Zasady bezpieczeństwa pracy w chmurze

7 marca 2022

Najczęstszą przyczyną wycieków danych z chmury nie są wcale błędy w oprogramowaniu czy też działaniu hakerów, ale administratorów, którzy zapominają skonfigurować zabezpieczenia albo robią to niedokładnie. Wystarczy dostosować się do kilku zasad, a pozwoli to zminimalizować ryzyko takich incydentów nie zależnie z jakich platform się korzysta. Jednym z głównych błędów jest założenie, że za bezpieczeństwo odpowiada jedynie dostawca usługi.

Tacy giganci jak Microsoft, Google czy Amazon są zobowiązani zagwarantować bezpieczeństwo własnej infrastruktury Laas w centrach danych, sprzętu, na których pracują urządzenia, ale muszą również dbać o aktualizację oprogramowania. Dbanie o zabezpieczenie własnych urządzeń wirtualnych urządzeń i działających na nich aplikacjach leży już po stronie użytkowników i klientów. Nie ma znaczenia, jaki rodzaj zabezpieczeń stosuję dostawca usługi, jeśli użytkownik sam nie zadba o odpowiednio wyskoki stopień bezpieczeństwa.

Ważne, aby operator, który dostarcza klientowi usługi chmurowe, dał klientowi odpowiednie narzędzia, aby mógł odpowiednio zabezpieczyć własne zasoby. Ich wdrożenie i zarządzanie pozostaje w gestii użytkownika. Kolejnym powodem problemów z bezpieczeństwem jest rozbieżność między tym jak użytkownik pojmuje swoje zasoby oraz kwestię ich bezpieczeństwa a rzeczywistością. Użytkownicy biznesowi funkcjonują w przeświadczeniu, że wciąż czyhają cyberprzestępcy gotowi na atak na systemy zabezpieczeń ich firmy i okradzenia ich z danych. Z drugiej zaś strony gdzieś z tyłu głowy krąży myśl, że to jednak mało prawdopodobne, bo przecież, dlaczego właściwie ktoś chce atakować moją firmę. Rzeczywistość pokazuje, że większość przestępców internetowych wcale nie planuje ataku na daną firmę.

Hakerzy to drapieżniki, którzy śledzą w sieci firmy podatne na ataki zewnętrzne, bez odpowiedniej ochrony i dopiero kiedy znajdą słabości danego użytkownika przepuszczają atak. Następnym problemem jest coraz wyższy poziom skomplikowania firmowych systemów IT. Wiele dużych firm sięga po rozwiązania typu multi-cloud, czyli usługi chmurowe od różnych dostawców, a to z kolei sprawia, że systemy stają coraz mniej klarowne i trudno się nimi zarządza.

Taki stan rzeczy stwarza mnóstwo okazji do popełniania wielu błędów przy konfiguracji i nawet sami klienci nie zdają sobie z tego sprawy. Ok.70 % firm deklaruje, że korzysta właśnie z multi-cloud a analizy wykazały, że takie rozwiązania wdrożyło aż 90%, czyli ok.20% administratorów nie ma pojęcia czym zarządza, a to przekłada się znacząco na ilość błędów i zaniedbań. Sytuacji nie poprawia również spora konkurencja na rynku usług. Giganci na ryku w tej branży właściwie na bieżąco wprowadzają nowe narzędzia, funkcje oferty i aplikacje.

Aby rzeczywiście zapewnić zabezpieczenie stale rozwijającego się środowiska, należy zastosować kilka zasad:

