Bezpečnostné aspekty
cloudových riešení.

Starostlivosť o naše dáta je neoddeliteľnou súčasťou digitálnej hygieny. Zároveň v súčasnosti pozorujeme rastúci trend využívania cloudových riešení pre naše súkromné či pracovné každodenné aktivity. V nasledujúcom texte sa z tohto dôvodu budeme venovať téme bezpečnostných aspektov cloudových riešení.

Čo je cloud?

Pojem „cloudové služby“ označuje širokú škálu služieb poskytovaných na požiadanie spoločnostiam a zákazníkom prostredníctvom internetu. Tieto služby sú navrhnuté tak, aby poskytovali ľahký a cenovo dostupný prístup k aplikáciám a zdrojom bez potreby internej infraštruktúry alebo hardvéru.

Medzi najčastejšie služby patrí prenájom samotného virtuálneho servera, ktorý je umiestnený na vysoko dostupnom hardvéri v dátovom centre. Na tomto serveri môže mať klient nainštalovaný akýkoľvek firemný systém, rôzne webové aplikácie alebo čokoľvek, čo klient požaduje.

Definícia cloudového zabezpečenia

Cloud sa stal neoddeliteľnou súčasťou online života. Vďaka cloudu je digitálna komunikácia a práca pohodlnejšia a organizácie dokážu rýchlo inovovať. Keď však priatelia zdieľajú fotografie, kolegovia spolupracujú na novom produkte alebo vlády poskytujú online služby, nie je vždy jasné, kde sa ukladajú samotné údaje. Ľudia môžu neúmyselne premiestniť údaje na menej bezpečné miesto, a keďže všetko bude dostupné na internete, položky budú vystavené väčšiemu riziku neoprávneného prístupu.

Cloudové zabezpečenie je odbor kybernetickej bezpečnosti, ktorý sa zameriava na ochranu cloudových systémov a údajov pred internými a externými hrozbami, ako aj osvedčenými postupmi, politikami a technológiami, ktoré pomáhajú spoločnostiam zabrániť neoprávnenému prístupu a úniku údajov.

Prečo je cloudové zabezpečenie také dôležité?

Organizácie si musia dávať pozor na nasledujúce cloudové riziká:

• Ohrozené kontá: Útočníci často používajú kampane neoprávneného získavania údajov na krádež hesiel zamestnancov a získanie prístupu k systémom a cenným podnikovým aktívam.
• Nedostatky hardvéru a softvéru: Bez ohľadu na to, či organizácia používa verejný alebo súkromný cloud, je dôležité, aby sa hardvér aj softvér opravili a aktualizovali.
• Interné hrozby: Ľudské chyby sú veľkým faktorom narušenia zabezpečenia. Nesprávna konfigurácia môže vytvoriť otvory pre nevhodných návštevníkov a zamestnanci často kliknú na zlé prepojenia alebo neúmyselne premiestnia údaje do miest s menším zabezpečením.

Ako funguje zabezpečenie cloudu?

 Cloudové zabezpečenie má štyri hlavné aspekty:

1. Obmedzenie prístupu: Keďže cloud zjednodušuje prístup k internetu, je mimoriadne dôležité zabezpečiť, aby k správnym nástrojom mali prístup len správni ľudia a len na správny čas.
2. Ochrana údajov: Organizácie musia pochopiť, kde sa ich údaje nachádzajú, a zadať príslušné ovládacie prvky na ochranu samotných údajov aj infraštruktúry, v ktorej sú údaje hosťované.
3. Obnovenie údajov: Dobré riešenie zálohovania a plán obnovenia údajov sú dôležité v prípade narušenia.
4. Plán odpovedí: Organizácia pri útoku potrebuje plán na zníženie vplyvu a zabránenie ohrozenia ostatných systémov.

Školenia a obmedzenie prístupu

• Pravidelné školenia, ktoré zamestnancom pomôžu rozpoznať kampane neoprávneného získavania údajov.
• Jednoduchý spôsob ako informovať oddelenie IT, ak majú zamestnanci podozrenie, že dostali škodlivý e-mail.
• Simulácie neoprávneného získavania údajov.
• Pravidelné opravy softvéru a hardvéru na zníženie zraniteľnosti.
• Šifrovanie citlivých údajov a vytváranie silnej politiky hesiel, za účelom zníženia zneužitia konta.
• Viacfaktorové overovanie, technológie bez hesla, nulová dôvera

Viacfaktorové overovanie – Multi – factor authentication (MFA)

Viacfaktorové overovanie (MFA) pridáva k prihlasovaciemu procesu ďalšiu vrstvu ochrany. Pri získavaní prístupu ku kontám alebo aplikáciám používatelia využívajú ďalšie overenie identity, napríklad skenovanie odtlačku prsta alebo zadávanie kódu prijatého cez telefón. Viacfaktorové overovanie (MFA) poskytuje ďalšie zabezpečenie tým, že vyžaduje druhú formu overovania a poskytuje silné overovanie prostredníctvom širokej škály jednoducho použiteľných spôsobov overovania.

