Není proto překvapením, že v souvislosti s cloudovými službami dochází poměrně často k narušení bezpečnosti dat. Podle studie Ponemon Institute z října 2016, které se zúčastnilo téměř 650 profesionálů z oblasti IT v Severní Americe, zaznamenalo v předchozím roce 31 % společností narušení bezpečnosti dat a 48 % případů způsobili uživatelé, kteří úmyslně nebo neúmyslně ohrozili bezpečnost dat v cloudových službách. Více než polovina respondentů uvedla, že neměli nastavené odpovídající bezpečnostní kontroly, aby zabránili únikům z cloudu.

Navíc nová éra virtualizace, automatizace a cokoli-jako-služba (XaaS) je velmi dynamická, zvyšuje efektivitu a úspory nákladů a mění způsob, jak organizace rozšiřují aplikace a služby. Trend je jasný. Stále více podniků přechází na model soukromých a hybridních cloudů. Check Point ve svém průzkumu Cyber Security Survey 2017, kterého se zúčastnilo 1900 IT profesionálů ze společností s 1000 nebo více zaměstnanci, zjistil, že 49 % respondentů uvedlo jako výhodu cloudu flexibilní škálovatelnost, 37 % zmínilo úsporu nákladů a 37 % vidí výhodu ve vyšší agilitě. Na dalších místech bylo třeba rychlejší nasazení nebo rychlejší uvedení na trh. 21 % dotázaných zmínilo jako výhodu lepší bezpečnost. Nicméně pokud se podíváme na uvedené výhody, často jsou v rozporu s implementovanými bezpečnostními opatřeními.

Z průzkumu Cyber Security Survey 2017 také vyplývá, že 65 % dotázaných specialistů není přesvědčeno o správném přístupu své organizace k bezpečnosti. Často totiž považují ochranu za příliš složitou, nemají zdroje na správu nebo jednoduše pořádně neznají možné preventivní technologie.

Příchod cloudu kompletně změnil způsob zabezpečení „tradičních“ sítí. Už nechráníme pouze provoz, který jde dovnitř a ven. Soukromé a hybridní cloudy přináší řadu vstupních a výstupních bodů a nárůst virtualizace serverů a sítí znamená větší provoz i v rámci cloudových datových center. To znamená, že jakákoli hrozba, která se dostane dovnitř cloudu, se může libovolně pohybovat mezi aplikacemi a virtuálními servery.

Bohužel DevOps týmy sice definují cloudovou infrastrukturu, ale často nemají potřebné odborné bezpečnostní znalosti a vidí zabezpečení jen jako překážku efektivních DevOps procesů. Úspěšná migrace do cloudu znamená, že podniky potřebují plně pochopit, kde jsou bezpečnostní slabiny a mezery a jaké moderní techniky jsou k dispozici pro ochranu dat, zařízení a uživatelů. Existuje několik hlavních výzev, kterým organizace při přesunu do cloudového prostředí čelí:

Automatizované zabezpečení a nasazení

Ve fyzických prostředích funguje statický a manuální přístup k zabezpečení dobře, protože výpočetní zdroje jsou především fixní a IT bezpečnostní týmy určují pohyb aplikací a služeb ve všech fázích od testování a vývoje až po plošné nasazení. Ale to už dnes neplatí.

Cloudové prostředí je flexibilní a dynamické. Nasazení aplikací je rychlé, prostředí se mění a aplikace se pohybují z jedné části datového centra do jiné. Bezpečnostní služby tak musí být podobně dynamické a musí držet krok s těmito rychlými změnami. Elastická bezpečnost proto vyžaduje automatizaci. Bez toho se stává překážkou, zpomaluje poskytování nových aplikací a rozšiřování nebo zjednodušování stávajících aplikací. Často pak dochází ke snahám o obcházení bezpečnostních pravidel.

Vnitřní segmentace provozu, viditelnost a kontrola

Cloudová prostředí stojí za růstem datového provozu uvnitř virtualizovaných datových center. Jakmile je tato komunikace zapouzdřena napříč virtuálními tunely a koncovými body, už se nedotýká žádných kontrol spojených s fyzickou sítí, což vytváří slepá místa a potenciálně zranitelné cestičky. Aby šlo získat kontrolu, cloudové technologie nyní umožňují segmentovat virtuální zdroje, tedy využít mikrosegmentaci.

