Pierwsze miejsce w rankingu platformy ochrony aplikacji chmurowych 6 lat z rzędu
Bezpieczeństwo chmury to zbiór procedur, zasad i technologii chroniących oparte na chmurze środowiska obliczeniowe przed cyberzagrożeniami. W praktyce zapewnia to integralność i ochronę modeli chmury obliczeniowej podczas ataków lub włamań. Dostawcy usług chmurowych tworzą bezpieczną infrastrukturę chmurową.
Zabezpieczenie chmury nie jest tak skomplikowane, jak się wydaje. Istnieje wiele sposobów na ochronę działalności biznesowej i chmury przy jednoczesnym wykorzystaniu wszystkiego, co ona oferuje.
Bezpieczeństwo chmury rozpoczyna się od wyboru właściwego modelu usług, który spełnia potrzeby danej organizacji. Dostępne są trzy unikatowe modele usług i cztery opcje wdrażania w ramach oferty zabezpieczeń chmury. Modele usług to:
Model IaaS umożliwia firmie zbudowanie własnego wirtualnego centrum danych (vDC). Model wirtualny obejmuje zasoby dostępne w chmurze zamiast fizycznych, dostępnych w tradycyjnym centrum danych. W zwirtualizowanym centrum danym nie trzeba regularnie przeprowadzać konserwacji, aktualizacji ani serwisowania fizycznych maszyn.
Model PaaS zapewnia wiele opcji umożliwiającym klientom dostarczanie, wdrażanie lub tworzenie oprogramowania.
W modelu SaaS klienci mają do dyspozycji oprogramowanie, którego nie trzeba instalować na komputerze ani serwerze. Do przykładów tego typu rozwiązań należą Microsoft 365 (wcześniej Office 365) i Gmail. Klienci potrzebują tylko komputera, tabletu lub telefonu, aby uzyskiwać dostęp do każdej z aplikacji. Firmy stosują wiele różnego rodzaju własnych określeń do opisu swoich usług, takich jak DRaaS (odzyskiwanie sprawności po poważnej awarii), HSMaaS (moduł bezpieczeństwa sprzętu), DBaaS (baza danych) czy XaaS (wszystko jako usługa). W zależności od strategii marketingowej firmy czasami trudno stwierdzić, czy dany produkt jest typu SaaS czy PaaS, ale w ostatecznym rozrachunku najważniejsze jest przestrzeganie zobowiązań umownych. Dostawcy usług chmurowych rozszerzają swoje umowy dotyczące zabezpieczeń o takie usługi, jak HSMaaS (Hardware Security Module) czy DRMaaS (Digital Rights Management).
Cztery modele wdrażania:
Usługę może kupić każdy. Przykładami takich usług są Amazon Web Services (AWS), Microsoft Azure i Google Cloud Platform (GCP).
Stworzony dla jednej firmy, a sprzęt nie jest udostępniany nikomu innemu. Model prywatny może być zbudowany na bazie chmury publicznej lub we własnym centrum danych klienta, ale może też być realizowany przez firmę specjalizującą się w dostarczaniu chmur prywatnych, czyli przez dostawcę usług zarządzanych.
Ten model opiera się na koncepcji współdzielenia. Kilka firm może wspólnie korzystać z usługi lub z danych w tej usłudze. Przykładem takiego rozwiązania są chmury wykorzystywane przez wiele agencji rządowych.
Ten model łączy przynajmniej dwa z wcześniej wymienionych: publiczny i prywatny, prywatny i społecznościowy lub publiczny i społecznościowy. Możliwe jest też połączenie trzech modeli.
Wszystkie aspekty zasad ochrony chmury są ważne, ale są podstawowe elementy, które powinien oferować każdy dostawca. Są one uważane za niezbędne i niektóre z najważniejszych aspektów infrastruktury bezpieczeństwa chmury. Jeśli wybrany dostawca zapewnia wszystkie te podstawowe elementy, uzyskasz najpełniejszą strategię bezpieczeństwa chmury, jaką można wdrożyć.
