Czym jest bezpieczeństwo chmury obliczeniowej?
- Słownik IAM
- Czym jest bezpieczeństwo chmury obliczeniowej?
Bezpieczeństwo przetwarzania w chmurze, zwane również bezpieczeństwem w chmurze, to ogólny termin odnoszący się do technologii, procesów i kontroli stosowanych w celu zabezpieczenia infrastruktury, usług i aplikacji w chmurze, a także danych przechowywanych lub przetwarzanych w chmurze.
Czym jest przetwarzanie w chmurze?
Zanim zagłębimy się w specyfikę bezpieczeństwa chmury, musimy najpierw zrozumieć, czym jest przetwarzanie w chmurze.
W tradycyjnym środowisku danych organizacja jest właścicielem i operatorem własnego sprzętu zaplecza i innej infrastruktury, albo lokalnie, albo w centrum danych (ten drugi przypadek jest znany jako „chmura prywatna”). Oznacza to, że organizacja jest odpowiedzialna za konfigurację, utrzymanie i zabezpieczenie wszystkiego, w tym serwerów i innego sprzętu.
W środowisku przetwarzania w chmurze organizacja zasadniczo „wynajmuje” infrastrukturę chmury od dostawcy usług w chmurze. Dostawca usług w chmurze jest właścicielem i operatorem centrum danych, wszystkich serwerów i innego sprzętu oraz całej infrastruktury bazowej, takiej jak kable podmorskie. Uwalnia to organizację od konieczności utrzymywania i zabezpieczania infrastruktury chmury i zapewnia wiele innych korzyści, takich jak łatwa skalowalność i modele cenowe typu „płatność za użycie”.
Nie wszystkie usługi przetwarzania w chmurze są jednakowe. Istnieją trzy podstawowe rodzaje usług w chmurze, a nowoczesne organizacje zazwyczaj korzystają z nich wszystkich w połączeniu:
Oprogramowanie jako usługa (SaaS) to najpopularniejszy rodzaj usługi chmury. Prawie każdy korzysta z aplikacji SaaS, nawet jeśli o tym nie wie. Produkt SaaS jest dostarczany przez Internet i dostępny za pośrednictwem aplikacji mobilnej, aplikacji komputerowej lub przeglądarki internetowej. Aplikacje SaaS obejmują wszystko, od aplikacji konsumenckich, takich jak Gmail i Netflix, po rozwiązania biznesowe, takie jak Salesforce i pakiet biurowy Google Workspace.
Infrastruktura jako usługa (IaaS) to usługa chmury skierowana przede wszystkim do organizacji, chociaż niektórzy entuzjaści technologii mogą zakupić usługę IaaS do użytku osobistego. Dostawca usług w chmurze świadczy usługi infrastruktury, takie jak serwery, pamięć masowa, sieci i wirtualizacja, natomiast klient zajmuje się systemem operacyjnym i wszelkimi danymi, aplikacjami, oprogramowaniem pośredniczącym i środowiskami uruchomieniowymi. Kiedy mówi się o „chmurze publicznej”, zwykle ma się na myśli IaaS. Przykłady dostawców chmury publicznej obejmują wielką trójkę w branży: Amazon Web Services (AWS), Google Cloud Platform (GCP) i Microsoft Entra ID (Azure).
Platforma jako usługa (PaaS) to rozwiązania skierowane wprost do deweloperów. Klient zajmuje się aplikacjami i danymi, a dostawca chmury zajmuje się całą resztą, w tym systemem operacyjnym, oprogramowaniem pośredniczącym i środowiskiem wykonawczym. Innymi słowy, rozwiązania PaaS zapewniają deweloperom gotowe środowisko, w którym mogą budować i wdrażać aplikacje oraz zarządzać nimi bez konieczności martwienia się o aktualizację systemu operacyjnego lub oprogramowania. Przykłady PaaS obejmują AWS Elastic Beanstalk, Heroku i Google App Engine. Ogólnie rzecz biorąc, z PaaS korzysta się w połączeniu z IaaS. Na przykład firma może używać usług AWS do hostingu i AWS Elastic Beanstalk do tworzenia aplikacji.
Zrozumienie, za co odpowiedzialny jest dostawca chmury, a za co klient chmury, jest kluczem do zrozumienia bezpieczeństwa chmury.
Czym jest bezpieczeństwo chmury?
