facebook LinkedIN LinkedIN - follow
IT SYSTEMS 7-8/2022 , Cloud a virtualizace IT , IT Security

Jaké největší výzvy čekají na firmy při zabezpečení cloudu

Peter Kovalčík


Trend posledních let je jasný, organizace stále častěji přechází na cloudovou infrastrukturu. A koronavirová pandemie vše ještě zrychlila. S nárůstem vzdálené práce potřebovaly společnosti poskytnout podporu a kritické služby svým zaměstnancům mimo kancelář. Výsledkem je, že více než 98 % organizací využívá nějakou formu cloudové infrastruktury, více než tři čtvrtiny (76 %) mají multicloudová prostředí se službami od dvou nebo více cloudových poskytovatelů. V cloudových prostředích tak běží kritické podnikové aplikace a jsou v nich uložena citlivá firemní i zákaznická data. S přechodem na cloud proto přichází i potřeba řešit nově zabezpečení. Cloudové aplikace musí být chráněny proti útokům a data zabezpečena v souladu s předpisy před neoprávněným přístupem. Cloudová prostředí se ale od on-premise infrastruktury výrazně liší, takže tradiční bezpečnostní nástroje a přístupy nejsou vždy dostatečně efektivní. V důsledku toho se mnoho organizací potýká s problémy při zabezpečení nově nasazované cloudové infrastruktury.


Ze zprávy Check Point 2022 Cloud Security Report vyplývá, že mnoho organizací přešlo rychle na cloudovou infrastrukturu, ale při jejím zabezpečení čelí řadě výzev:

1. Výzvy spojené s multicloudovým prostředím

Většina společností využívá multicloudová prostředí, což přináší řadu výhod, protože jednotlivé cloudy mohou být optimalizované pro konkrétní použití. Současně to ale zvyšuje složitost cloudové infrastruktury. Větší komplexnost multicloudových prostředí logicky přináší i více bezpečnostních výzev. Mezi ty hlavní patří:

  • Ochrana dat a soukromí: 57 % organizací považuje za náročné správně chránit data v multicloudových prostředích v souladu s firemními zásadami a regulačními požadavky. Různá prostředí mají různé bezpečnostní kontroly a nástroje, což ztěžuje jednotné zabezpečení.
  • Zkušenosti s cloudem: 56 % organizací nemá dostatečné zkušenosti potřebné k nasazení a konzistentní správě zabezpečení multicloudových prostředí. K tomu jsou zapotřebí odborné znalosti pro každé prostředí, což je s jejich rostoucím počtem stále obtížnější.
  • Integrace řešení: Multicloudová prostředí zahrnují různorodá řešení od různých dodavatelů. 50 % organizací má potíže s pochopením, jak bezpečnostní řešení spolupracují.
  • Ztráta přehlednosti a kontroly: Získat plnohodntný přehled a kontrolu v cloudu je kvůli modelu sdílené odpovědnosti a závislosti na infrastruktuře dodavatele obtížné. 46 % organizací to uvedlo jako hlavní problém při práci v multicloudových prostředích.

2. Poskytovatelé cloudu

Více než tři čtvrtiny organizací (76 %) využívá dva nebo více poskytovatelů cloudových služeb a téměř čtvrtina (24 %) jich využívá více než pět. Je potom složité tato prostředí důsledně monitorovat a zabezpečit. Navíc více než polovina organizací (54 %) se domnívá, že bezpečnostní nabídky poskytovatelů cloudových služeb nejsou tak účinné, jako řešení dodavatelů třetích stran.

Komplexnost zabezpečení multicloudových prostředí může ztížit dosažení primárních bezpečnostních cílů, mezi které patří:

  • Prevence chybné konfigurace: Různá bezpečnostní řešení a technologie mají vlastnosti specifické pro jednotlivé dodavatele, takže je složité zajistit, aby vše fungovalo dohromady správně.
  • Zabezpečení již používaných cloudových aplikací: Rychlý přesun do cloudu v důsledku koronavirové pandemie způsobil, že mnoho bezpečnostních týmů je pozadu a dohání se zabezpečením již realizované projekty.
  • Dodržování shody s předpisy: Rychlá digitální transformace a rozšiřující se regulační prostředí znesnadňují dodržování předpisů.
  • Obrana proti malwaru: Jak roste zájem organizací o cloud, roste o něj i zájem kyberzločinců. Proto je správa ochrany před malwarem v cloudu jednou ze zásadních priorit.

