Bezpieczeństwo chmury odnosi się do procedur, polityk i technologii stosowanych przez organizacje w celu ochrony aplikacji, infrastruktury i danych opartych na chmurze przed naruszeniami danych, nieautoryzowanym dostępem i atakami cybernetycznymi.
Spis treści
Organizacje dzisiaj przechowują ogromne ilości danych i oprogramowania w chmurze—wszystko to musi być chronione przed zagrożeniami wewnętrznymi i zewnętrznymi atakami.
Nie ma jednej rzeczy, która jest "chmurą". Termin ten odnosi się do architektur chmury obliczeniowej, które łączą zasoby wielu środowisk komputerowych w celu przechowywania danych i hostowania baz danych, aplikacji oprogramowania i innych usług.
Istnieją cztery podstawowe typy środowisk chmurowych: Chmury publiczne, które każdy może używać lub subskrybować; Chmury prywatne, które są zbudowane na zamówienie dla konkretnej firmy, grupy lub organizacji; Chmury społecznościowe, które są współdzielone przez kilka powiązanych firm, agencji rządowych lub innych podmiotów; Chmury hybrydowe, które łączą dowolne dwa lub trzy z pozostałych modeli.
Ponieważ środowiska chmurowe są "rozproszone" (co oznacza, że ich komponenty są rozproszone i połączone sieciowo), potrzebują własnych unikalnych i szczególnych podejść do bezpieczeństwa.
Chmura obliczeniowa to praktyka dostępu do oprogramowania, baz danych i zasobów obliczeniowych przez internet, zamiast polegać wyłącznie na lokalnym sprzęcie. Podejście to pozwala firmom na efektywne skalowanie poprzez outsourcing części lub całości zarządzania infrastrukturą do zewnętrznych dostawców chmury.
Najczęściej używane usługi chmurowe obejmują:
Model IaaS pozwala firmie na zbudowanie własnego wirtualnego centrum danych (vDC). Wirtualne centrum danych oferuje zasoby oparte na chmurze zamiast fizycznych korzyści, jakie może zapewnić tradycyjne centrum danych. Nie ma potrzeby regularnej konserwacji, aktualizacji ani serwisowania fizycznych maszyn w przypadku wirtualnego centrum danych.
Model PaaS oferuje różnorodne opcje, które pozwalają klientom na udostępnianie, wdrażanie lub tworzenie oprogramowania.
Model SaaS zapewnia klientom oprogramowanie, które nie wymaga użycia komputera lub serwera do jego budowy. Przykłady obejmują Microsoft 365 (dawniej Office 365) i Gmail. Dzięki tym opcjom klienci potrzebują tylko komputera, tabletu lub telefonu, aby uzyskać dostęp do każdej aplikacji. Firmy używają różnych terminów, aby podkreślić swoje produkty, od DRaaS (disaster recovery) do HSMaaS (hardware security module) do DBaaS (database) i, w końcu, XaaS (anything). W zależności od tego, co firma reklamuje, może być trudne określenie, czy produkt jest SaaS czy PaaS, ale ostatecznie ważniejsze jest zrozumienie obowiązków kontraktowych dostawcy chmury. Dostawcy chmury rozszerzają swoje kontrakty, aby dodać bezpieczeństwo na formacjach chmurowych poprzez usługi takie jak HSMaaS (hardware security module) lub DRMaaS (digital rights management).
Modele wdrażania chmury definiują, jak usługi chmurowe są zarządzane i dostępne w zależności od potrzeb organizacji. Każdy model ma różne poziomy kontroli, skalowalności i bezpieczeństwa, co sprawia, że wybór odpowiedniego modelu na podstawie celów biznesowych jest kluczowy.
Cztery modele wdrażania chmury to:
Infrastruktura otwarta do użytku przez ogół społeczeństwa lub dużą grupę przemysłową, działa na modelu wielo-tenantowym; wielu użytkowników z różnych organizacji korzysta z usługi jednocześnie. Dostępna dla każdego do zakupu.
Najlepsze przykłady dzisiaj to Amazon Web Services (AWS), Microsoft Azure i Google Cloud Platform (GCP).
