facebook LinkedIN LinkedIN - follow
Cloud computing , Cloud a virtualizace IT , IT Security

Bezpečnost versus cloud

Dojem, že někdo provozuje cloud, a vy tak můžete v klidu relaxovat, je mylný

Ladislav Šolc


Mainstream TechnologiesCelosvětový boom public cloud computingu je tažen nespornými přínosy tohoto fenoménu informačních technologií. Zatímco se na technicko-obchodní rovině skloňují všechny výhody a možnosti, na straně bezpečnostní zpravidla dochází nejprve k rezistenci. Tato rezistence bezpečnostních odborníků ovšem je až na výjimky doslova udolána bezpečnostními certifikacemi cloudových center společností Microsoft, Amazon nebo Google a jejich referencemi.


V konečném důsledku nelze přehlédnout ohromné investicemi do samotného zabezpečení cloudových center ani armádu odborníků, kteří tato centra navrhují a spravují. Je to jeden z důvodů, proč společnost Gartner predikuje, že v infrastruktuře cloudu se čelí bezpečnostním incidentům výrazně méně (uvádí až o 60 %) ve srovnání s tradičními datacentry.

V čem by tedy mohl být háček? Sdílená odpovědnost

Předpokládejme tedy, že cloud provideři dokážou investovat a řešit zabezpečení více a lépe než většina velkých společností. Rovnou bychom mohli použít další studie, které tvrdí, že i přes výše uvedené investice a kvalitu zabezpečení nemůže dodavatel cloudových služeb odpovídat za aktivity zákazníků, kteří tyto služby využívají. Špatná konfigurace, nesprávná implementace, nezabezpečené nadstavbové aplikace a neodborná správa mohou za 95 % bezpečnostních selhání v cloudu (viz již zmíněná studie Gartner).

Jinými slovy, cloud a provozované scénáře v něm jsou velmi bezpečné, jen pokud je správně navržen, provozován a řízen znalými profesionály na straně zákazníků či specializovaných firem. Dojem, že někdo jiný provozuje cloud, a vy můžete v klidu sedět a relaxovat, je mylný.

Bezpečný cloud a cloud pro zajištění bezpečnosti

Pojďme se v krátkosti podívat na tyto dvě oblasti. Jak technologicky ověřit, že prostředí cloudu je z pohledu zabezpečení v kondici, jak si stanovit minimální přehled? V druhé části si najdete několik rychlých a přínosných řešení, kde cloud přináší okamžité zabezpečení stávající klasické infrastruktury.

Nejprve je třeba jasně a pevně určit, že zabezpečení cloudové platformy je od počátku jejího používání nedílnou součástí celého konceptu podnikové strategie cloudu. Mít jasný koncept a ověřený model jako v případě on premise, ale obsahující nové možnosti a technologie pro cloudovou security. Nesmí zde chybět návrh zabezpečených identit pro správu s vícefaktorovým ověřením. Bez kompromisu. Jasná pravidla pro jednotlivé role správců a jejich oddělení (RBAC), oddělení jednotlivých cloudových scénářů na fyzické úrovni (obrazně řečeno, lze využít firewall pro segmentaci aplikací i služeb), k zabezpečeným identitám přidat zabezpečená data – šifrovaná v cloudu i při přenosu ‒ a samozřejmě neustále ověřovat po každé změně aktuální stav.

Nechte minulost za sebou

Nepřenášejte do cloudu stejné postupy, stejné nástroje a neuplatňujte stejné požadavky jako na on premise. Bude to nedostatečné. Neustálé kontrolování aktuálního stavu, ověření změn, odhalování zranitelnosti a identifikace rizik dříve, než bude problém, to je dnes neoddělitelná součást práce systémových administrátorů a bezpečnostních odborníků. V komplexním prostředí hybridních center to bez správných nástrojů prakticky nejde. Když už je zde zmínka o nových technologiích, můžeme zmínit například kontinuální skenery zranitelností a rizik cloudové infrastruktury, aplikační firewally s umělou inteligencí (CASB) nebo nové generace bezpečnostních dohledů. Tyto nástroje jsou pro většinu velkých cloudových poskytovatelů k dispozici a jsou certifikovány pro běh v cloudu, nebo kompatibilní s cloudem a v některých případech jsou dokonce integrovány přímo do služeb poskytovatele, aniž by to na první pohled koncový zákazník postřehl.