3. Automatizace a orchestrace

S přechodem na komplexní multicloudová prostředí je pro zabezpečení celé organizace zásadní automatizace a orchestrace. Organizace používají nejrůznější nástroje, které jim pomáhají implementovat bezpečnostní kontroly a procesy:

  • Infrastruktura jako kód (IaC) a zabezpečení jako kód (Terra­form nebo AWS CloudFormation): Používá 48 % organizací
  • Bezserverové technologie (Lamba nebo Azure): 44 % organizací
  • Pluginy pro kontinuální integraci a doručování (CI/CD) (Jenkins nebo TeamCity): 44 %
  • Nástroje pro orchestraci, automatizaci a reakci (SOAR): 41 %
  • Nástroje pro orchestraci konfigurace (Chef nebo Ansible): 41 %
  • Webové aplikační firewally (WAF): 5 %

4. DevOps cyklus

Začlenění bezpečnosti do raných fází životního cyklu vývoje softwaru (SDLC) může výrazně snížit náklady a dopady zranitelností nebo kódu, který porušuje požadavky na dodržování předpisů. Organizace implementují testování zabezpečení a shody s předpisy DevOps do různých fází SDLC, včetně:

  • Testování systému a produkce: Využívá 52 % organizací
  • Vývoj funkcí a testování jednotek: 42 % organizací
  • Staging: 42 %
  • Žádné testování: 10 %
  • Jiné: 27 %

5. Provozní zabezpečení

Zabezpečení cloudu může být náročné, zejména ve složitých prostředích. Mezi největší bezpečnostní výzvy, kterým organizace čelí, patří:

  • Nedostatek kvalifikovaného personálu: Trh kyberbezpečnosti se potýká s nedostatkem odborníků. Jen ani ne polovina organizací (45 %) dokáže najít kvalifikované pracovníky na kritické pozice pro zabezpečení cloudu.
  • Dodržování předpisů: Většina organizací podléhá mnoha různým předpisům, přičemž regulační prostředí se rychle vyvíjí. S přechodem do cloudu uvádí 39 % organizací, že dosažení, udržení a prokázání shody s předpisy je pro ně zásadní výzvou.
  • Nedostatečný přehled o zabezpečení infrastruktury: Cloud využívá model sdílené odpovědnosti, kdy je odpovědnost za bezpečnost rozdělena mezi poskytovatele cloudu a zákazníka. Ale bez viditelnosti a kontroly v nižších vrstvách infrastruktury, vzhledem k nemožnosti nasadit tradiční bezpečnostní řešení má 35 % organizací problém dosáhnout kritického přehledu o své základní bezpečnostní infrastruktuře.
  • Problémy při odhalování chybné konfigurace: Každá cloudová platforma má svou vlastní bezpečnostní konfiguraci a většina organizací spolupracuje s více poskytovateli cloudu. Pro 33 % z nich je kvůli složitosti cloudových prostředí náročné identifikovat a opravit chybné konfigurace dřív, než je může zneužít útočník.
  • Nastavení konzistentních bezpečnostních politik: V multicloudových prostředích pracují organizace s řadou různých bezpečnostních nástrojů. 32 % společností proto tvrdí, že udržování konzistentních bezpečnostních politik v celé cloudové infrastruktuře představuje významný problém.
  • Automatizace zabezpečení cloudu: Průběžné a automatizované bezpečnostní kontroly jsou pro minimalizaci rizika a dopadu kybernetických útoků na cloudové zdroje zásadní. Ovšem zavést takové automatizované kontroly je pro 31 % organizací problém.
  • Automatizované vynucení bezpečnosti: Komplexnost multicloudových prostředí znemožňuje manuální konfiguraci a vynucování bezpečnostních opatření napříč celým prostředím organizace. Automatizace je tedy nezbytná, ale pro 28 % organizací je to velký problémem.