Stałe monitorowanie: Dostawcy zabezpieczeń chmury mogą zapewnić Ci wgląd w to, co dzieje się na Twoich platformach chmurowych, nieprzerwanie rejestrując dane w dziennikach. W razie incydentu zespół ds. bezpieczeństwa może sprawdzić i porównać wewnętrzne dziennika z rekordami dostawcy, aby uzyskać informacje o potencjalnych atakach lub zmianach. Może to pomóc w szybkim wykrywaniu i reagowaniu na wszelkie incydenty.
Zarządzanie zmianami: Twój dostawca zabezpieczeń chmury powinien oferować protokoły zarządzania zmianami w celu monitorowania mechanizmów zgodności w razie zażądania zmian, modyfikacji lub przeniesienia zasobów albo wprowadzania serwerów do użytku lub ich wycofywania. Można wdrożyć dedykowane aplikacje do zarządzania zmianami, aby automatycznie monitorować nietypowe zachowanie i szybko podjąć działania zapobiegawcze lub naprawcze.
Mechanizmy bezpieczeństwa typu zero-trust: Odizoluj aplikacje i zasoby o znaczeniu krytycznym od sieci chmurowej. Zapewnianie prywatności obciążeń i blokowanie dostępu do nich pomoże w egzekwowaniu zasad bezpieczeństwa chroniących środowisko oparte na chmurze.
Pełna ochrona danych: Twój dostawca powinien oferować ochronę danych z dodatkowym szyfrowaniem warstw transportowych, zapewniać właściwą higienę danych, stałe monitorowanie zarządzania ryzykiem, bezpieczne udostępnianie plików i chronioną komunikacją. W skrócie – dostawca powinien doskonale radzić sobie ze wszystkimi aspektami ochrony Twoich danych biznesowych.
Zadaj sobie pytanie: „Jakie problemy mogą mnie dotyczyć?”. Pomoże to określić pytania, jakie należy zadać dostawcy chmury, a które pomogą w zrozumieniu najważniejszych aspektów, o których należy pamiętać.
Wdrożenie chmury zwiększa powierzchnię ataku organizacji, wprowadzając więcej punktów dostępu dla atakujących. Na przykład korzystanie z wielu aplikacji SaaS może ujawnić słabe łącza. Organizacje powinny stosować zasady zerowego zaufania, segmentować zasoby i regularnie oceniać stan bezpieczeństwa, aby zminimalizować narażenie.
Błędy konfiguracji są główną przyczyną luk w zabezpieczeniach chmury, często narażając wrażliwe dane na nieautoryzowany dostęp. Na przykład nieprawidłowo skonfigurowany kontener Amazon S3 może pozostawić poufne pliki dostępne publicznie. Organizacje mogą zapobiegać błędom konfiguracji, automatyzując zarządzanie konfiguracją, przeprowadzając regularne audyty i szkoląc personel w zakresie najlepszych praktyk.
Dostawcy usług chmurowych zabezpieczają infrastrukturę, a klienci odpowiadają za zabezpieczenie swoich danych i aplikacji. Niezrozumienie tej wspólnej odpowiedzialności może narazić krytyczne obszary na niebezpieczeństwo. Na przykład niezaszyfrowanie przechowywanych danych może skutkować naruszeniem bezpieczeństwa. Kluczowe znaczenie dla ograniczenia tego ryzyka mają jasne definicje ról, dokładne przeglądy umów SLA i bieżące monitorowanie.
Rozeznanie w wymaganiach dotyczących zgodności, takich jak RODO, HIPAA i PCI-DSS, może być wyzwaniem w środowiskach chmurowych. Dostawcy usług chmurowych często oferują narzędzia i platformy wspierające zgodność z przepisami, ale ostateczna odpowiedzialność za prywatność i bezpieczeństwo danych spoczywa na firmach korzystających z chmury. Organizacje muszą ściśle współpracować z dostawcami, aby zapewnić zgodność ze standardami zgodności, stosować szyfrowanie i inne środki bezpieczeństwa w celu ochrony danych wrażliwych oraz być na bieżąco z zmieniającymi się przepisami, aby uniknąć potencjalnych naruszeń.