Jest zbudowana dla jednej firmy, a sprzęt nie jest współdzielony z nikim innym. Model prywatny może być zbudowany na chmurze publicznej lub w własnym centrum danych, lub w firmie specjalizującej się w budowaniu chmur prywatnych, czyli dostawcy usług zarządzanych i jest niedostępny dla osób spoza organizacji, ponieważ działa na modelu jednego najemcy; tylko pracownicy organizacji mogą uzyskać dostęp do prywatnej chmury w różnych potrzebach operacyjnych.
To koncepcja współdzielenia między firmami. Usługa może być współdzielona, lub dane mogą być współdzielone na tej usłudze. Jednym z przykładów mogą być chmury zbudowane przez rząd, współdzielone przez wiele agencji.
To wykorzystanie co najmniej dwóch z trzech wymienionych powyżej modeli wdrażania: publicznej i prywatnej, prywatnej i społecznościowej, lub publicznej i społecznościowej. Na przykład, z prywatną i publiczną, pozwala to na połączenie niezawodności prywatnej chmury i pojemności na żądanie chmury publicznej.
Jest idealna dla firm, które świadczą usługi lub oferują produkty.
Architektury bezpieczeństwa chmury łączą różnorodne narzędzia, środki i technologie zabezpieczeń oraz cyberbezpieczeństwa w celu ochrony zasobów i informacji związanych z chmurą obliczeniową. Te środki obejmują tradycyjne zapory ogniowe, obronę anty-malware i systemy wykrywania włamań (IDS), a także specyficzne dla chmury zabezpieczenia, takie jak systemy uwierzytelniania wieloczynnikowego (MFA), programy ochrony aplikacji natywnych dla chmury (CNAPPs), zapory ogniowe oparte na chmurze, systemy bezpieczeństwa kontenerów chmurowych i brokerzy bezpieczeństwa dostępu do chmury (CASBs).
Bezpieczeństwo chmury umożliwia organizacjom ochronę środowisk chmurowych poprzez kombinację rygorystycznych kontrol dostępu i polityk bezpieczeństwa, zaawansowanych środków wykrywania i reagowania na zagrożenia oraz najnowszych narzędzi, technologii i najlepszych praktyk w zakresie bezpieczeństwa AI i cyberbezpieczeństwa AI.
W przeciwieństwie do tradycyjnych środków bezpieczeństwa, które chronią fizyczne systemy IT na miejscu i dane, bezpieczeństwo chmury koncentruje się na zabezpieczaniu danych, usług, narzędzi i aplikacji opartych na chmurze organizacji przed szerokim zakresem zagrożeń cybernetycznych. Obejmuje to ochronę środowisk chmurowych przed zagrożeniami takimi jak:
Chociaż platformy bezpieczeństwa chmury mogą wyglądać bardzo różnie w zależności od środowiska chmurowego, organizacji czy branży, większość rozwiązań bezpieczeństwa chmury typu all-in-one (AIO) opiera się na zestawie podstawowych funkcji, narzędzi i technologii, aby zapewnić najlepszą możliwą ochronę. Obejmują one:
Włączenie tych środków jako część kompleksowej strategii bezpieczeństwa chmury może pomóc w ochronie kluczowych zasobów, usług i danych opartych na chmurze przed złymi aktorami oraz chronić relacje biznesowe i reputację organizacji.
Pomimo ostatnich postępów w bezpieczeństwie chmury i wielu korzyści oferowanych przez chmurę obliczeniową, istnieje wiele ryzyk i wyzwań, które organizacje muszą wziąć pod uwagę podczas zabezpieczania swoich środowisk chmurowych. Obejmują one:
Większość organizacji dzisiaj polega na chmurze jako niezbędnym elemencie prowadzenia działalności—do tworzenia kopii zapasowych ważnych dokumentów, rozwijania i testowania oprogramowania, wysyłania i odbierania e-maili, czy obsługi klientów. W rezultacie, dla firm niemal w każdej branży kluczowe jest zapewnienie odpowiednich środków bezpieczeństwa chmury, aby chronić swoje dane, utrzymać zgodność z regulacjami oraz zapobiegać wszelkiego rodzaju cyberatakom.
W miarę jak coraz więcej organizacji przechowuje większe ilości poufnych, wrażliwych i własnościowych danych w chmurze, liczba, częstotliwość i zaawansowanie cyberataków wymierzonych w te dane rośnie w tempie wykładniczym.
