Právě cloud přinesl online služby, bez kterých si i běžný uživatel těžko dokáže představit efektivní práci (úložiště, online kancelářské balíčky a email a jiné…). Zároveň přechodem do cloudu ze stávajícího on-premise prostředí se IT administrátorům „uvolní ruce“. Najednou se nemusí starat o fyzickou bezpečnost infrastruktury, správu hardware a jeho obměnu, ani o virtualizační platformu. Tohle všechno je nyní povinností poskytovatele cloudových služeb. Jak je to ale se zajištěním bezpečnosti na vyšších vrstvách?

Matice sdílené odpovědnosti

Mnoho poskytovatelů rozšiřuje základní model IaaS (infrastruktura jako služba) např. o správu operačních systémů, aplikací, virtuálních firewallů a dalších služeb, případně rovnou nabízí i služby PaaS (platforma jako služba) pro vývoj a provoz aplikací, nebo dokonce SaaS (software jako služba), pod čímž si lze představit například online kancelářský balík Office. Je třeba si uvědomit, že přechodem do cloudu svěřuje uživatel poskytovateli jedno z jeho nejcennějších aktiv a tím jsou data – ať už firemní, nebo uživatelská. Proto je pro poskytovatele kritická důvěra zákazníků v jeho služby. Ta se těžce buduje a o to se jednodušeji ztrácí. Ovšem odpovědnost za bezpečnost dat se různí podle využívaného modelu cloudových služeb (IaaS, PaaS a SaaS) a tak pro jednodušší orientaci vznikla matice sdílené odpovědnosti, která říká kdo (poskytovatel, nebo zákazník) je odpovědný za konkrétní vrstvu.

Matice sdílené odpovědnosti, která říká, kdo je odpovědný za konkrétní vrstvu v různých modelech cloudu (IaaS, PaaS, SaaS).

Z konceptu sdílené odpovědnosti tedy vyplývá, že IT administrátor nepřevede kompletní odpovědnost na poskytovatele cloudových služeb, ale ve většině případů si musí stále zajistit bezpečnost minimálně aplikací, dat a uživatelů. Přidanou hodnotou poskytovatelů služeb může být, že i tyto oblasti dokáže zajistit formou doplňkových služeb.

Bezpečnost uživatelů

Cloudové služby jsou ze své podstaty dostupné vzdáleně a v případě, že mají přiřazenou veřejnou IP adresu, tak je možné se na ně připojit odkudkoliv z internetu. Stačí si vybrat IP adresu konkrétního serveru, službu pro vzdálenou správu (RDP, SSH, atd…) a následně má IT administrátor přístup k managementu daného serveru. Pokud je však přístup ke správě serveru dostupný z internetu, nebude trvat dlouho, než si toho všimne nějaký bot a za krátkou chvíli už může zkoušet získat k serveru přístup např. zkoušení nejčastěji používaných hesel. Proto je dobré minimálně omezit, z jakých IP adres je management serveru dostupný, či ještě lépe povolit přístup pouze šifrovaným VPN spojením. Pro zajištění vyšší úrovně bezpečnosti je vhodně přidat autentifikaci uživatelů vůči Active Directory případně doplnit standardní zadávání hesla o dvou-faktorové ověřování. Nesmíme zapomenout ani na logování přístupů, díky kterému administrátor získá přehled o tom, kdo a kdy se k jakým serverům a virtuálním strojům připojoval.

Výše popsané postupy neplatí jen pro cloudové prostředí, ale musí je řešit i administrátoři on-premise prostředí. V případě cloudu však může většinu těchto činností převzít poskytovatel cloudových služeb, případně nabídnout adekvátní nástroje formou služby.

Bezpečnost infrastruktury a aplikací

Zajištění zabezpečeného přístupu k managementu virtuálního prostředí znamená eliminaci jednoho z možných, a také často využívaných, vektorů kybernetického útoku. Pokud však uživatel plánuje provozovat v cloudovém (a samozřejmě on-premise) prostředí služby a aplikace dostupné ze sítě Internet, musí zajistit i jejich bezpečnost. Kyberzločinci cílí na aplikace a služby buď se záměrem službu znepřístupnit nebo získat citlivá data. Používají k tomu různé metody, které cílí na síťové i aplikační zranitelnosti, případně útoky typu DDoS k vyřazení služby z provozu. Účinná obrana proti těmto útokům vyžaduje komplexní ochranu sestávající z mnoha nástrojů, lidí, procesů a postupů a zde dává velký smysl spojit se s kvalitním poskytovatelem služeb, který tyto služby nabízí.