Wielozadaniowość środowisk chmurowych, w których wielu klientów korzysta z tej samej infrastruktury, zwiększa ryzyko naruszenia bezpieczeństwa danych, ponieważ luki w zabezpieczeniach systemu jednego dzierżawcy mogą potencjalnie wpłynąć na innych. Atakujący mogą wykorzystywać słabe dane uwierzytelniające, niezabezpieczone interfejsy API lub luki w zabezpieczeniach współdzielonych zasobów w celu uzyskania nieuprawnionego dostępu.
W uproszczeniu architektura chmurowa jest wynikiem zestawienia wielu środowisk w celu udostępniania skalowalnych zasobów w aplikacjach, bazach danych i innych usługach. Zasadniczo ten termin odnosi się do infrastruktury i komponentów współdziałających ze sobą i razem tworzących "chmurę", jaką znamy.
Podstawowe składniki chmury to sieci, routery, przełączniki, serwery, zapory i systemy wykrywania włamań. Chmura zawiera także wszystkie elementy serwerowe, np. hipernadzorcę, maszyny wirtualne i oprogramowanie. Ponadto architektura chmurowa musi mieć dostawcę, architekta i brokera do tworzenia, zarządzania oraz sprzedaży i kupna usług chmurowych. To cały ekosystem do śledzenia, ale gdy ktoś mówi o „chmurze”, zasadniczo ma na myśli architekturę chmurową.
Wiele pojęć ze świata architektury chmurowej to stare terminy z dodatkiem słowa „chmura” w odpowiedniej formie, np. konsument chmury. Jeśli rozumiesz pojęcie konsumenta, to ten nowy termin też powinien być dla Ciebie jasny. Oznacza konsumenta usług chmurowych w odróżnieniu od np. usług telefonicznych.
Oto kilka podstawowych przykładów:
Podstawę bezpieczeństwa chmury stanowi jej architektura systemu bezpieczeństwa zawierająca podstawowe elementy. Do tradycyjnych elementów zabezpieczeń zaliczają się zapory (FW), ochrona przed złośliwym oprogramowaniem oraz systemy zapobiegania włamaniom (IDS). Do zaprojektowania bezpiecznych struktur w chmurze potrzebni są również audytorzy chmury, architekci i inżynierowie zabezpieczeń.
Innymi słowy, bezpieczeństwo architektury chmurowej nie ogranicza się jedynie do sprzętu lub oprogramowania.
Projektowanie bezpiecznej architektury zaczyna się od zarządzania ryzykiem. Wiedza na temat tego, co może pójść nie tak i jaki wpływ może to mieć na firmę, ułatwia podejmowanie odpowiedzialnych decyzji. Trzy krytyczne obszary wymagające dokładnego omówienia to ciągłość działalności firmy, łańcuch dostaw i bezpieczeństwo fizyczne.
Co na przykład stanie się z Twoją firmą, jeśli u dostawcy chmury zdarzy się awaria? Przeniesienie serwerów, usług i danych do chmury nie zwalnia z obowiązku przygotowania planu awaryjnego pozwalającego na zachowanie ciągłości działalności działania biznesu i ewentualnego wznowienie jej po awarii.
Co by było, gdyby każdy mógł wejść do centrum danych dostawcy chmury? W przypadku wielkiej trójki – AWS, GCP i Azure – nie byłoby to łatwe i o to właśnie chodzi. Dostawcy tych usług dokonali bardzo dużych inwestycji w bezpieczeństwo centrów danych.
