalności firmy, łańcuch dostaw i bezpieczeństwo fizyczne.

Co na przykład stanie się z Twoją firmą, jeśli u dostawcy chmury zdarzy się awaria? Przeniesienie serwerów, usług i danych do chmury nie zwalnia z obowiązku przygotowania planu awaryjnego pozwalającego na zachowanie ciągłości działalności działania biznesu i ewentualnego wznowienie jej po awarii.

Co by było, gdyby każdy mógł wejść do centrum danych dostawcy chmury? W przypadku wielkiej trójki – AWS, GCP i Azure – nie byłoby to łatwe i o to właśnie chodzi. Dostawcy tych usług dokonali bardzo dużych inwestycji w bezpieczeństwo centrów danych.

Co z innymi dostawcami usług chmurowych? Poproś dostawcę usług chmurowych o prezentację potencjału centrum danych, a także o udział w audycie. Sprawdź, co odpowie. Czy dostawca będzie skłonny do tego, aby pozwolić Ci obejrzeć centrum danych następnego dnia? Jeśli dostanie się do centrum danych nie wymaga zbyt wiele zachodu, być może należy przemyśleć korzystanie z usług danego dostawcy.

Mniejsi dostawcy usług chmurowych mogą nie mieć fizycznego centrum danych. Najczęściej tylko odsprzedają usługi wielkich dostawców. To nawet zaleta ukazująca piękno rozwiązań chmurowych. Jeśli relacja między dostawcami usług chmurowych jest nieznana, mogą pojawić się dodatkowe problemy związane z przepisami prawa, regulacjami i umowami. Zadaj proste pytanie: Gdzie znajdują się moje dane? Jeśli z dostawcą usług chmurowych trudno się skontaktować, może to być trudne do określenia. Może to też mieć konsekwencje prawne, które wynikają na przykład z RODO.

Wśród elementów składających się na bezpieczną architekturę chmurową mogą znajdować się także usługi zabezpieczeń chmury. Można na przykład wykupić usługi zapobiegania wyciekom danych (DLPaaS). W zachowaniu bezpieczeństwa pomagają też inne narzędzia, np. do skanowania, które wyszukują informacje umożliwiające osobistą identyfikację w celu ich odpowiedniego zabezpieczenia. Zarządzanie bezpieczeństwem chmury jest niezbędne do tego, aby zapewnić jej prawidłowe działanie.

Czym jest program ochrony aplikacji chmurowych (CNAPP)?

CNAPP to grupa zabezpieczeń chmurowych, która ma pomagać w identyfikacji, ocenie, ustalaniu priorytetów i dostosowywaniu się do ryzyka w wielu różnych aplikacjach chmurowych.

W związku z tym CNAPP obejmuje wiele najważniejszych funkcji zgromadzonych z odizolowanych produktów i platform, do których należą: skanowanie artefaktów, ochrona środowiska uruchomieniowego i konfiguracja chmury. Mogą one obejmować następujące elementy:

  • kontrole pod kątem nieprawidłowej konfiguracji otwartych zasobników Amazon S3, baz danych i portów sieciowych;
  • monitorowanie środowiska uruchomieniowego i ochronę obciążeń chmurowych;
  • automatyczne wykrywanie lub w zabezpieczeniach kontenerów, maszyn wirtualnych (VM) lub funkcji bezserwerowych;
  • skanowanie kluczy tajnych i danych poufnych pod kątem narażenia na typowe zagrożenia (CVE) i złośliwe oprogramowanie;
  • skanowanie infrastruktury jako kodu (Infrastructure as Code – IaC).

 

Trend Micro można uznać za dostawcę CNAPP, a produkty takie jak Trend Micro Cloud One™ – platforma usług bezpieczeństwa przeznaczona dla twórców chmury – doskonale wpisuje się w architekturę CNAPP.

Zgodność chmury z przepisami

Firmy muszą przestrzegać różnych przepisów prawa, regulacji i postanowień umów. Jeśli przekazujesz dane i usługi innym podmiotom, muszą zostać spełnione określone, skomplikowane wymagania, które pozwolą zapewnić zgodność z prawem.

Jeśli chodzi o kwestie prawne, firmy muszą przestrzegać europejskiego rozporządzenia RODO, ustawy Sarbanes-Oxley regulującej ochronę danych finansowych w USA, amerykańskiej ustawy dotyczącej przenośności ubezpieczeń zdrowotnych i odpowiedzialności za nie (HIPAA) i innych regulacji. Ponadto dane kart kredytowych muszą być chronione zgodnie z normą Payment Card Industry – Data Security Standard (PCI-DSS).

Po zidentyfikowaniu podmiotu zgodności z przepisami można podjąć wiele działań, z których jednym jest przeprowadzenie audytu. Audyt należy przeprowadzić standardową metodą i przy wykorzystaniu sprawdzonej metodyki, np. zgodnie z normą SSAE 18 (Statement of Standards on Attestation Agreements nr 18) Amerykańskiego Instytutu Biegłych Rewidentów (American Institute of Certified Public Accountants). Raport z audytu może ukazywać potencjalne problemy ze zgodnością. Wybierając dostawcę chmury, należy przejrzeć takie raporty, aby poznać poziom zabezpieczeń centrum danych i wiedzieć, czego można się spodziewać.

Powiązane artykuły

Powiązane badania