Środki bezpieczeństwa chmury, takie jak technologie zapobiegania utracie danych (DLP), uwierzytelnianie wieloczynnikowe oraz szyfrowanie danych, są niezbędnym sposobem ochrony danych w chmurze i utrzymania ich poza zasięgiem cyberprzestępców.
Aby uniknąć zarzutów niezgodności lub ryzyka wysokich kar, organizacje przechowujące wrażliwe lub prywatne informacje w chmurze muszą zawsze pozostawać zgodne ze wszystkimi przepisami i regulacjami dotyczącymi sposobu przechowywania, zabezpieczania i ochrony tych danych przed kradzieżą.
Proaktywna strategia bezpieczeństwa chmury jest kluczowa dla zapewnienia zgodności chmury ze wszystkimi odpowiednimi organami regulacyjnymi, w tym amerykańską ustawą o przenoszeniu i ochronie ubezpieczenia zdrowotnego (HIPAA), Sarbanes-Oxley – ochrona danych finansowych w USA (SOX), standardem bezpieczeństwa danych w branży kart płatniczych (PCI DSS) oraz ogólnym rozporządzeniem o ochronie danych (GDPR) Unii Europejskiej.
Cyberataki i naruszenia danych w chmurze mogą również powodować poważne zakłócenia w operacjach biznesowych i ciągłości działania, a potencjalnie kosztować organizacje miliony dolarów w utraconej produktywności, utraconych sprzedażach i uszczerbku na reputacji.
Solidny system bezpieczeństwa chmury może pomóc w łagodzeniu tych ryzyk, obronie przed obecnymi i przyszłymi zagrożeniami cybernetycznymi oraz umożliwić firmom kontynuowanie normalnej działalności zarówno na miejscu, jak i w chmurze.
Ponadto, elastyczność, skalowalność i stosunkowo niższe koszty początkowe bezpieczeństwa chmury sprawiają, że jest ona niezbędnym elementem fali transformacji cyfrowej.
Oprócz oferowania organizacjom efektywnego i ekonomicznego sposobu wspierania, ulepszania i ochrony ich działań związanych z transformacją cyfrową, gdy przenoszą więcej swojej działalności i danych do chmury, rozwiązania bezpieczeństwa chmury pomagają również tworzyć bezpieczne i zaufane środowiska chmurowe, które sprzyjają płynnej współpracy między pracownikami, umożliwiają więcej opcji pracy zdalnej i hybrydowej, napędzają innowacje oraz zwiększają zarówno rentowność, jak i efektywność operacyjną.
Aby zapewnić najlepszą możliwą ochronę danych, zasobów i aplikacji opartych na chmurze, istnieje szereg najlepszych praktyk, które organizacje powinny przyjąć podczas opracowywania lub wdrażania strategii bezpieczeństwa chmury. Obejmują one:
Dziedzina bezpieczeństwa chmury rozwija się niemal codziennie. Trzy kluczowe trendy, które wydają się szczególnie kształtować przyszłość bezpieczeństwa chmury i cyberbezpieczeństwa, to: wzrost architektur zero-trust; rosnąca integracja sztucznej inteligencji (AI) i uczenia maszynowego w rozwiązaniach bezpieczeństwa chmury; oraz ciągła ewolucja frameworków bezpieczeństwa chmury.
Architektury zero-trust odzwierciedlają podejście do cyberbezpieczeństwa, które ma na celu zminimalizowanie ryzyka zagrożeń cybernetycznych do absolutnego minimum, zakładając, że każdy zasób, połączenie lub użytkownik jest podejrzany, dopóki nie zostanie zweryfikowany.
W miarę jak naruszenia danych i cyberataki w chmurze stają się coraz bardziej powszechne i podstępne, podejście zero-trust do bezpieczeństwa chmury może obejmować środki takie jak ciągłe monitorowanie zasobów i aplikacji opartych na chmurze w celu identyfikacji luk lub słabości, podział sieci chmurowych na oddzielne, niezależnie zabezpieczone "strefy", aby zapobiec rozprzestrzenianiu się naruszeń danych i cyberataków w całym środowisku chmurowym, lub wymaganie od użytkowników ciągłego uwierzytelniania i autoryzacji przed uzyskaniem dostępu do danych lub usług chmurowych organizacji.
