Bezpieczeństwo usług chmurowych

sie 9, 2022 | Aktualności

Bezpieczeństwo usług chmurowych

Wiele firm decyduje się w ostatnim czasie na migracje swoich systemów do usług chmurowych, niewątpliwie jest to szansa nie tylko rozwoju ale i utrzymania ciągłości dostępu do danych w sytuacji pracy zdalnej czy hybrydowej. Korzyści biznesowe wynikające z przeniesienia systemów do chmury nie powinny odwracać uwagi od osiągnięcia wysokiego poziomu bezpieczeństwa przetwarzania w chmurze i od tego aby wszystkie dane, systemy i aplikacje zlokalizowane w chmurze były chronione przed kradzieżą, wyciekiem, uszkodzeniem lub usunięciem. Zagrożenia bezpieczeństwa nieustannie ewoluują i stają się coraz bardziej groźne, a przetwarzanie w chmurze jest nie mniej ryzykowne co w środowiskach lokalnych. Dlatego niezbędne staje się wdrażanie scentralizowanych zabezpieczeń integrujących wiele typów urządzeń i punktów końcowych, które mogą być trudne do zarządzania w sytuacji, gdy dostęp do zasobów chmurowych realizowany jest np.: z wykorzystaniem BYOD. Jedną z wielu zalet wykorzystania chmurowych narzędzi jest eliminacja konieczności inwestowania w dedykowany sprzęt co nie tylko zmniejsza wydatki na hardware, ale także zapewnia wysoką dostępność. Wybierając renomowanego dostawcę usług w chmurze możemy liczyć, iż dostawca taki będzie się starał zapewnić bezpieczną chmurę dla klientów, z proaktywnym zapobieganiem naruszeniom oraz utrzymaniem jak największego zaufania klientów.

Bezpieczeństwo przetwarzania w chmurze, powinno składać się z odpowiednio dobranych technologii oraz zestawu zasad, procedur i standardów bezpieczeństwa, które współpracują ze sobą w celu ochrony systemów, danych, a także infrastruktury zlokalizowanej w usłudze chmurowej. Środki bezpieczeństwa powinny zostać tak skonfigurowane, aby chronić dane w chmurze, wspierać zgodność z przepisami i chronić prywatność osób których dane są przetwarzane. Jednym z bardziej istotnych  elementów bezpieczeństwa, o który należy zadbać, może nawet w pierwszej kolejności, jest ustalenie reguł uwierzytelniania dla poszczególnych użytkowników i urządzeń. Poczynając od bezpiecznego uwierzytelnienia użytkowników poprzez zastosowanie Multi-Factor-Authentication, po filtrowanie ruchu, zabezpieczenia w chmurze powinny zostać tak skonfigurowane, aby odpowiadały potrzebom organizacji oraz zapewniały wymagany poziom bezpieczeństwa danych. Najlepsze efekty w zakresie bezpieczeństwa zostaną osiągnięte jeżeli w ocenie bezpieczeństwa usług chmurowych weźmiemy pod uwagę zarówno odpowiedzialność organizacji (klienta usług chmurowych) jak i dostawcy rozwiązania w chmurze.

Należy pamiętać, iż dostawca usług chmurowych może jedynie unikać ryzyk naruszenia bezpieczeństwa dostarczanej usługi, ale nie ma wpływu na to w jaki sposób użytkownicy będą korzystać ze świadczonej usługi, jakie dane zostaną umieszczone w chmurze oraz kto będzie miał do tych danych dostęp i w jaki sposób będzie chronił tego dostępu. Paradoksalnie największy wpływ na obniżenie bezpieczeństw usług chmurowych mogą mieć użytkownicy tych usług. Osłabienie to może wynikać np. ze złej konfiguracji, niewłaściwych zasad dostępu czy stosowania procedur niezgodnych z dobrymi praktykami bezpieczeństwa. Niezależnie od rodzaju wykorzystywanej usługi chmurowej można wskazać obowiązki klientów usługi chmurowej:

  • SaaS (np. Microsoft Office 365 lub Salesforce) — odpowiedzialność za zabezpieczenie danych oraz dostęp użytkowników.
  • PaaS (Microsoft Azure, cloud SAP lub Heroku)— odpowiedzialność za zabezpieczenie danych, dostęp użytkowników i zabezpieczenie aplikacji.
  • IaaS (Amazon Web Services (AWS) lub Microsoft Azure) — odpowiedzialność za zabezpieczenie danych, dostępu użytkowników, aplikacji, systemów operacyjnych i ruchu w sieci wirtualnej.