Co z innymi dostawcami usług chmurowych? Poproś dostawcę usług chmurowych o prezentację potencjału centrum danych, a także o udział w audycie. Sprawdź, co odpowie. Czy dostawca będzie skłonny do tego, aby pozwolić Ci obejrzeć centrum danych następnego dnia? Jeśli dostanie się do centrum danych nie wymaga zbyt wiele zachodu, być może należy przemyśleć korzystanie z usług danego dostawcy.
Mniejsi dostawcy usług chmurowych mogą nie mieć fizycznego centrum danych. Najczęściej tylko odsprzedają usługi wielkich dostawców. To nawet zaleta ukazująca piękno rozwiązań chmurowych. Jeśli relacja między dostawcami usług chmurowych jest nieznana, mogą pojawić się dodatkowe problemy związane z przepisami prawa, regulacjami i umowami. Zadaj proste pytanie: Gdzie znajdują się moje dane? Jeśli z dostawcą usług chmurowych trudno się skontaktować, może to być trudne do określenia. Może to też mieć konsekwencje prawne, które wynikają na przykład z RODO.
Wśród elementów składających się na bezpieczną architekturę chmurową mogą znajdować się także usługi zabezpieczeń chmury. Można na przykład wykupić usługi zapobiegania wyciekom danych (DLPaaS). W zachowaniu bezpieczeństwa pomagają też inne narzędzia, np. do skanowania, które wyszukują informacje umożliwiające osobistą identyfikację w celu ich odpowiedniego zabezpieczenia. Zarządzanie bezpieczeństwem chmury jest niezbędne do tego, aby zapewnić jej prawidłowe działanie.
CNAPP to grupa zabezpieczeń chmurowych, która ma pomagać w identyfikacji, ocenie, ustalaniu priorytetów i dostosowywaniu się do ryzyka w wielu różnych aplikacjach chmurowych.
W związku z tym CNAPP obejmuje wiele najważniejszych funkcji zgromadzonych z odizolowanych produktów i platform, do których należą: skanowanie artefaktów, ochrona środowiska uruchomieniowego i konfiguracja chmury. Mogą one obejmować następujące elementy:
Trend Micro można uznać za dostawcę CNAPP, a produkty takie jak Trend Micro Cloud One™ – platforma usług bezpieczeństwa przeznaczona dla twórców chmury – doskonale wpisuje się w architekturę CNAPP.
Firmy muszą przestrzegać różnych przepisów prawa, regulacji i postanowień umów. Jeśli przekazujesz dane i usługi innym podmiotom, muszą zostać spełnione określone, skomplikowane wymagania, które pozwolą zapewnić zgodność z prawem.
Jeśli chodzi o kwestie prawne, firmy muszą przestrzegać europejskiego rozporządzenia RODO, ustawy Sarbanes-Oxley regulującej ochronę danych finansowych w USA, amerykańskiej ustawy dotyczącej przenośności ubezpieczeń zdrowotnych i odpowiedzialności za nie (HIPAA) i innych regulacji. Ponadto dane kart kredytowych muszą być chronione zgodnie z normą Payment Card Industry – Data Security Standard (PCI-DSS).
Po zidentyfikowaniu podmiotu zgodności z przepisami można podjąć wiele działań, z których jednym jest przeprowadzenie audytu. Audyt należy przeprowadzić standardową metodą i przy wykorzystaniu sprawdzonej metodyki, np. zgodnie z normą SSAE 18 (Statement of Standards on Attestation Agreements nr 18) Amerykańskiego Instytutu Biegłych Rewidentów (American Institute of Certified Public Accountants). Raport z audytu może ukazywać potencjalne problemy ze zgodnością. Wybierając dostawcę chmury, należy przejrzeć takie raporty, aby poznać poziom zabezpieczeń centrum danych i wiedzieć, czego można się spodziewać.
Cloud Security zapewnia ochronę opartą na platformie, zarządzanie ryzykiem oraz wykrywanie i reagowanie w wielu chmurach. Pozawala rozszerzyć ochronę poza centrum danych na obciążenia chmurowe, aplikacje i architektury natywne dla chmury.
Powiązane artykuły
Powiązane badania