Security

6. Dodržování předpisů v cloudu

Dodržování různých předpisů o ochraně dat a průmyslových standardů je pro většinu organizací nezbytné. Nicméně návrh a implementace politik pro cloudová prostředí se výrazně liší od on-premise systémů. Mezi největší výzvy, kterým organizace v oblasti dodržování předpisů v cloudu čelí, patří:

  • Nedostatek znalostí a odbornosti: Dodržování předpisů v cloudu vyžaduje nejen znalost potřebných politik, ale také způsob jejich implementace v cloudových prostředích. Více než polovina (55 %) organizací označuje nedostatečné znalosti předpisů ve spojitosti s cloudem za svůj největší problém při dodržování nařízení.
  • Měnící se prostředí: Dodržování předpisů je neustálý boj, protože se pravidelně mění regulační požadavky i cloudová prostředí. Zajištění stálého souladu s předpisy navzdory změnám v cloudových prostředích je obtížné pro 43 % organizací.
  • Složité audity: Audity dodržování předpisů a hodnocení rizik mohou být náročné i v on-premise prostředí, kde organizace vlastní a kontroluje veškerou svou infrastrukturu. Ale realizovat vše v cloudu s omezeným přístupem k základní infrastruktuře je pro 42 % organizací velká výzva.
  • Monitorování dodržování předpisů: Dodržování shody s předpisy vyžaduje perfektní přehled o systémech a bezpečnostních kontrolách. V cloudu je dosáhnout takové úrovně obtížné a 42 % organizací považuje monitorování shody s předpisy v cloudové infrastruktuře za velmi složité.
  • Měnící se požadavky: V posledních letech se rychle přijímají nové předpisy a stávající normy se aktualizují. Udržet krok s vyvíjejícími se požadavky je pro 36 % společností velkou výzvou.
  • Správa zranitelností v cloudu: S rozšiřováním multicloudové infrastruktury se zvětšují i možnosti útoků. Monitorování zrani­tel­nos­tí cloudových aplikací a služeb je pro prevenci narušení bezpečnosti dat a nedodržování právních předpisů zásadní.
  • Automatizace dodržování shody s předpisy: V multicloudových prostředích je náročné snažit se o manuální správu a reporting shody s předpisy. 27 % organizací ale tvrdí, že škálování a automatizace patří mezi největší výzvy v oblasti dodržování předpisů v cloudu.

Cloudová infrastruktura může přinést významné výhody. Nabízí větší flexibilitu, škálovatelnost a možnost snížit náklady, protože správu velké části infrastruktury převezme poskytovatel cloudu. Při pře­cho­du z lokálních prostředí na cloudovou infrastrukturu musí ale orga­ni­za­ce integrovat cloud do svých stávajících bezpečnostních politik a architektury. Rozdíly mezi on-premise a cloudovou infrastrukturou mohou být velkou výzvou a způsobit řadu bezpečnostních problémů.

Peter Kovalčík Peter Kovalčík
Autor článku je Regional Director, Security Engineer EE v kyberbezpečnostní společnosti Check Point Software Technologies.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Ochrana dat a bezpečnost v éře DORA a NIS2

Klíčová role IBM Guardium a SIEM QRadar

Security AIS rostoucími nároky na ochranu citlivých dat a dodržování regulatorních požadavků se firmy stále více obrací k pokročilým nástrojům, které jim umožňují efektivně čelit výzvám moderního IT prostředí. Směrnice DORA a NIS2, které zdůrazňují operační odolnost a správu kybernetické bezpečnosti, stanovují jasné standardy pro ochranu dat a řízení přístupu. V tomto kontextu hrají zásadní roli řešení IBM Guardium a SIEM QRadar.