V dnešnej dobe, ktorú môžeme nazvať aj digitálnou, sme neustále obklopení technologickými vynálezmi a inováciami. V súčasnosti už asi každý z nás používa mobilný telefón či osobný počítač. Len málokto však dbá na kybernetickú bezpečnosť. V pravidelnom seriáli na stránkach Podbrezovana vám postupne prinášame rôzne témy z tejto oblasti a dávame vám aj tipy, ako sa chrániť v kybernetickom priestore. V ďalšej časti sa venujeme cloudovej bezpečnosti..
Cloudové služby sú dnes pre väčšinu firiem samozrejmosťou. Umožňujú rýchle nasadenie aplikácií, vzdialený prístup k dátam a škálovateľnosť bez potreby investícií do vlastnej infraštruktúry. No s týmto pohodlím prichádza aj zodpovednosť. A práve tú firmy často podceňujú.
Bezpečnosť v cloude totiž nie je automatická. Veľa incidentov, ktoré sa v cloude stanú, nie sú spôsobené zlyhaním poskytovateľa, ale chybou používateľa.
Zodpovednosť je spoločná, ale nie rovnaká
Mnoho firiem žije v predstave, že ak dáta „žijú v cloude“, ich bezpečnosť už nie je ich problém. Omyl. Väčšina poskytovateľov cloudových služieb funguje podľa tzv. shared responsibility modelu, čiže modelu zdieľanej zodpovednosti. To znamená, že poskytovateľ sa stará o zabezpečenie infraštruktúry, fyzických serverov či základnej siete. Ale všetko nad tým, ako napríklad nastavenie prístupových práv, šifrovanie dát, zálohovanie, detekcia hrozieb, je už na strane zákazníka. A práve tu vzniká priestor pre chyby.
Najčastejšie chyby v cloudovej bezpečnosti
1. Slabé alebo zlé nastavené prístupové oprávnenia
Mnohí administrátori nastavujú prístup „na istotu“ – teda pre istotu všetkým. Výsledok? Citlivé dáta sú dostupné aj tým, ktorí ich vôbec nepotrebujú. V prípade kompromitovaného účtu to môže mať fatálne následky.
2. Verejne prístupné úložiská
Zle nakonfigurované úložiská, ako napríklad Amazon S3 „bucket-y“, často končia ako verejné bez toho, aby si to firma všimla. Útočníci cielene vyhľadávajú tieto slabiny.
3. Chýbajúca viacfaktorová autentifikácia (MFA)
MFA je dnes základný bezpečnostný štandard. Napriek tomu ho v mnohých firmách používajú len administrátori a bežní zamestnanci sú nechránení.
4. Žiadne logovanie, žiadna detekcia
Cloud ponúka množstvo možností, ako zaznamenávať a analyzovať aktivitu. Problém je, že ich firmy často neaktivujú alebo nevyužívajú. Incident sa tak môže diať celé týždne bez povšimnutia.
Ako sa chrániť – odporúčania pre firmy
• Zapnite MFA pre všetkých používateľov
Bez výnimiek. Každý prístup do cloudovej platformy by mal byť chránený viacfaktorovou autentifikáciou.
• Minimalizujte prístupy a segmentujte dáta
Používajte zásadu najnižších oprávnení („least privilege“). Nikto by nemal mať viac prístupov ako reálne potrebuje.
• Aktivujte logovanie a monitorovanie
Využívajte natívne bezpečnostné nástroje, ktoré cloud ponúka (napr. AWS CloudTrail, Azure Monitor). Pomáhajú identifikovať podozrivú aktivitu v reálnom čase.
• Robte pravidelné bezpečnostné audity a testy konfigurácie
Existujú nástroje, ktoré automaticky analyzujú cloudové prostredie a odhalia slabé miesta (napr. AWS Config, Google Security Command Center).
• Vzdelávajte používateľov aj administrátorov
Bezpečnostné školenia nie sú len pre IT. Bežní používatelia môžu svojou nepozornosťou spôsobiť veľa škody, stačí napríklad kliknúť na podvodný e-mail a útočník sa cez ich cloudový účet dostane k dôležitým dátam.
• Cloud a regulácie: aj v cloude platí GDPR
Používanie cloudu nevylučuje povinnosť dodržiavať zákony. GDPR platí rovnako pre dáta uložené v cloude ako pre dáta na lokálnom serveri. Firma musí vedieť, kde sa dáta nachádzajú, kto k nim má prístup a aké bezpečnostné opatrenia sú prijaté.
Cloud je silný nástroj, ak ho používame bezpečne
Na záver môžeme skonštatovať, že cloud nie je rizikom, ak sa používa správne. No zároveň nie je „bezúdržbový“. To, čo v tradičnom IT riešili interné tímy, sa dnes presúva do zdieľaného prostredia, kde chyby v konfigurácii môžu mať ďalekosiahle následky.
Preto platí, že cloudová bezpečnosť nie je len o technológiách, ale aj o správnych návykoch a zodpovednosti.
