facebook LinkedIN LinkedIN - follow
Cloud computing a virtualizace IT II , Cloud a virtualizace IT , IT Security

Cloud je základem, ne překážkou bezpečnosti



PCSCloudové technologie se v souvislosti s bezpečností IT zmiňují především jako zdroj rizik. Třebaže postupně převládá názor, že bez cloudu se prostě nelze obejít, stále se vnímá spíše jako nutné zlo. Přitom ale cloud nabízí i menším firmám stupeň zabezpečení, které by si na vlastní infrastruktuře prostě nemohly dovolit. A stejně tak cloud již nějakou dobu slouží jako hlavní platforma právě pro poskytování bezpečnostních technologií.


Zabezpečení bylo, spolu s virtuálními disky, některými výpočetně náročnými úlohami nebo webovým e-mailem, jedním z prvních způsobů reálného nasazení cloudu vůbec. I když se v době všudypřítomného vzdáleného přístupu má stále svoji roli hranice mezi vnitřní firemní infrastrukturou a vnějším internetem. Můžeme hovořit o firewallech nové generace nebo o perimetru sítě – bez ohledu na terminologii rozhraní oddělující firemní síť od okolí ale stále existuje a funguje jako jedna z úrovní zabezpečení.

Co z toho vyplývá? Pokud na této úrovni probíhá např. filtrování e-mailů, stahovaných/odesílaných dat nebo URL, není nutné, aby příslušná databáze informací (definic virů, seznam podvodných domén nebo další seznamy škodlivých objektů) byla v aktuální podobě k dispozici uvnitř podnikové sítě. Mnohem efektivnější je, pokud se k témuž účelu využije neustále aktualizovaná „inteligence“ cloudu. Tento přístup k zajištění bezpečnosti je zvlášť výhodný pro menší firmy. Malé a střední firmy jsou dnes oblíbeným cílem útočníků – už proto, že podvodníků existuje velké množství a těch nejlukrativnějších cílů (bank, vládních a armádních agentur...) je jen omezený počet a navíc jsou dobře chráněné. Menší firmy mají na bezpečnost jen omezené prostředky a zejména omezené lidské zdroje. Cloudové služby jim dnes zpřístupňují vyspělé bezpečnostní technologie, které si mohou přitom samy spravovat (ať už jde o nasazení nebo následnou údržbu), eventuálně v režimu SaaS (software jako služba) může prakticky veškerou režii celého řešení zajistit poskytovatel.

Bezpečnost na úrovni hranice sítě přináší i další výhody. Samotné databáze (virů, malwaru, škodlivých URL...) na koncových bodech nemusejí být v tomto případě aktualizovány nepřetržitě, což zatížuje síťový provoz a mnohdy neustálé aktualizace a instalace zbytečně ubírají výkon systémů nebo i úložný prostor. Prohledávání databází, jejichž velikost je často srovnatelná s operační pamětí PC, i další analýza situace probíhají u poskytovatele zabezpečení. Moderní bezpečnostní řešení také spouštějí potenciálně škodlivé kódy ve zkušebních prostředích, tzv. sandboxech, a rovněž tyto simulace je často jednodušší (i bezpečnější) realizovat vzdáleně.

Tam, kde je povoleno odesílání informací, jsou rovnou z hranice vnitřní sítě podezřelé incidenty také reportovány. Pouze cloud umožňuje, aby bez ohledu na časové pásmo neustále probíhala lidská práce, kdy analytici z laboratoří bezpečnostních společností ihned za běhu zkoumají nejnovější události. Firemní (i domácí) sítě dnes navíc zahrnují celou řadu zařízení, síťové disky NAS, routery (směrovače). Tradiční produkty primárně se orientujících na ochranu koncových bodů a instalované ve vnitřní síti často tato místa vůbec neobsáhnou.

Aktuální hrozby a potřeba rychlosti

PCSÚplně se bez lokálně přítomné ochrany obejít samozřejmě nelze, už pro případ, že bude narušeno připojení k internetu, stále zde zůstává i riziko lokálních hrozeb např. v podobě přímo připojovaných výměnných paměťových zařízení (zejména USB flash), nicméně hlavní funkčnost zabezpečení zajišťuje cloud.

Tak dnes fungují služby prakticky všech předních dodavatelů zabezpečení. Totéž platí i pro jednotlivé bezpečnostní technologie, ať už jde o ochranu před spamem/phisgingem, filtrování URL (včetně podezřelých odkazů v sociálních sítích a přesměrovávání, celkově se v loňském roce asi 3/4 škodlivých objektů dle průzkumu Kaspersky Lab skrývaly ve webových odkazech) nebo i složitější obranu před tzv. zero day útoky. Jako zero day zranitelnosti se označují takové, proti nimiž není k dispozici oprava od dodavatele softwaru, takže se nelze chránit ani automatickými aktualizacemi produktu; jde tedy prakticky o nejnebezpečnější hrozby vůbec. Tyto zranitelnosti se přitom stále častěji používají i při útocích proti menším firmám. Bývají totiž objevovány a zneužívány velmi rychle, takže útočníci si je dnes již obvykle nemohou „schovávat“ do doby nalezení lukrativních cílů a používají je jako na běžícím pásu.

Absolutní nárůst objevovaných kritických zero day zranitelností současně dokládají např. čísla z laboratoří Fortinet. Statistiky telekomunikačního operátora Verizon zase nasvědčují, že nové phishingové kampaně získají své oběti zpravidla velmi rychle – což znamená, že není efektivní čekat, až příslušná informace prostřednictvím aktualizací „proteče“ až na koncové body, ale potřebná opatření může, zejména menší firmě, nabídnout pouze cloud. I zde je důvod, proč pokud možno preferovat globálního dodavatele, který má uživatelskou základnu a možnost sdílet informace po celém světě prakticky v reálném čase.

Přístup k moderním technologiím

PCSPro menší firmy přinášejí cloudové technologie v roli základního pilíře zabezpečení i výhodu nízkých nároků na instalaci a údržbu a obecně na vlastní IT infrastrukturu. Na koncové stanice je instalován pouze základní agent, který komunikuje s cloudovou službou na serveru poskytovatele, v datovém centru apod. Díky tomu je možné jednoduše spravovat všechna zařízení/uživatele (včetně mobilních) i přidávat nová. Řešení je pak mnohem méně náchylné vůči chybám, například při aktualizaci koncových zařízení. V neposlední řadě hraje roli i to, že cloudová řešení dnes často nabízejí zabezpečení podnikové úrovně za ceny, které jsou přijatelné i pro malé a střední firmy.

Nasazení cloudových technologií v oblasti zabezpečení se spojuje i s dalšími trendy, jako je např. virtualizace IT. Virtualizovaná prostředí mají na bezpečnost poněkud odlišné nároky, proto stojí za zvážení nasadit řešení, která jsou již optimalizovaná pro tento typ infrastruktury. Již před více než rokem prognóza laboratoří McAfee Lanbs upozorňovala, že útočníci budou stále více cílit právě na prostředí hypervisorů a malware se bude snažit obcházet simulaci v sandboxech. Z toho sice bezprostředně nevyplývá účinnost cloudových bezpečnostních technologií, nicméně to ukazuje omezení „klasických“ přístupů založených primárně na zabezpečení koncových bodů.

Aleš Pikora

Autor článku je ředitelem divize DataGuard společnosti PCS, spol. s r. o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.