Bezpieczeństwo chmury opiera się na tak zwanym modelu współodpowiedzialności. W tym modelu:
- Dostawca chmury jest odpowiedzialny za bezpieczeństwo chmury, co oznacza jego fizyczne centrum danych, inne zasoby, takie jak kable podmorskie, i logiczną infrastrukturę chmury.
- Twoja organizacja jest odpowiedzialna za bezpieczeństwo w chmurze, czyli aplikacji, systemów i danych, które w niej rezydują.
Przypomina to wynajem magazynu samoobsługowego. Użytkownik jest odpowiedzialny za zabezpieczenie rzeczy wewnątrz modułu, co oznacza zamykanie drzwi modułu i przechowywanie klucza. Firma prowadząca magazyn jest odpowiedzialna za zabezpieczenie całego kompleksu poprzez kontrolę takich elementów jak brama wjazdowa, kamery, odpowiednie oświetlenie w częściach wspólnych i strażnicy. Dostawca magazynu jest odpowiedzialny za bezpieczeństwo centrum magazynowego, ale to Ty ponosisz odpowiedzialność za bezpieczeństwo w swoim module.
Jak działa bezpieczeństwo w chmurze?
Niezależnie od tego, czy mówimy o aplikacji SaaS, wdrożeniu IaaS (chmura publiczna), czy platformie deweloperskiej PaaS, bezpieczeństwo w chmurze opiera się w dużej mierze na zarządzaniu tożsamością i dostępem (IAM) oraz zapobieganiu utracie danych (DLP); innymi słowy, zapobieganiu nieupoważnionym stronom dostępu do usługi w chmurze – i Twoich danych.
Nawiązując do naszego przykładu z magazynem samoobsługowym, jeśli zostawisz klucz do magazynu bez opieki, a ktoś go ukradnie i użyje, aby uzyskać dostęp do Twojego magazynu, kontrole bezpieczeństwa dostawcy magazynu nie zawiodły – zawiodły Twoje kontrole. Podobnie, jeśli używasz słabego, łatwego do odgadnięcia hasła do zabezpieczenia swojego konta Gmail lub konsoli administracyjnej GCP, a osoba atakująca je przemie, błąd w zabezpieczeniach leży po Twojej stronie, a nie po stronie Google.
Oprócz zapobiegania nieautoryzowanemu dostępowi i kradzieży danych, bezpieczeństwo w chmurze ma również na celu zapobieganie przypadkowej utracie lub uszkodzeniu danych w wyniku błędu ludzkiego lub zaniedbania, zapewnienie możliwości odzyskania danych, jeśli utrata danych wystąpi, oraz przestrzeganie przepisów dotyczących prywatności użytkowników, takich jak HIPAA, które zabraniają nieautoryzowanego dostępu do prywatnych danych zdrowotnych. Bezpieczeństwo chmury ma fundamentalne znaczenie dla reagowania na incydenty bezpieczeństwa, odzyskiwania danych po awarii i planowania ciągłości działania.
Typowe środki bezpieczeństwa w chmurze obejmują:
- Kontrole IAM, takie jak kontrola dostępu oparta na rolach (RBAC) oraz dostęp oparty na najmniejszych uprawnieniach, co oznacza, że pracownicy mają dostęp tylko do tych aplikacji i danych, które są im niezbędne do wykonywania pracy, i nie więcej.
- Narzędzia DLP, które identyfikują wrażliwe dane, klasyfikują je, monitorują ich wykorzystanie i zapobiegają niewłaściwemu wykorzystaniu danych, np. powstrzymują użytkowników końcowych przed udostępnianiem wrażliwych informacji poza sieciami firmowymi.
- Szyfrowanie danych zarówno w tranzycie, jak i w stanie spoczynku
- Bezpieczna konfiguracja i utrzymanie systemu
Czy istnieją zagrożenia dla bezpieczeństwa chmury?
Oto niektóre z największych wyzwań i zagrożeń związanych z bezpieczeństwem w chmurze.
- Chmura tworzy znacznie rozszerzoną powierzchnię ataku bez granic sieci. Jednym z największych błędów popełnianych przez organizacje podczas migracji do chmury jest myślenie, że mogą po prostu przenieść wszystkie swoje obecne narzędzia i zasady bezpieczeństwa. Podczas gdy wiele aspektów bezpieczeństwa w chmurze odzwierciedla ich odpowiedniki lokalne, zabezpieczenie środowiska w chmurze odbywa się w inny sposób niż zabezpieczenie sprzętu na miejscu, ponieważ chmura nie ma zdefiniowanych granic sieci.