Każdy typ usługi chmurowej cechuje odpowiedzialność klienta za zabezpieczenie jego danych i nadzór nad dostępem poprzez kontrolowanie, kto może uzyskać dostęp do tych danych. Dostawca usługi chmurowej odpowiada za ciągłość działania usługi, bezpieczeństwo fizyczne infrastruktury serwerowej, procedury odtwarzania po katastrofie, aktualizacje systemów, kopie zapasowe. Dostawcy usług chmurowych starają się zapewnić wysokiej jakości bezpieczeństwo danych, np.: poprzez wdrożenie kompleksowych polityk bezpieczeństwa, które nie są osiągalne dla wielu organizacji. Główni dostawcy usług chmurowych są w stanie wykazać się certyfikatami ISO 27001, ISO 22301, ISO 27018 czy ISO 27701 jednocześnie potwierdzając swoje wysokie kompetencje w zakresie bezpieczeństwa informacji.

Zgodnie z normą ISO/IEC 27017 zaleca się uwzględnić poniższe techniczne i organizacyjne aspekty bezpieczeństwa informacji dla usługi cloudowe:

  • Stosowanie kryptografii stosowanie do wyników analizy ryzyka. Należy uwzględnić szyfrowanie danych przechowywanych w usłudze oraz przesyłane do i z usługi.
  • W przypadku stosowania kluczy kryptograficznych, należy uzyskać informacji o rodzaju kluczy, sposobie zarządzania kluczami.
  • Usługodawca powinien zapewnić, ze posiada polityki i procedury pozwalające na bezpiecznie przekazywanie oraz ponownie użycie zasobów usługi.
  • Należy monitorować zmiany w usłudze i uwzględnić w procedurach nadzoru nad zmianami.
  • Należy zapewnić monitorowanie pojemności usługi.
  • Usługodawca powinien zapewnić sposób wykonywania kopii zapasowych danych przechowywanych w usłudze oraz programów służących do ich przetwarzania.
  • Strony powinny uzgodnić sposób logowania zdarzeń w usłudze i archiwizowania logów.
  • Usługa powinna zapewniać logowanie działań użytkowników uprzywilejowanych.
  • Usługobiorca powinien uzgodnić wzorzec czasu wykorzystywany w usłudze.

 

Umowa i regulamin usługi cloudowej powinny określać poniższe zasady.

  • Zabezpieczenia przed malware.
  • Kopie zapasowe.
  • Wykorzystanie kryptografii.
  • Zarządzanie podatnościami.
  • Zarządzanie incydentami.
  • Zapewnienie zgodności z wymaganiami technicznymi.
  • Testowanie zabezpieczeń.
  • Zarządzanie logami, zabezpieczania dowodów oraz śladów audytowych.
  • Zabezpieczenia informacji po zakończeniu umowy.
  • Sposób kontroli dostępu i uwierzytelniania.
  • Sposób identyfikacji użytkownika.

 

Wszystkie modele usług chmurowych mogą być podatne na zagrożenia, stąd zalecana jest wielka ostrożność przy przenoszeniu systemów o do chmury, ale przede wszystkim istotne jest, aby niezależnie od rodzaju wykorzystywanej usługi chmurowej wdrożyć odpowiednie zabezpieczenia techniczne i organizacyjne w firmie nie licząc, że wszystkie kwestie bezpieczeństwa rozwiąże za nas dostawca usługi chmurowej.

Autorzy: Artur Cieślik, Piotr Maziakowski