facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
K2 atmitec
IT security , Cloud a virtualizace IT , IT Security

Jak na analýzu rizik pro migraci do veřejného cloudu

Mike Bursell


Ačkoliv veřejný cloud mnohokrát prokázal, že pro určité aplikace je efektivní a cenově dostupný, mnoho organizací stále váhá s přesunem citlivých dat. Ve skutečnosti je skladování citlivých dat, jako jsou finanční a osobní informace či data o mzdách, ve veřejném cloudu možné, ale ne bez pečlivé analýzy rizik. Někdy mohou být rizika nízká a stačí mít jen oči dokořán, jindy zase může manažer informační bezpečnosti (CISO) nebo auditor na základě výsledků analýzy poukázat na potenciální problémy. Na co by si tedy měly organizace dát pozor, než se do využívání cloudu pustí?


Veřejný cloud už je pevně zakotven jako základní stavební kámen pro IT infrastrukturu. Přechod do cloudu byl však zpomalen obavami spojenými s informační bezpečností. Celých 93 % manažerů uvádí, že se středně až vysoce obávají bezpečnosti veřejného cloudu, přičemž obavy ohledně úniků dat a narušení soukromí jsou obzvláště důležité pro organizace pracující s vysoce citlivými daty vztahujícími se k finanční, osobní nebo mzdové problematice.

Tyto obavy jsou opodstatněné. Ačkoliv citlivá data mohou být ve veřejném cloudu uložena, závažnost škody, která může být způsobena chybou nebo únikem, znamená, že je třeba k rizikům přistupovat a eliminovat je systematicky – a je nutné tak činit před i po migraci do cloudu.

Obecně vzato během provádění analýzy rizik veřejného cloudu narazíme na tři kategorie rizik: smluvní dohoda, kterou máte se svým poskytovatelem, architektura cloudového softwaru a hardwarová konfigurace.

Zkontrolujte si smlouvu

Pozornost, kterou věnujete prozkoumání pravidel a podmínek smlouvy se svým poskytovatelem cloudových služeb (CSP, Cloud Service Provider), je klíčová pro určení bezpečnostního standardu. V rámci analýzy rizik byste se nejprve měli podívat na to, jaké bezpečnostní ISO standardy váš CSP slibuje dodržovat. Měli byste se také podívat, jaké jsou vaše právní povinnosti a rizika, a na to, jak váš CSP dodržuje standardy, které jste si sami nastavili pro účely dodržování předpisů.

Pak byste se měli zaměřit na aktivity, které váš CSP plánuje udělat v případě úniku dat. Měli byste zkontrolovat, koho považuje za odpovědného za úniky, jaký je plán reakce v případě úniku a jak má nastaven proces kontroly. Také byste měli prozkoumat, jak je na tom váš CSP s bezpečností v rámci svých datacenter, například jaké má procesy na prověřování zaměstnanců.

Prozkoumejte svou architekturu

Oblast, kde může vaše analýza rizik získat nejvíc informací a vyprodukovat nejvíce doporučení, bude kontrola vaší architektury. To znamená, jak váš software organizuje data, která se přesouvají do veřejného cloudu. Kontroly architektury jsou obzvláště důležité pro prostředí hybridního cloudu, kde aplikace běží jak na strojích ve veřejném cloudu, tak na strojích v privátním datacentru, jelikož vám umožní maximálně udržet citlivá data a aplikace v privátním prostředí. Z tohoto důvodu je extrémně důležité pracovat přímo s vývojovým a administračním týmem, abyste dobře rozuměli architektuře svých systémů.

Pokud využíváte hybridní cloud, váš tým by měl zajistit, že citlivé aplikace vždy poběží v privátním datacentru. Toho můžete docílit pomocí nástrojů pro plánování nasazení a rozmístit tak své aplikace napříč různými cloudy. Abyste měli data sdílená mezi veřejnými a privátními servery pod kontrolou, měli byste se podívat, jak využíváte API pro kontrolu provozu a jakou máte strategii pro dohled nad pohybem dat. Měli byste také využít virtuální LAN (VLAN) a dále tak regulovat pohyb dat.