- W chmurze może brakować widoczności, zwłaszcza w dzisiejszych bardzo złożonych środowiskach danych. Rzadko zdarza się organizacja, która korzysta tylko z jednej chmury publicznej. Większość organizacji korzysta z co najmniej dwóch chmur publicznych (co jest nazywane środowiskiem wielochmurowym) lub łączy chmury publiczne z infrastrukturą lokalną (tzw. środowisko chmury hybrydowej). Niestety, każde środowisko chmurowe posiada własne natywne narzędzia monitorujące, co utrudnia administratorom IT i personelowi DevOps uzyskanie pełnego obrazu tego, co dzieje się w całym środowisku danych.
- Rozrost obciążeń jest kolejnym problemem związanym z iwidocznością, nawet w przypadku organizacji, które korzystają tylko z jednej chmury publicznej. Maszyny wirtualne i kontenery są łatwe do uruchomienia, co oznacza, że mogą się bardzo szybko rozmnażać. Oprócz narażania bezpieczeństwa, nieużywane maszyny wirtualne i kontenery powiększają rachunek za usługi w chmurze.
- Kolejnym problemem związanym z chmurą są pracownicy korzystający z aplikacji, które nie zostały zweryfikowane przez pracowników odpowiedzialnych za bezpieczeństwo
- Firmy mogą napotkać problemy z kompatybilnością starszych systemów i oprogramowania, zwłaszcza starszych aplikacji biznesowych, których nie da się realistycznie zastąpić lub przerobić na potrzeby chmury.
- Problemy powodują również błędne konfiguracje chmury, takie jak nieumyślne ustawienie publicznej widoczności folderu w chmurze, który zawiera wrażliwe dane.
Najlepsze praktyki dotyczące bezpieczeństwa przetwarzania w chmurze
Upewnij się, że w pełni rozumiesz model współodpowiedzialności oraz to, za co Twoja organizacja jest, a za co nie jest odpowiedzialna. Może się to wydawać oczywiste, ale ustalenie, kto jest odpowiedzialny za poszczególne aspekty, może być trudne, szczególnie w środowiskach hybrydowych.
Jedną z zalet chmury obliczeniowej jest to, że dostęp do zasobów można uzyskać z dowolnego miejsca i urządzenia. Jednak z perspektywy bezpieczeństwa oznacza to, że jest więcej punktów końcowych do zabezpieczenia. Narzędzia do zabezpieczania punktów końcowych i zarządzania urządzeniami mobilnymi umożliwią egzekwowanie zasad dostępu i wdrażanie rozwiązań do weryfikacji dostępu, zapór, programów antywirusowych, szyfrowania dysków i innych narzędzi bezpieczeństwa. Inne najlepsze praktyki dotyczące chmury obliczeniowej obejmują:
- Szyfrowanie wszystkich danych, które są przechowywane lub przetwarzane w chmurze, zarówno w tranzycie, jak i w spoczynku.
- Skanowanie środowiska pod kątem luk w zabezpieczeniach i jak najszybsze łatanie wszelkich znalezionych luk.
- Wykonywanie regularnych kopii zapasowych danych na wypadek ataku ransomware lub katastrofy.
- Rejestrowanie i monitorowanie pełnej aktywności użytkowników i sieci w całym środowisku danych.
- Bardzo ostrożne skonfigurowanie ustawień chmury. Ogólnie rzecz biorąc, rzadko należy pozostawiać ustawienia domyślne. Wykorzystaj w pełni ustawienia i narzędzia bezpieczeństwa swojego dostawcy chmury i bądź na bieżąco z nowymi narzędziami i ulepszeniami.
- Wdrożenie zasad bezpieczeństwa typu „zero-trust” wraz z segmentacją sieci i zaawansowanymi narzędziami i kontrolami zarządzania tożsamością i dostępem (IAM), co obejmuje dostęp oparty na rolach, dostęp na zasadzie najmniejszych uprawnień, silne hasła, zatwierdzanie urządzeń i uwierzytelnianie wieloskładnikowe (MFA).