A felhő biztonságossá tétele a hagyományos IT-biztonsági megoldásoktól eltérő megközelítést igényel. Noha a különbségek gyakran árnyalatnyiak csupán, a felhőben tárolt adatok védelmének kulcsát ezeknek a kihívások teljes mélységében való megértése jelentheti. Felhőbiztonsági stratégia nélkül nem csak időt és pénzt veszthetnek a cégek, de olyan kockázatoknak lesznek kitéve, melyek bekövetkeztének valószínűsége egyébként jelentősen mérsékelhető lenne.

Stratégia hiányában egy-egy biztonsági elem implementálása miatt épp a felhő kínálta rugalmasság szenvedhet csorbát. Például egy behatolásészlelő rendszer (IDS – Intrusion Detection System) ad hoc rendszerbe állítása megakaszthatja egyes szolgáltatások működését, de problémát okozhat a megfelelőség vagy a megcélzott biztonsági szint elérésében, fenntartásában is. Az ilyen kihívások kezelését (is) segíti a felhőbiztonsági stratégia létrehozása és gyakorlatba ültetése.

Lássuk tehát, milyen felhőbiztonsági trendek bontakoznak ki 2016-ban!

Szervermentes környezet

Az egyik legnagyobb kihívást jelentő újdonság 2016-ban a felhőben a szervermentes környezet terjedése. A serverless frameworks olyan elemekre épül, mint az Amazon Web Services Lambda és a kódalapú, szolgáltatásként használt platform (code-PaaS).

Mindez azonban azzal is jár, hogy az ezekhez szükséges API-k újabb sebezhetőséget visznek a rendszerbe. Megfelelő konfigurálása, védelme jellemzően az IT-részleg számára szokatlan, ismeretlen terepnek számít, érdemes tehát kiemelten kezelni ezt a kockázatok felmérése során.

Szintén említésre érdemes trend a biztonsági funkcionalitás egyetlen vezérlőrendszerbe integrálása. Ezzel az üzemeltető számára könnyebbé – és valós idejűvé – válik a felbukkanó kockázatok és sebezhetőségek felmérése, kezelése.

Mindemellett a felhőbiztonság egyre dominánsabb szerepet tölt be a legnagyobb iparági képviselők kínálatában. Elmúltak azok az idők, amikor elsősorban startupok készítettek kifejezetten felhős környezetre optimalizált megoldásokat. A hagyományos IT-t védő szoftvereket és szolgáltatásokat fejlesztő cégek folyamatosan lépnek piacra például AWS-t támogató termékekkel. Jól felfogott érdekük ez, hiszen ügyfeleik és versenytársaik irányából egyaránt nyomás alá kerültek.

Lazúr az Azure-on

Az olyan nagy platformszolgáltatók, mint a Microsoft Azure és az AWS, úgynevezett megosztott biztonsági modellt alkalmaznak, azaz elsősorban magának a platformnak a biztonságára koncentrálnak. Ez azt eredményezi, hogy számos biztonsági kérdés továbbra is az ügyfelek vállát nyomja. Idén azonban ez változni fog, mindkét nagy szolgáltató új, fejlettebb biztonsági képességeket mutat be, amiknek köszönhetően javul a cloud védelmének átláthatósága és a felhőszolgáltatásokat használók további biztonsági feladatokat és felelősséget adhatnak át a cloud provider számára.

Ugyanakkor a szolgáltatók továbbra sem végezhetik el az ügyfelek "házi feladatát". A felhőalkalmazások fejlesztőinek és üzemeltetőinek tisztában kell lenniük azzal, hogy a biztonsági feltételek kialakítása és fenntartása immár elválaszthatatlan részét kell képezze a fejlesztésnek és az üzemeltetésnek. Az idei évben ez még inkább általánossá válik a CI/DC (Continuous Integration and Continuous Deployment – folyamatos integráció és folyamatos fejlesztés) terén a kódellenőrző és biztonsági hiányosságokat elemző eszközök alapvetővé válásának köszönhetően.

Nőnek a belső kockázatok

Szükség is van ezekre a lépésekre, hiszen 2016-ban minden korábbinál jobban felépített, ráadásul egyre inkább automatizált támadások érik a cloud infrastruktúrát. Tekintve, hogy egyre több információ kerül a felhőbe, a hackerek és más kiberbűnözők is követik a digitális erőforrások útját.

Az említett fejlesztéseknek köszönhetően egyre kevésbé a szolgáltatók lesznek felelősek a platformon kibontakozó támadások sikerességéért. A Gartner szerint az évtized végére a cloudot érintő támadások közel négyötöde felhasználói gyökerű lesz: hibás konfigurálásból, rosszul kezelt hitelesítő-adatokból vagy belső adatlopásokból származik majd, nem pedig a cloudszolgáltató rendszerének sebezhetőségéből.

Mindez azt jelenti, hogy az előttünk álló években alkalmazni kell a valósidejű riasztás nyújtotta lehetőségeket és az incidensekre azonnali válaszadást kínáló képességeket. Emellett mindenkinek sepernie kell egy kicsit a saját portáján is: át kell nézni és ki kell értékelni a "házon belüli" műveleteket, a belső konfigurációkat, valamint kellő erőforrást kell biztosítani az alkalmazottak biztonsági, biztonságtudatossági képzésére.