Predplatné

HN špeciál

2854698
Freepik.com
StoryEditor

Kým sa tam vyberiete. Ako posúdiť bezpečnosť cloudu

28.04.2023, 00:00
Autor:
HNšpeciálHNšpeciál

Cloud tu je a ostane tu s nami veľmi dlho, to je, verím, v roku 2023 jasné. Mnohé produkty dokonca majú len cloudovú podobu a tento trend bude len rásť.

Podľa môjho názoru existuje veľmi málo firiem, ktoré nevyužívajú nejakú formu cloudu – či už vedome, alebo nevedome.

Kedy áno a kedy nie

Kým niektoré spoločnosti nemajú problém s extrémne rýchlym prijímaním cloudových riešení, iné vykonávajú rozsiahle cloudové štúdie pre vyhodnotenie finančných, prevádzkových a bezpečnostných dosahov.

Samozrejme, ani jeden zo spôsobov nie je ani dobrý, ani zlý a neexistuje jeden správny postup pre všetkých. Okrem zvýšenia efektivity a zníženia nákladov by cloudové riešenie z pohľadu bezpečnosti nemalo prinášať nové bezpečnostné riziká. 

Už pri tom, keď  zvažujeme samotný cloud, by sme mali vedieť, aké máme nároky na bezpečnostné riešenia, pretože ich cena môže až dramaticky ovplyvniť efektívnosť z finančného hľadiska.

Pre posúdenie cloudovej bezpečnosti by sme sa však mali zamyslieť minimálne nad piatimi nasledujúcimi otázkami.

Aké dáta bude cloud spracovávať

Odpoveď na túto otázku považujem za absolútne kľúčovú. Determinuje totiž, ako budeme celý cloud ďalej posudzovať.

Iné požiadavky budeme mať na cloudového poskytovateľa, ak bude spracovávať marketingové materiály, ktoré sú často dostupné na stránkach spoločnosti, a iné požiadavky budeme mať na cloudového poskytovateľa, ktorý bude spracovávať autentifikačné prvky.

Nezabúdajme ani na platnú legislatívu – napríklad legislatívny rámec GDPR upravuje aj fyzickú lokalitu dát. Povahu spracovávaných dát by sme mali teda posúdiť na základe citlivosti voči vlastnej organizácii a aj voči platnej legislatíve.

Aké nové hrozby a zraniteľnosti cloud prináša

Jedna z najväčších chýb, ktorú často môžeme vidieť pri posudzovaní cloudových poskytovateľov, je, že firmy sa nezaoberajú vôbec novými potenciálnymi hrozbami a zraniteľnosťami, ktoré cloud prináša.

Častá argumentácia, že ide o renomovaného dodávateľa na svetovej úrovni, nevylučuje potenciálne nové hrozby a zraniteľnosti. Pri hľadaní potenciálnych hrozieb a zraniteľností by sme sa preto mali zamerať minimálne na nasledujúce oblasti.

Interné hrozby

Ako rieši cloudový poskytovateľ oddeľovanie jednotlivých používateľov cloudu na úrovni organizácií? Aké má vnútorné procesy pre overovanie administrátorov? Ako rieši vyradenie starého HW? Sú dáta štandardne šifrované?

Externé hrozby

Ako je zabezpečený prístup z vonkajšieho prostredia? Aké ochranné mechanizmy používa proti externým útokom, napríklad DDoS? Aké autentifikačné mechanizmy sú dostupné pre prístup do cloudového prostredia?

Incidenty v minulosti

Aké bezpečnostné incidenty riešil tento cloudový poskytovateľ v minulosti? Ako komunikoval vzniknuté problémy v minulosti? Vydáva pravidelné správy o údržbe a problémoch?

Súlad s legislatívou

V každom prípade si overujte, či poskytovateľ disponuje potrebnými certifikáciami, a preto si skratky PCI DSS, GDPR, ISO27001, SOC2, HIPAA niekam poznačte. Často je získanie potrebných certifikácií náročný proces a okrem toho, že sú v istých prípadoch nevyhnutnou podmienkou, taktiež pridávajú dôveryhodnosť samotnému cloudovému poskytovateľovi.

Ako ohodnotiť riziko

Hoci existuje veľa prístupov, ako ohodnocovať jednotlivé bezpečnostné riziká, vo svojej podstate väčšina prístupov zvažuje najmä pravdepodobnosť a dosah.

Ak sme pri odporúčaní alebo neodporúčaní cloudu pre konkrétnu organizáciu nevedeli jednoznačne povedať, či je pre organizáciu prospešný alebo nie, tak pri ohodnocovaní rizika je táto miera neurčitosti predpovede ešte väčšia.

Ak si zoberieme pravdepodobnosť naplnenia hrozby, tak isto existujú prípady, keď sa riziko zmenší. Napríklad ak sme zastaralú infraštruktúru presunuli do moderného cloudového prostredia.

Na druhej strane sa môže riziko aj zväčšiť. Ak sme relatívne dobre zabezpečenú vnútornú infraštruktúru či aplikáciu presunuli do cloudu s neadekvátnymi licenciami a znášame riziko útokov na celý cloud.

Kontrolné mechanizmy

Na korektné ohodnotenie rizika je nutné zvážiť aj to, aké máme dostupné kontrolné mechanizmy.

Bezpečnostné riziko môžeme napríklad znížiť zavedením dodatočných kontrolných mechanizmov.

Môžete vyžadovať šifrovanie pre všetky dáta v cloude, prístup len pomocou multifaktorovej autentifikácie či rozšírenie súčasného programu vzdelávania v oblasti informačnej bezpečnosti.

Kedy a ako pre koho

Tak ako nie je jedna veľkosť pre všetkých, nemôžeme od stola jednoducho rozhodnúť, pre ktoré firmy a za akých podmienok má zmysel uvažovať nad migráciou dát, aplikácií, infraštruktúry či všetkého uvedeného do cloudu.

Je nutné dať si na misky váh, a to prípad od prípadu, všetky výhody a nevýhody, ktoré cloud so sebou prináša. Toto posudzovanie by malo byť o to obozretnejšie, ak si uvedomíme, že migrácia do cloudu je zvyčajne, hlavne pre väčšie organizácie, jednosmerná letenka.

Michal Srnec,

CISO Aliter Technologies

 

#KYBERBEZPEČNOSŤ#KYBERNETICKÁ BEZPEČNOSŤ
menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
20. apríl 2024 17:14