Každé nové řešení přináší novou složitost. Kdo bude všechna ta řešení spravovat? Kdo se postará o hardware, který bude potřeba? Nebude pro každý další program nutný nový server s další licencí operačního systému? A co když naše firma již nemá jednu velkou kancelář, kde sedí všichni zaměstnanci? V rámci úspor jsme již před rokem opustili velké drahé prostory a většinu zaměstnanců poslali pracovat domů. Všechny situace jsou nové a před několika lety bychom je možná ani neřešili.

Nové situace vyžadují nové přístupy

Odpovědí na tyto otázky může být v malých společnostech řešení bezpečnosti cloudem. V dnešní době je dostupná řada velmi dobrých cloudových řešení nejen pro bezpečnost. I když se stále nacházíme v mnoha ohledech na začátku těchto technologií, jsem přesvědčen, že jsou již dostatečně vyzrálé k nasazení a jejich přínos bude jistě větší než starosti, které přinášejí.

Co vše již můžeme v cloudu pořídit? Zaprvé zabezpečení pro koncové body, tedy pro desktopy a notebooky. Jak může fungovat cloud řešení pro věci, jako je antimalware nebo osobní firewall? Takto náročná technologie musí být nainstalována přímo na počítači uživatele, v síti firmy ale nemusí být management bezpečnostního řešení. I když máte ve firmě jen několik počítačů, nikomu se nechce obcházet každý zvlášť a nastavovat na něm bezpečnostní software. Už od několika instalací je dobré mít centrální řízení, ale pro centrální řízení je potřeba obvykle další vyhrazený hardware. Ideálním řešením je mít management v cloudu poskytnutý v rámci licence třeba přímo od výrobce. Takový management přináší spoustu výhod: není nutné mít vlastní hardware pro management server, kupovat další licenci operačního systému, není nutné se o systém a o hardware starat a nakonec je třeba si uvědomit, že každý takový systém konzumuje elektrickou energii, a to nejen pro svoji potřebu, ale i pro svoje chlazení. Každý počítač je brán jako další osoba v kanceláři, kterou klimatizace musí chladit.

Ochrana webové a emailové komunikace

Ochrana koncových bodů je obvykle základem, ale pro lepší ochranu našeho vnitrofiremního prostředí je důležité pokrýt další dva klíčové zdroje ohrožení, a tím jsou protokoly pro webou a e-mailovou komunikaci (HTTP, resp. SMTP). E-mail je stále velkým zdrojem škodlivého kódu, a hlavně spamu. Pro hostování pošty je třeba vybrat řešení s dobrou ochranou před škodlivým kódem a nevyžádanou poštou. Při výběru je vždy třeba dbát především na míru „false positive“, tedy míru špatně vyhodnocených zpráv. Tento parametr je stejně důležitý, jako u řešení on premise. Musíme mít jistotu, že e-maily dojdou a zároveň se o toto řešení nebudeme starat! Jednou z důležitých vlastností, které v cloudovém řešení hledáme, je jednoduchost a minimální nároky na správu a údržbu. Na co nám bude antispamové řešení v cloudu, když ho budeme muset celé dny ladit?

Druhým protokolem, prostřednictvím kterého se dnes nejčastěji šíří bezpečnostní hrozby, je HTTP. Na tom není nic překvapivého, když je to právě web, co uživatelé z dnešního internetu využívají nejvíce. Webové stránky jsou obrovským zdrojem útoků. Nejde jen o škodlivé kódy, které uživatel stáhne například v podobě „cracku“ nebo v generátoru sériových čísel pro zisk nelegální kopie softwaru, ale o útoky na prohlížeče, proti kterým se lze bránit jen pomocí důsledných aktualizací nebo právě pomocí kontroly webového protokolu. Hodně lidí má za to, že pokud se nepohybují v „internetovém undergroundu“ (na stránkách s nelegálním obsahem či pornografií), tak se jich nebezpečí netýkají. To je vcelku častý omyl. Není výjimečné, že se legitimní stránka stane obětí útočníka, a následně pak slouží k šíření škodlivého kódu. V dnešní době existuje celá řada nástrojů pro útoky na prohlížeče a jejich komponenty, které mohou používat dokonce i nepříliš zdatní útočníci. Je to stejně jednoduché, jako ovládat kteroukoliv jinou aplikaci na počítači. Rozhodně neplatí, že pokud nepoužívám Internet Explorer, tak jsem v bezpečí. Kontrola HTTP protokolu je pro dobrou bezpečnost zásadní. Cloudové nástroje pro ochranu webového protokolu fungují například jako kterákoliv jiná webová proxy, akorát neleží přímo u vás ve firmě.