Kontinuální sledování zranitelností

Tři důvěryhodná řešení jsou například Qualys, Tenable Nessus nebo Azure Security center.

Qualys jako vlajková loď na poli vulnerability assessmentu je integrován jak s Amazon AWS, tak pro nás rozšířenější platformou Microsoft AZURE, a dokonce i s Google. Dokážete tak reagovat na hrozby v neaktualizovaných systémech, virtuálních serverech či aplikacích, nebo kontejnerech v reálném čase. Nejde jen o chybějící patche, ale také o jasná doporučení na změnu konfigurací cloudových služeb. Podobně je na tom nástroj společnosti Tenable, známý Nessus.

Obr. 1: Qualys a jeho výstup pro AWS
Obr. 1: Qualys a jeho výstup pro AWS

Nástroje pro správu hybridní bezpečnosti

Microsoft zase nabízí svým zákazníkům poměrně komplexní pokrytí jak cloudového prostředí, tak klasické on premise infrastruktury ve formě nástroje Azure Security Center. Můžete tak z jednoho místa spravovat servery ve vašem stávajícím datovém centru a cloudu Microsoft Azure. Rychle získáte aktuální stav zabezpečení a výsledkem je bezpečnostní skóre. Toto se mění v čase a slouží tak k přehledu aktuálního stavu, udržování a konfiguraci bezpečnosti. Dnes samozřejmě mimo Windows Serverů pokrývá i platformy Linux. Vedle přehledu zabezpečení cloudových služeb a doporučení nových nastavení vidíte také servery, otevřenou komunikaci do internetu, nešifrovaná data, IOT zařízení a tak dále. Zajímavostí je, že do Azure Security Center je nativně a na pozadí integrován i Qualys, v tichosti skenuje servery i aplikace a ukazuje chybějící záplaty a bezpečnostní rizika. Pro spuštění a využití Azure Security Centra lze prakticky jen nainstalovat potřebný software a zaplatit příslušné služby v prostředí Microsoft Azure.

Obr. 2: Microsoft Azure Security Center
Obr. 2: Microsoft Azure Security Center

Zabezpečený cloud jako nástroj pro bezpečnost?

Na posledním příkladu Azure Security Centra je zřejmé, že nástroje pro zabezpečení samotného cloudu můžeme s výhodou využít také pro zabezpečení on premise prostředí. Téměř neomezené možnosti výkonu a škálovatelnosti cloudových platforem přímo vybízí k provozu bezpečnostních nástrojů, které potřebují ohromné množství informací o činnosti uživatelů, správců a útočníků, dokážou je potom v reálném čase zpracovat a předložit na zlatém podnose anatomii celého incidentu, pokusu o únik dat nebo pokusu o útok. K porozumění chování uživatelů a odhalení zřejmých odchylek v práci, nestandardnímu chování či neobvyklým činnostem v používání aplikací se používá behaviorální analýza, strojové učení a umělá inteligence.

Výsledkem může být například e-mail ve schránce uživatele, který se ho ptá, zdali skutečně včera večer přistupoval k podnikovému portálu a sdílel dokumenty na OneDrive z Německa. Tuto neobvyklou činnost v neobvyklém čase dosud nedělal, proto došlo k zaznamenání incidentu a dotazu dotčeného uživatele. Pokud uživatel potvrdí, že jde o skutečnou a správnou věc, incident se uzavře. Vše automaticky, bez intervence fyzického správce bezpečnosti. Pokud uživatel nepotvrdí tuto událost, můžeme se začít bavit analýzou pokusu o únik dat.

Podobnými věcmi se zabývají bezpečnostní dohledy nové generace, které jsou pro provoz cloudových služeb z pohledu bezpečnosti téměř nezbytné. Mohou uživatele varovat, mohou dotčené informace kontextově zabezpečit šifrováním, či zakázat přístup z neobvyklých míst. Nástroje pro vynucení bezpečnosti, pro uplatnění zabezpečení a analýzu chování, které jsou umístěny mezi poskytovatele cloudu a koncové zákazníky, se nazývají Cloud Access Security Brokery (CASB). Vedoucími dodavateli tohoto řešení jsou aktuálně společnosti Microsoft s produktem Cloud App Security, McAfee a jejich MVISION Cloud a v těsném závěsu méně známý NetScope, který však začal s hodnocením aplikačních služeb cloudu (SaaS) a jejich zabezpečením jako jeden z prvních.