Dobře vyberte hardware

A konečně, kvalitní analýza rizik by také měla brát v potaz hardwarovou konfiguraci strojů v organizaci a podívat se na samotná zařízení i hardware v nich. Výběr správného hardwaru může poskytnout fyzickou bezpečnost pro vaše kritické aplikace a zároveň pomoci chránit vaše důvěrná data před úmyslnými útoky ‒ ať už fyzicky, nebo skrz kyberprostor.

Jednou z možností jsou hardwarové bezpečnostní moduly (HSM), což jsou zařízení, která mohou omezovat přístup k datům organizace. Pokud máte nějaká data, ke kterým by měl mít přístup jen velmi omezený okruh lidí, uložena ve veřejném nebo hybridním cloudu, pak vám HSM dává téměř stoprocentní jistotu, že nikdo mimo tento okruh lidí nebude schopen k informacím přistoupit.

Další rychle se rozvíjející technologií jsou důvěryhodná prostředí pro spuštění (TEE). TEE jsou části počítačových procesorů, které nabízí zařízením prostor pro běh kódu izolovaně od zbytku zařízení. Tím kód ochrání před potenciálními hrozbami. To znamená, že žádný škodlivý kód běžící na daném stroji by neměl mít přístup k důvěrným informacím. TEE získávají na popularitě, ačkoliv jsou stále relativně nová a jejich využití je nákladné a komplikované. Pokud vás zajímá, jak se tato oblast rozvíjí, můžete například sledovat novinky od výrobců čipů jako AMD a Intel, ale také práci organizace Confidential Computing Consortium.

Analýza rizik by měla být podložena řadou faktorů včetně:

  • Smluvní kontroly – včetně toho, jaké ISO standardy poskytovatel cloudu splňuje. Jaké smluvní postihy můžete uplatnit v případě úniku dat? Má váš poskytovatel cloudových řešení (CSP) postup pro prověřování zaměstnanců?
  • Kontroly architektury – včetně využívání pravidel pro nasazování v OpenStacku a OpenShiftu k zajištění, že některé aplikace vždy poběží v privátním datacentru. Mezi další prvky patří využívání správy API, VLAN a VXLAN a dohled.
  • Technické kontroly – včetně využití hardwarových bezpečnostních modulů (HSM, Hardware Security Module) nebo důvěryhodných prostředí pro spuštění (TEE, Trusted Execution Environments). Tato řešení jsou zatím složitá a drahá, ale očekáváme v této oblasti rychlý rozvoj. Obzvláště s tím, jak různí výrobci čipů vydávají nový hardware.

Vaše analýza rizik vám ukáže mnoho bodů, na které si při přechodu do veřejného cloudu musíte dát pozor, ať už jde o smlouvy, software nebo hardware. Tento přechod je však pouze první krok na vaší cestě k bezpečnému hybridnímu cloudu a analýza rizik by nikdy neměla být vnímána jako ukončená záležitost. Musíte reagovat na rizika neustálým dohledem a vývojem plánu založeného na smluvních, architektonických a technických změnách.

Mike Bursell Mike Bursell
Autor článku je hlavní bezpečnostní architekt společnosti Red Hat.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Žádný systém sám o sobě nic nevyřeší

IT Systems 4/2021V aktuálním vydání IT Systems opět najdete spoustu novinek ze světa informačních technologií a inspirace, jak je využít pro rozvoj vaší firmy nebo organizace. Mapujeme aktuální trendy v digitalizaci stavebnictví, vybavení pro kontaktní centra a service desky. Věnujeme se řízení práce na dálku a onboardingu zaměstnanců v době covidu, řízení projektů a hybridnímu cloudu. Významným tématem je jako vždy zajištění kybernetické bezpečnosti – konkrétně zabezpečení ICS, důsledky kauzy Exchange, DDoS útoky a bezpečnost mobilních zařízení.

Helios
- inzerce -