Cloud a bezpečnost dat. Pokolikáté už?

Jak při kontrole pošty, tak při kontrole webového provozu vaše data cestují přes servery poskytovatele cloudu, které nejsou u vás, ani nejsou vaším majetkem. Je tedy na místě otázka bezpečnosti těchto dat. Může někdo zneužít moje data, která takto procházejí přes cizí servery? Pojďme toto téma trochu více rozebrat. Začněme jedním obvyklým tvrzením, že aplikace, které jsou v mé firmě, jsou bezpečnější například proto, že jsou za firemním firewallem. Z vlastní zkušenosti mohu říci, že firemní sítě u nás nebývají příliš dobře zabezpečené a i tam, kde se setkávám s vyšší úrovní zabezpečení, jsou prostředky pro prevenci omezené. Málokterá firma má vyhrazené lidi pouze pro bezpečnost nebo pravidelně investuje do penetračních testů. Kolik firem pravidelně školí své uživatele, aby nebyli snadným terčem útočníků používajících techniky sociálního inženýrství? Většina firem neinvestuje tolik prostředků do bezpečnosti jako poskytovatelé cloudových služeb. Tím nechci tvrdit, že se jim žádný bezpečnostní incident stát nemůže. Tím, že soustřeďují informace mnoha uživatelů a firem, jsou o to více zajímavým cílem. Na druhou stranu, každý poskytovatel cloudu si dává dobrý pozor, protože ví, že třeba i jeden bezpečnostní incident ho může stát reputaci – jednu z nejdůležitějších věcí, co má.

Důležité je si uvědomit, jaká naše data se v cloudu vyskytují. V případě koncové bezpečnosti většinou půjde o základní informace o koncových bodech, logy a reporty. Na první pohled se nezdá, že by se jednalo o zásadní informace. V případě webového provozu a e-mailů jsou ale tato data velmi citlivá – jedná se například o celé e-maily, přílohy, všechny stránky, které uživatel navštíví, všechny soubory, které stáhne. Ostražitost je zde proto na místě. Na druhou stranu, řešíte to samé se svým poskytovatelem internetových služeb? Protože přesně tato data, a možná ještě více může vidět. Jaké bezpečnostní standardy splňuje váš ISP? A pokud máte nějakého místního, který vám poskytuje připojení přes wifi, jak je toto připojení zabezpečené? Jsou vaše data zajímavější pro velkého globálního hráče, nebo pro místního poskytovatele, který vás dobře zná a možná chce vědět víc? V dnešní době, kdy probíhá velké množství komunikace bezdrátově, si stále málo lidí uvědomuje, jak velice snadné je takovouto komunikaci odposlouchávat. Právě využití cloudových služeb pro e-mail a web může tato rizika eliminovat. Ve většině případů je možné k poskytovateli cloudu navazovat šifrované spojení jak pro e-mail, tak pro web. Od poskytovatele jdou dále data zase již nešifrovaná. V takovém případě odposlouchávání wifi komunikace ve vaší lokalitě nevede k úniku dat, protože jsou tato data šifrována až k serverům poskytovatele.

Důvěra k poskytovateli je důležitá

Než vyslovíte zamítavý verdikt kvůli dojmu, že cloud není bezpečný, zamyslete se, jak bezpečné je nebo by bylo vaše „on premise“ řešení. Je jasné, že ten, u koho budete cloudové služby nakupovat, musí mít vaši důvěru. Poznat správného dodavatele, který si vaši důvěru zaslouží, je těžké. Určitě můžete požadovat prokázání některého z bezpečnostních certifikátů, jako třeba ISO 27001, ale v konečném důsledku to bude vždy více o dobrém jménu a důvěře než o „papíru s certifikátem“.

Při zvážení všech pro a proti i při zvážení bezpečnostních rizik a přínosů se bezpečnostní služby poskytované formou cloudu jeví jako dobrá alternativa pro malé a střední podniky. V budoucnu lze očekávat, že zájem o tyto služby bude i na straně velkých firem, protože obecně přináší řadu výhod.

Martin Meduna
Autor působí jako pre-sales konzultant ve společnosti Symantec.