Autor: Michał Przygoda – Sales Engineer w Trend Micro Polska
Obszar cloud computingu jest nieustannie rozwijany już prawie od dekady. W świecie IT jakiś czas temu osiągnięto punkt zwrotny – ponad połowa nowych wydatków IT była przeznaczana właśnie na chmurę. Operacje w niej stały się więc już w zasadzie regułą, a nie wyjątkiem. Stąd tak ważne są w zakresie migracji do chmury kwestie bezpieczeństwa.
Jednym z głównych wyzwań – jakie stoją przed organizacjami w kwestii wykorzystania chmury – jest brak kompleksowej strategii i szerszego spojrzenia na cloud computing. Niekiedy można odnieść wrażenie, że decyzja o migracji części, często kluczowych, zasobów do chmury jest podejmowania dość spontanicznie, bez szczegółowej analizy konsekwencji z tym związanych.
Pod kątem bezpieczeństwa i edukowania rynku w zakresie współodpowiedzialności w chmurze, zwłaszcza jeśli chodzi o nowsze technologie, jest jeszcze dużo do zrobienia. Za każdym razem, gdy pojawia się nowy sposób wdrożenia aplikacji, wydaje się, że ludzie popełniają te same błędy na nowo – zakładając, że to dostawcy są odpowiedzialni za bezpieczeństwo.
Błędna konfiguracja największym zagrożeniem dla bezpieczeństwa w chmurze
Wiele razy słyszeliśmy od administratorów systemów, dyrektorów IT i CTO – Mój dostawca usług w chmurze dba o bezpieczeństwo, po co miałbym robić coś dodatkowego?. Taki sposób myślenia ignoruje model współodpowiedzialności za bezpieczeństwo w chmurze. Podczas gdy dostawcy cloud computingu zabezpieczają platformę jako całość, firmy są odpowiedzialne za bezpieczeństwo swoich danych przechowywanych na tych platformach. Niezrozumienie modelu współodpowiedzialności prowadzi do największego ryzyka w zakresie bezpieczeństwa związanego z chmurą – błędnej konfiguracji.
Można zapytać „a co z atakami typu ransomware, phishing, czy mającymi na celu wydobywanie kryptowaluty?” Te i inne, podobne ataki najczęściej są możliwe, jeżeli dojdzie do jednego z 3 rodzajów błędów związanych z konfiguracją:
- Błędna konfiguracja natywnego środowiska chmury.
- Brak równego zabezpieczenia w środowiskach wielochmurowych (usługi chmurowe pochodzą od różnych dostawców).
- Brak zabezpieczenia na poziomie równym z lokalnym centrum przetwarzania danych.
Jak duży jest problem z błędną konfiguracją?
Ryzyko błędnej konfiguracji może wydawać się w teorii czymś oczywistym. W praktyce jednak przeciążone zespoły IT często po prostu starają się uprościć konfigurację, aby ułatwić procesy wewnętrzne. Ustawienia są zmieniane w taki sposób, aby umożliwić dostęp do odczytu i/lub zapisu każdemu członkowi organizacji, który jest w stanie się uwierzytelnić. Nie zdajemy sobie sprawy, z tego, że może to zostać wykorzystane przez cyberprzestępców.
Nasze narzędzie – Trend Micro Cloud One™ Conformity – służące do zabezpieczania infrastruktury chmurowej w czasie rzeczywistym, identyfikuje średnio 230 mln błędnych konfiguracji dziennie. Śmiało można jednak założyć, że liczba ta wzrośnie w kolejnym roku. Coraz więcej usług i aplikacji, które oparte są na chmurze, zyskuje na popularności wśród firm korzystających z metodyki DevOps. Można więc przypuszczać, że problem błędnej konfiguracji, a przez to nieumyślnego narażania danych firmowych na cyberataki, będzie narastać wraz z rosnącą popularnością takich rozwiązań. Przewidujemy, że do 2025 roku ponad 75 proc. udanych ataków na środowiska w chmurze będzie spowodowanych właśnie brakiem lub błędną konfiguracją zabezpieczeń przez klientów chmury, a nie dostawców usług.
Jak chronić się przed niewłaściwą konfiguracją
Prawie wszystkie naruszenia danych dotyczące usług w chmurze zostały spowodowane błędną konfiguracją. Można temu łatwo zapobiec, dzięki wprowadzeniu podstawowych środków bezpieczeństwa i regularnemu monitorowaniu konfiguracji.
To jak bardzo bezpieczne będą dane i aplikacje w chmurze, zależy wyłącznie od nas samych. Obecnie na rynku dostępnych jest wystarczająco dużo narzędzi, aby uczynić środowisko chmury co najmniej tak bezpiecznym, jak dotychczasowe, niechmurowe systemy przetwarzania danych.
Pod kątem zabezpieczania środowiska chmury warto wziąć pod uwagę kilka sprawdzonych praktyk – m.in.:
- stosowanie zasady jak najmniejszych przywilejów – dostęp jest udzielany tylko tym użytkownikom, którzy faktycznie go potrzebują,
- zrozumienie Modelu Współodpowiedzialności (Shared Responsibility Model) – dostawcy usług w chmurze wbudowali odpowiednie zabezpieczenia, ale firmy korzystające z ich usług są odpowiedzialne za zabezpieczenie swoich danych,
- monitorowanie chmurowej infrastruktury pod kątem źle skonfigurowanych i narażonych na ataki systemów – dostępne są narzędzia do odpowiedniej identyfikacji niewłaściwej konfiguracji,
- szkolenie zespołów DevOps w zakresie bezpieczeństwa.
Pod kątem rozwiązań dostępnych na rynku, warto zwrócić uwagę na takie, które pomagają usprawniać procesy dotyczące bezpieczeństwa. Wspomniana już wcześniej platforma Trend Micro Cloud One™ Conformity zapewnia setki zautomatyzowanych punktów kontroli zgodności ze standardami branżowymi oraz regułami bezpieczeństwa chmury, co pozwala ustawicznie poprawiać stan zabezpieczeń i zgodności całej infrastruktury chmurowej. Szczegółowe procedury rozwiązywania problemów umożliwiają szybkie eliminowanie luk w zabezpieczeniach i zmniejszają ryzyko związane z brakiem dostępu do usług w chmurze.
Jeden zbiorczy pulpit przekazuje kompletny i czytelny obraz całej infrastruktury wielochmurowej. Raporty oparte na praktycznie nieskończonej kombinacji filtrów pozwalają wszechstronnie przebadać całą infrastrukturę.
Więcej informacji o usłudze Trend Micro Cloud One™ Conformity: https://www.trendmicro.com/pl_pl/business/products/hybrid-cloud/cloud-one-conformity.html