Overovanie bez hesiel

Hakeri sa nevlamujú, ale prihlasujú. Chráňme jeden z najbežnejších vstupných bodov útočníkov tak, že zrušíme používanie hesiel. Eliminujme krádeže hesiel. Funkcie, ako napríklad viacfaktorové overovanie, môžu pomôcť so zabezpečením našej organizácie, ale používatelia sú často frustrovaní ďalšou vrstvou zabezpečenia navyše, ako aj potrebou pamätať si heslá. Metódy overovania bez hesiel sú pohodlnejšie, pretože nie je potrebné si pamätať žiadne heslo, a sú kompatibilné s väčšinou zariadení a systémov. Navyše je prakticky nemožné ich zneužiť na neoprávnené získavanie údajov. Napr. tokeny – médiá, ktoré majú na sebe alebo v sebe unikátne a nenapodobiteľné údaje (reprezentujú heslo).

Definícia nulovej dôvery

Namiesto predpokladu, že je všetko za podnikovou bránou firewall v bezpečí, model nulovej dôvery predpokladá porušenie a overí každú žiadosť, ako keby vychádzala z otvorenej siete. Bez ohľadu na to, kde žiadosť vznikla alebo k akému zdroju pristupuje, nulová dôvera nás naučí, aby sme nikdy nedôverovali, vždy preverovali. Pred udelením prístupu je každá žiadosť o prístup plne overená, autorizovaná a šifrovaná. Na minimalizovanie nechceného pohybu sa používajú mikrosegmenty a princípy prístupu s najmenšími oprávneniami. Na odhaľovanie a reagovanie na anomálie v reálnom čase sa používajú komplexné inteligentné systémy a analytické nástroje.

Bezpečnosť a ochrana údajov

• Certifikácia prevádzkovateľa – potvrdenie bezpečnosti cloudových riešení.
• Zálohovacia infraštruktúra – splnenie kritérií NBU, ako aj podmienky certifikácie ISO 27001 a ISO 27018.
• Lokalita umiestnenia.
• Kryptovanie dát – šifrovanie a SSL.
• Spoľahlivé zálohovanie údajov 
• Verzionovanie dokumentov – návrat v čase k predošlej verzii.
• Antivírus aplikácie – skenovanie vírusov.

Využitie SSL – Secure Sockets Layer protokol, sa stará o to, aby heslá, osobné údaje, čísla kreditných kariet a ostatné tajomstvá používateľov ostali v bezpečí. Dokáže to tak, že komunikáciu medzi webom a používateľom zašifruje, aby ju nikto iný nedokázal rozlúštiť. Zabezpečený web používa HTTPS namiesto HTTP. V riadku navštívenej webovej adresy je pri HTTPS zobrazený znak visiaceho zámku a po kliknutí na tento zámok systém zobrazí hlášku v zmysle: pripojenie je zabezpečené.

Obnovenie údajov

• Zlyhanie hardvéru, havária spôsobená požiarom, kybernetický útok či nesprávny konfiguračný zásah môžu zapríčiniť výpadok funkčnosti IT systémov.
• Iba zálohovanie údajov nepostačuje na plné obnovenie prevádzky.
• Automatizovaný proces s nastavením zapínania virtuálnych serverov v momente výpadku infraštruktúry.
  • RPO – Recovery Point Objective určí akceptovateľnú dobu od poslednej zálohy.
  • RTO – Recovery Time Objective definuje časový úsek, dokedy musí byť záložný systém plne k dispozícii.

Plán odpovedí

• Je nutné mat’ jasne definované, kto je zodpovedný za detekciu narušenia a aké ďalšie kroky budú podniknuté v prípade, že sa objaví bezpečnostný incident.
• Priradiť osobu alebo skupinu, ktorá zodpovedá za vyriešenie incidentu.
• Priradiť vedúcu osobu pre osobu alebo skupinu, ktorá zodpovedá za vyriešenie incidentu.
• Vybrať vhodný pracovný postup na vyriešenie incidentu – riadne procedúry, mimoriadne procedúry, smernice apod.