Mikrosegmentace zahrnuje logické seskupování zdrojů ve virtualizovaném datovém centru a uplatňování konkrétních bezpečnostních politik na komunikaci mezi těmito zdroji. Rozdělí se tak soukromý cloud na menší, snáze spravovatelné segmenty, přičemž omezí schopnost provozu komunikovat napříč logickými hranicemi.

Nicméně aplikace stále potřebují křížit mikrosegmenty, aby se integrovaly a fungovaly napříč virtuální infrastrukturou, takže existuje příčný pohyb mezi segmenty. Aby se zabránilo tomu, že kyberzločinci mohou zneužít tento vektor, je nezbytné doplnit mikrosegmentaci o pokročilé zabezpečení pro kontrolu veškerého provozu překračujícího logické hranice, ale také kontrolu provozu mezi jednotlivými segmenty a aplikacemi, aby bylo možné detekovat a zastavit případné hrozby na všech úrovních.

Dynamická správa politik

V cloudu neustále probíhají změny. Bezpečnost ovšem tradičně vyžaduje nějaké manuální zásahy, které přizpůsobí politiky změnám v topologii sítě, což následně vede ke zvýšení provozních nákladů a snížení agility. V cloudu se jedná o zásadní výzvu, které správci zabezpečení čelí.

Vhodné je používat dynamický nástroj pro politiky s ohledem na změny v cloudu, který pomůže automatizovat změny politik v reálném čase. Jakákoli změna ve virtuální infrastruktuře - například pokud je do stávající bezpečnostní skupiny přidán nový virtuální server, aby bylo možné zvládnout větší provoz - se automaticky projeví v zabezpečení, aniž by museli administrátoři ručně upravovat politiky.

Pokročilé hrozby

Útočníci dnes mohou použít nejrůznější sofistikované nástroje a techniky k infikování nejslabšího systému vaší cloudové sítě a pak se přesouvat z jednoho virtuálního stroje na další a tak dále. Navíc útočné nástroje a techniky se neustále zlepšují a vyvíjí, takže kyberzločinci mají stále větší arsenál „zbraní“, které mohou použít ke krádeži vašich dat.

Nutností je proto silné cloudové zabezpečení, jinak mohou hackeři nepozorovaně narušit obchodní procesy a krást citlivé informace. A vzhledem k modelu sdílené odpovědnosti v cloudovém prostředí je na vás, abyste jako cloudový zákazník nasadili správné bezpečnostní ochrany, které jsou nezbytné pro zajištění bezpečnosti vašich dat a celé organizace. Stejně jako u normální sítě potřebujete i zde komplexní vícevrstvé zabezpečení.

Zmírnění hrozeb je náročné zejména proto, že v mnoha případech IT týmy přesně neví, které nebo kolik neschválených cloudových služeb zaměstnanci využívají z firemních koncových bodů nebo osobních zařízení. Nicméně organizace mohou začleněním bezpečnostních brokerů pro přístup ke cloudovým službám CASB (Cloud Access Security Brokers) získat lepší přehled a kontrolu nad daty a aplikacemi používanými zaměstnanci a vynutit konzistentní politiky napříč všemi cloudovými službami. Zjednoduší se blokování rizikových cloudových služeb nebo ochrana citlivých data před nahráváním do cloudu a CASB je také schopen monitorovat temná zákoutí internetu a zjistit, jestli nebyly ukradeny nějaké uživatelské přihlašovací údaje a případně upozornit IT tým, který následně může deaktivovat nebo upravit uživatelský účet.

Shrnutí

Nezbytný je zkrátka nový přístup k bezpečnosti a použití efektivní prevence hrozeb, aby se zabezpečení dokázalo přizpůsobit a reagovat na měnící se podmínky dynamických cloudových prostředí. Bezpečnostní řešení by mělo být také propojeno s cloudovou správou a nástroji pro sladění systémů, což pomáhá automatizovat správu zabezpečení, aby zůstala zachována právě ona flexibilita cloudových sítí.

Migrace z lokálního fyzického datového centra do veřejného a hybridního cloudového prostředí může přinést zásadní výhody pro podnikání a zvýšit flexibilitu a schopnost reagovat. Ale stejně důležité je mít také kontrolu nad tím, co umožníte vstoupit do vašeho cloudu a čemu dáte stopku ještě před jeho branami.

Martin Koldovský Autor článku působí na pozici Threat Prevention Security Engineer ve společnosti Check Point.