Pro zákazníky, kteří nejsou ochotni investovat větší prostředky do sběru bezpečnostních událostí, jejich vyhodnocení a nasazení velkých a rozsáhlých systémů typu SIEM, mohou být zajímavé nástroje pro rychlý sběr bezpečnostních logů a prezentaci nejčastějších bezpečnostních incidentů. Například Mainstream Audit Log Downloader (MALD).

Obr. 3: Magic Quadrant for Cloud Access Security Brokers. Zdroj: Gartner (říjen 2019)
Obr. 3: Magic Quadrant for Cloud Access Security Brokers. Zdroj: Gartner (říjen 2019)

Druhá noha datového centra?

Cloudové služby lze využít i pro zabezpečení dat a provozu. Bezpečnost dat, či požadavky na dostupnost při výpadku lokálního datového centra, případně obava z útoku ransomwaru vede k úvahám o řešení obnovy dat po rozsáhlé havárii – disaster recovery. Investice do záložního datového centra ve vzdálenějším místě je samozřejmě velmi nákladná a nemůže si ji dovolit každý. Využít stoprocentně cloudových služeb také nemusím být strategicky přijatelné. Na některé situace je třeba se opravdu dobře a v předstihu připravit.

Disaster Recovery v cloudu využívá replikace dat v reálném čase do datových center cloudových poskytovatelů. Sami si můžete zvolit, ve kterém datovém centru chcete mít vaše zálohy uloženy. Replikovat je možné virtuální servery na platformě Hyper-V, VMware nebo fyzické servery a dosáhnout tak toho, že z celkového počtu například 30 serverů budou takto zálohovány dva či tři nejdůležitější.

Pro vybrané servery je třeba „jen“ navrhnout plán pro případné krizové situace, připravit prostředí v cloudu a spustit zálohy. Systémy dnes poskytují pravidelně informace o stavu záloh a připravenosti na obnovu. Potom již jen stačí zvolený scénář otestovat (bez obnovy není žádná záloha kompletní) a máte luxus, který si dosud mohly dovolit jen velké společnosti díky velkým investicím. V případě služeb Azure Site Recovery se podle zvoleného výkonu pohybují náklady na jeden server v řádu stokorun až tisícikorun měsíčně i s dohledem od specializovaných partnerů. Do budoucna se může soubor jednotlivých scénářů stát samozřejmě plnohodnotným záložním centrem, které je provozováno levně se sníženým výkonem, a až v případě potřeby, třeba náhlé havárie, dojde k navýšení výkonu a krátkodobému zvýšení nákladů.

Obr. 4: Schéma Azure Site Recovery
Obr. 4: Schéma Azure Site Recovery

V souhrnu lze říct, že správně zabezpečený cloud je ten správně nakonfigurovaný a dohledovaný. Je jen na vás, zdali využijete služby tohoto prostředí pro stávající klasické systémy, které provozujete lokálně, nebo zvolíte hybridní řešení. Každopádně nesmíte zapomenout na jiné přístupy, nové aplikace a nástroje, a naopak musíte často zapomenout na osvědčené postupy, se který si IT vystačilo bez cloudu.

Použité zdroje a doporučené odkazy:
https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/
https://www.gartner.com/doc/reprints?id=1-1XO56V9F&ct=191022&st=sb

Ladislav Šolc Ladislav Šolc
Autor článku je spolumajitelem společnosti Mainstream Technologies, kde působí jako managing partner a věnuje se strategickému směrování, rozvoji nových služeb a také budování týmu kybernetické bezpečnosti se službami nové generace.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Ochrana dat a bezpečnost v éře DORA a NIS2

Klíčová role IBM Guardium a SIEM QRadar

Security AIS rostoucími nároky na ochranu citlivých dat a dodržování regulatorních požadavků se firmy stále více obrací k pokročilým nástrojům, které jim umožňují efektivně čelit výzvám moderního IT prostředí. Směrnice DORA a NIS2, které zdůrazňují operační odolnost a správu kybernetické bezpečnosti, stanovují jasné standardy pro ochranu dat a řízení přístupu. V tomto kontextu hrají zásadní roli řešení IBM Guardium a SIEM QRadar.