Jak chronią (i nie chronią) Cię dostawcy chmury?
Co należy zrozumieć o odpowiedzialności naszej i naszego dostawcy by skutecznie chronić umieszczone tam zasoby?
Chmura jest i zostanie na dobre – cyfrowa transformacja jedynie przyspieszyła jej adaptacje. Niestety zbyt często w trakcie tej transformacji firmy popełniają błąd braku rozróżnienia specyfiki środowisk. Efektem tego jest przenoszenie konfiguracji i procesów ze środowiska lokalnego do środowiska chmurowego – bez jakiegokolwiek dostosowania.
Stwierdzenie, że jest tylko serwerem innej osoby, jest częściowo prawdziwe – w rzeczywistości chmura to coś więcej niż tylko serwer. Oferuje ochronę fizyczną, taką jak kontrola dostępu i monitorowanie, kto wprowadza dane do centrum danych. Ten poziom bezpieczeństwa fizycznego jest najczęściej wyższy niż firmy zapewniają swoim obszarom pamięci masowej. Słabsza wersja może wystarczyć gdy mam dane „na wyciągnięcie ręki” – czyli np. przechodzimy codziennie obok naszej serwerowni. Niestety u dostawcy chmury to nie przejdzie – wielu klientów dzieli tę samą przestrzeń i co za tym idzie może mieć różne zagrożenia i potrzeby. Nie wspominając o ludziach, którzy z różnych powodów chcą te zasoby zaatakować. Centra danych w chmurze monitorują dysk, pamięć i inne czynniki wpływające na wydajność przechowywania danych – ponadto mają redundantne zasilanie. Zapewaniają również ochronę fizycznej pamięci masowej za pomocą szyfrowania i innych najlepszych praktyk dotyczących przechowywania.
Jedną rzeczą, której dostawcy usług w chmurze nie mogą zrobić, jest upewnienie się, że zrobiliśmy wszystko, co niezbędne, aby chronić nasze dane w chmurze. Możesz łatwo umieścić bazę danych w chmurze, ale jeśli nie zabezpieczysz jej odpowiednio, wszystkie sprawdzone metody bezpieczeństwa centrum danych staną się bezużyteczne. Microsoft nazywa to modelem współodpowiedzialności. Mogą zapewnić bezpieczną infrastrukturę, bezpieczny sprzęt i możliwość bezpiecznego przetwarzania danych, ale jeśli nie zastosujesz się do najlepszych praktyk w zakresie ochrony hasłem, higieny bezpieczeństwa i odpowiedniego zabezpieczenia oprogramowania, najlepsze praktyki centrum danych Cię nie ochronią.
Mając na uwadze ten model współodpowiedzialności, im bardziej odchodzisz od rozwiązań lokalnych na rzecz oprogramowania jako usługi (SaaS), tym większą odpowiedzialność ponosi dostawca chmury. Jeśli masz wszystkie dane w rozwiązaniach lokalnych, odpowiadasz za wszystkie aspekty bezpieczeństwa i operacji. Odpowiadasz również za prawidłowe klasyfikowanie danych oraz za zarządzanie użytkownikami i urządzeniami końcowymi.
Dzięki rozwiązaniom typu:
- Infrastruktura jako usługa (IaaS). – Budynkami, serwerami, sprzętem sieciowym i hiperwizorem zarządza dostawca platformy. Odpowiadasz za zabezpieczenie i zarządzanie systemem operacyjnym, konfiguracją sieci, aplikacjami, tożsamością i danymi.
- Platforma jako usługa (PaaS). – Przenoszą odpowiedzialność za zarządzanie i zabezpieczanie kontroli sieci na dostawcę chmury.
Kluczową słabością jest najczęściej dostęp zdalny. Ponieważ jesteśmy przyzwyczajeni do znajomości protokołu RDP (Remote Desktop Protocol), często konfigurujemy usługi w chmurze w ten sam sposób. To otwiera dostęp RDP bez ograniczania dostępu, przy użyciu uwierzytelniania dwuskładnikowego lub jeszcze lepiej, gdy w ogóle nie używa RDP do uzyskiwania dostępu do zasobów w chmurze.
Stan na Maj 2021 klasyfikuje poniższe jako kluczowe zagrożenia dla zasobów chmurze:
- Przejęcia danych dostępowych do kont chmurowych.
- Niezabezpieczone API.
- Złośliwi użytkownicy wewnętrzni (tzw. Insider threats).
- Podatności systemów zabezpieczających logowanie do chmury.
O szczegółach będziecie mogli przeczytać w kolejnym artykule. Podsumowując – dostawca chmury zapewni wam bezpieczeństwo serwera – zarówno fizyczne jak i wirtualne. Wy musicie zabezpieczyć dostęp za pomocą odpowiedniej konfiguracji, silnych haseł i – co jest często pomijane – zwiększania świadomości u użytkowników końcowych.