  1. Odpowiedzialność i wiedza — usługi chmurowe różnią się między sobą zarówno funkcjonalnością jak i tym, kto ponosi odpowiedzialność za bezpieczeństwo konkretnych elementów. Kiedy mówimy o usługach Software as a Service, to właśnie operator dba o przepływ danych, plików czy aplikacji. W środowisku LaaS to klient ma pełną kontrolę nad infrastrukturą, oprogramowaniem, kontrolę nad dostępem czy uwierzytelnieniem.
  2. Kontrola dostępu — „polityka dostępowa” to jeden z większych problemów użytkowników usług w chmurze. Niestety w ok.51% różnego typu organizacjach przydarzyło się przynajmniej jeden raz udostępnić przypadkowo chmurowe zasoby na zewnątrz. Kolejnym poważnym błędem jest umożliwienie nawiązania połączeń SSH poprzez Internet, a to teoretycznie otwiera nieautoryzowanym użytkownikom drogę do odszukania i wykorzystania błędów w konfiguracji chmurowej.
  3. Szyfrowanie danych — nadużyciem administratorów jest przechowywanie w chmurze nieszyfrowanych danych. Taki błąd nie powinien mieć absolutnie miejsca, wszyscy liczący się dostawcy chmury zalecają szyfrowanie danych i jednocześnie dostarczają odpowiednie narzędzia do tego. Problem pojawia się, jeśli sami klienci z tego nie korzystają a szkoda, bo to bardzo skuteczna opcja zabezpieczeń chroniąca dane przed odczytaniem nawet podczas wycieku czy kradzieży danych. O ile jest to możliwe należy zrobić wszystko, aby zachować pełną kontrole nad kluczami szyfrującymi, choć nie zawsze jest to możliwe, ale czasem konieczne jest przecież udostępnienie ich np. partnerom.
  4. Ochrona danych logowania — czasem zdarza się tak, że również specjaliści w branży IT nie przykładają należytej uwagi do wysokiego poziomu bezpieczeństwa podczas logowania. Kiedy zostaje wykonana analiza „włamań”, okazuje się, że „ofiary” korzystała ze zbyt słabych lub domyślnych haseł, a to z kolei otwierało włamywaczom drogę do zasobów użytkownika. Do każdej aplikacji czy danego zasobu powinno się tworzyć unikatowe i silne hasła i pamiętać o regularnej zmianie na nowe równie mocne. Dzięki temu jest spora szansa na to, że podczas włamania osoby nieupoważnionej przejmie ona nieaktualne hasła. Istotne jest również to, aby udzielać dostępów i uprawnień użytkownikom, którzy go mieć powinni. Dobrze jest, jeśli do codziennej pracy rezygnuje się z konta root nawet jeśli chodzi o zadania administracyjne. Systematycznie należy obserwować nieaktywne konta użytkowników i w razie potrzeby usuwać je.
  5. Higiena informatyczna — polega głównie na tym, aby zabezpieczenie środowiska chmurowego było procesem wieloetapowym, w który zostają wykorzystane technologie z dziedziny bezpieczeństwa, ponieważ w razie ataku zewnętrznego jest duża szansa, że zasoby nie zostaną naruszone. Właśnie dlatego istotne jest, aby uwierzytelnienie było wieloetapowe z wykorzystaniem loginu i hasła.
  6. Przejrzystość — dostawcy najpopularniejszych platform chmurowych oferują narzędzia pozwalające na aktywowanie bezpiecznego logowania, a jednocześnie monitorujące wszelkie nieudane próby logowania. W praktyce widać, że wielu użytkowników nie aktywuje tych rozwiązań i jest to nieuzasadnione, ponieważ to fantastyczne narzędzia do identyfikowania potencjalnych prób ataku, podejrzanych zachowań, anomalii czy błędów.
  7. ” Shift-left” w bezpieczeństwie — to nic innego jak planowanie i wprowadzanie w życie opcji związanych z bezpieczeństwem na najwcześniejszym etapie. Często jednak wygląda to tak, że najpierw zostaje wdrożone jakieś rozwiązanie, a następnie dodawane są do niego narzędzia zabezpieczające.
 

Wszyscy, którzy korzystamy z Internetu, aplikacji, programów pamiętajmy, aby dla własnego bezpieczeństwa zabezpieczać własne urządzenia i wszystkie dane, jakie w nich gromadzimy.

Other entries

7 Zasad testowania oprogramowania

7 Zasad testowania oprogramowania

Czy wiesz drogi czytelniku co to w ogóle jest testowanie oprogramowania i czy tak naprawdę jest konieczne? Mnie na myśl przychodzi, że słowo testowanie to nic innego jak sprawdzenie czegoś oraz czy jego funkcjonalność jest zgodna z moimi oczekiwaniami. Należy brać pod...

czytaj dalej
Dobry lider w IT

Dobry lider w IT

Chociaż w ostatnich latach powstały niezliczone ilości artykułów i publikacji na temat przywództwa w różnych organizacjach to tak naprawdę wciąż nie powstała ani jedna wspólna definicja dobrego lidera czy lidera w ogóle. Tworzenie wizji, samodyscyplina czy pewność...

czytaj dalej
Przechowywanie danych w chmurze

Przechowywanie danych w chmurze

Czy chmura sprawdza się jako dysk przenośny? Nie płyta, nie pendrive, nie dyskietka, na tych nośnikach już praktycznie nie przechowuje się danych, teraz niemal wszystko gromadzi się w chmurze. Dla wielu to już standard, ale do niektórych czarna magia co nie zmienia...

czytaj dalej