V současné době je možné si v šedé zóně internetu objednat cílený DDoS útok za doslova pár dolarů a tím vyřadit z provozu služby např. konkurence zahlcením jejich serverů. Obranu proti těmto útokům zajišťuje nejčastěji poskytovatel konektivity, který musí být schopný přicházející útok detekovat a následně úspěšně eliminovat a to tak, že provoz mířící k napadené službě přesměruje do scrubing centra, kde dochází k odfiltrování škodlivého provozu a k cílové aplikaci je propouštěn pouze validní provoz. DDoS útoky však nemusí vždy probíhat jen na síťové vrstvě. Aplikační útoky (včetně aplikačních DDoS útoků) jsou mnohem zákeřnější a k vyřazení cílové služby občas stačí i malý, sotva detekovatelný útok. Obrana proti útokům na aplikační úrovni je činnost náročná na znalosti a to jak síťové, tak aplikační vrstvy a množina možných zranitelností se ještě rozšiřuje, čím různorodější aplikace a operační systémy jsou používány. Základem aplikační ochrany je Web Application Firewall (WAF).

Jako základní kámen pro ochranu nejen cloudové infrastruktury lze považovat Firewall, a to nejlépe s rozšířením o UTM funkce. Vedle ochrany aplikací a uživatelů může sloužit jako VPN koncentrátor, přístupový bod pro SD-WAN sítě, případně je možné na firewallu nakonfigurovat DMZ zónu, která slouží jako speciální síť pro služby, které mají být dostupné jak z Internetu, tak z lokální sítě.

Výše uvedené technologie jsou nejen velmi drahé, ale pro provoz vyžadují specifické know-how. Navíc pro zajištění účinné ochrany proti kybernetickým hrozbám je nutné mít vybudovaný tzv. SOC (Security Operation Center), což je tým odborníků, který dokáže reagovat na detekované bezpečností útoky a snižovat tak jejich dopady na infrastrukturu. Jen málokterá společnost má dostatek prostředků na vybudování vlastní kompletní ochrany své infrastruktury a proto stále častěji využívají tyto doplňkové sužby u cloudových a telekomunikačních operátorů, případně se obracejí na poskytovatele služeb kybernetické bezpečnosti (MSSP – Managed Security Services Provider).

Bezpečnost dat

Bezpečnost dat by měla být prioritou jak poskytovatele cloudových služeb, tak uživatelů. Únikem dat může dojít ke kompromitaci osobních dat, know-how, nebo obchodních tajemství. Vedle toho se společnosti, u kterých dojde k úniku osobních dat, vystavují riziku vysokých pokut dle platné legislativy (např. GDPR). Pro poskytovatele to může znamenat ztrátu důvěry zákazníků a dobrého jména na trhu. V této oblasti existují zavedené postupy a procesy (např. ISO 27 001).

U citlivých dat není riziko pouze jejich únik ale i ztráta. Ať už se jedná o ztrátu dat způsobenou závadou na úložišti, nebo krypto-virem (ransomware), vždy to může pro společnost znamenat citelné ztráty, případně i dočasné přerušení provozu. V případě cloudových služeb je často možné využít zálohování dat do druhé lokality a mikrosegmentace prostředí pro eliminaci těchto hrozeb.

Trendy v cloudové bezpečnosti.

Spolu s rozvojem hybridních cloudů, kdy je možné využívat kombinaci různých veřejných i privátních cloudů, platforem nebo online softwarů, dochází k tříštění perimetru podnikové sítě a těžko kontrolovatelnému pohybu firemních dat. Pro sjednocení bezpečnosti přes tyto různorodé platformy slouží nástroj CASB (Cloud Access Security Broker), který se snaží zajistit standardizovanou bezpečnost napříč všemi cloudovými službami. Dalším trendem je v současnosti mikrosegmentace, která se snaží rozdělit virtualizovaná prostředí na menší logické jednotky, mezi kterými je povolena pouze žádoucí komunikace a tím se snaží zabránit šíření škodlivého kódu na další zařízení v síti. Výzvou do budoucna bude zajištění bezpečnosti stále oblíbenějších kontejnerových služeb, které z klasických virtuálních strojů abstrahují pouze některé funkce a díky své jednoduchosti a efektivitě se staly jedním z výrazných cloudových trendů poslední doby.

Lukáš Bartakovič Autor článku je produktový manažer společnosti České Radiokomunikace.