AI odnosi się do każdego systemu lub komputera, który wykorzystuje zaawansowane technologie obliczeniowe, takie jak głębokie uczenie, uczenie maszynowe (ML) i sieci neuronowe, aby naśladować sposób, w jaki ludzki mózg rozwiązuje problemy, podejmuje decyzje i wykonuje zadania. W miarę jak aplikacje AI nadal się rozwijają i stają się bardziej zaawansowane, aplikacje AI i ML będą prawdopodobnie znacznie bardziej zintegrowane z bezpieczeństwem chmury.
Oprócz zwiększenia szybkości i efektywności technologii cyberbezpieczeństwa w chmurze, rozwiązania bezpieczeństwa chmury oparte na AI mogą wykorzystać moc sztucznej inteligencji do analizy i oceny ogromnych ilości danych w czasie rzeczywistym, automatyzować szeroki zakres środków wykrywania zagrożeń i reagowania oraz umożliwić organizacjom różnej wielkości proaktywną obronę swoich zasobów chmurowych, danych i aplikacji przed zagrożeniami cybernetycznymi.
Frameworki bezpieczeństwa chmury to szczegółowe zestawy polityk, wytycznych, kontroli dostępu i najlepszych praktyk, które organizacje przyjmują w celu ochrony danych opartych na chmurze, zabezpieczenia aplikacji i usług chmurowych oraz ochrony środowisk chmurowych przed atakami.
Niektóre z obecnie wiodących w branży frameworków bezpieczeństwa chmury obejmują Cybersecurity Framework (NIST CSF) Narodowego Instytutu Standaryzacji i Technologii, framework bezpieczeństwa chmury MITRE ATT&CK, Krytyczne Kontrole Bezpieczeństwa Centrum Bezpieczeństwa Internetowego (CIS), framework Security, Trust, Assurance and Risk (STAR) Cloud Security Alliance (CSA) oraz standardy ISO/IEC 27001 dotyczące systemów zarządzania bezpieczeństwem informacji (ISMS).
W miarę jak organizacje nadal przyjmują lub stosują te i inne emerging frameworki, będą lepiej przygotowane do zabezpieczenia swoich środowisk chmurowych, ochrony swoich zasobów i danych opartych na chmurze przed naruszeniami lub cyberatakami oraz zapewnienia zgodności ze wszystkimi krajowymi i międzynarodowymi przepisami i regulacjami.
Platforma Trend Vision One™ Cloud Security to potężne rozwiązanie bezpieczeństwa chmury typu all-in-one, które pozwala organizacjom zwiększyć widoczność swoich środowisk chmurowych, kontrolować dostęp do danych chmurowych, automatyzować i wzmacniać swoje obrony bezpieczeństwa chmury i cyberbezpieczeństwa oraz proaktywnie chronić swoje zasoby chmurowe, aplikacje i usługi przed nowymi i emerging zagrożeniami cybernetycznymi, cyberatakami i naruszeniami danych.
Między innymi, Cloud Security oferuje ciągłe monitorowanie w czasie rzeczywistym i ocenę ryzyka powierzchni ataku we wszystkich obciążeniach roboczych, kontenerach, API i zasobach chmurowych. Zapewnia wiodącą w branży ochronę dla środowisk chmurowych, multi-cloud i hybrydowych poprzez wykrywanie i reagowanie na zagrożenia w czasie rzeczywistym, automatyczne skanowanie podatności, zaawansowane możliwości szyfrowania oraz kompleksowe zapewnienie zgodności i egzekwowanie. Daje organizacjom widoczność i kontrolę, której potrzebują, aby maksymalizować swoją postawę bezpieczeństwa chmury i chronić swoje zasoby chmurowe przed stale ewoluującymi zagrożeniami, atakami i cyberprzestępcami.
Verizon's data breach report & unsecured cloud storage
Shared Responsibility for Cloud Security
You're One Misconfiguration Away from a Cloud-Based Data Breach
Microsoft Azure Well-Architected Framework
Using Shift-Left to Find Vulnerabilities Before Deployment
AWS Well-Architected
Safe, Secure and Private, Whatever Your Business
National Institute of Standards and Technology (NIST)