Nem véletlenül fújódott jelenlegi méretére a cloud computing az elmúlt évtizedben, hiszen korábban elképzelhetetlen rugalmasságot nyújt a vállalatok számára az informatikai megoldások tekintetében. Nemcsak időt és pénzt takaríthatnak vele meg, hanem jóval rugalmasabbá is tehetik általa a működésüket, a piaci igények változására való reagálásukat.

Ám minden törekvés ellenére egy fontos tényezőben nem tudták meggyőzni a nagyvállalatok jelentős részét a szolgáltatói piac szereplői. Az üzletileg kritikus adatok csak nem akartak kivándorolni a szervezet saját határain belüli infrastruktúrából. De vajon igazuk van-e a tartózkodóknak, milyen veszélyek leselkednek a két tábor tagjaira, és van-e üdvözítő megoldás, amivel átvágható ez a gordiuszi csomó? Ezekre a kérdésekre keressük cikkünkben a válaszokat.

Ki és hogyan ellenőrzi az adatot?

Elválaszthatatlan részét képezi a biztonsággal kapcsolatos aggályoknak az adatok feletti ellenőrzés meghatározása. A helyben telepített IT-infrastruktúra esetében csak a vállalat rendelkezik a számára fontos információk felett, felhős tárolás esetén azonban külső fél is hozzáférhet. Vagy legalábbis ez tűnik triviálisnak – pedig a kép sokkal bonyolultabb ennél.

On-premise rendszerek esetében elméletileg a vállalat tartja kezében a kontrollt. De valójában milyen szintű ez az ellenőrzés? Tényleg csak az arra jogosult alkalmazottak férnek hozzá a bizalmas információkhoz? Minden szükséges biztonsági lépés – a patch-menedzsmenttől a jogosultságkezelésen át, a rosszindulatú belső visszaélések felderítéséig és megakadályozásáig – egyértelműen definiált, és be is tartják a szabályokat az élrintettek?

És, ha ezekre a kérdésekre kielégítő is a válasz, mi a helyzet egy sikeres hackertámadás esetén? Mert nem lehetnek illúzióink: a hálózati hozzáféréssel rendelkező on-premise rendszerek folyamatos támadás alatt állnak. Tökéletes biztonság pedig nem létezik, még az egyre fejlettebbé váló mesterséges intelligenciával támogatott biztonsági megoldások idejében sem.

A magas szinten szabályozott iparágakban tevékenykedő szervezetek, mint például a pénzintézetek számára azonban ez a fajta kockázat kezelhetőbbnek tűnik, mint külső szolgáltatóra bízni a vállalati titkokat. A felhőben ugyanis már közel sem egyértelmű, hogy ki ellenőrzi az adatot, még akkor sem, ha a tulajdonos személye vitathatatlan. A világ legjobb titkosítási eljárásai sem tudnak minden érintett meggyőzni arról, hogy saját infrastruktúrájukon kívül merészkedjenek az üzletileg kritikusnak minősülő információik tárolásával, feldolgozásával.

Noha a felhőszolgáltatók kivétel nélkül használnak biztonsági eszközöket, az adatok biztonságáért végső soron a tulajdonos felel. Többszintű autentikáció és titkosítás jelenthet megoldást erre a biztonsági kihívásra. Feltéve, ha az azonosítók és jelszavaik az előírt módon vannak kezelve. Gyenge jelszavak, social engineeringgel szemben védtelen felhasználók, felmondott alkalmazottak jogosultságának továbbélése stb. esetén a titkosítás önmagában kevés az üdvösséghez. Habár a felhasználó-menedzsment esetében a kényelem és biztonság szemben áll egymással, a gondatlanságból bekövetkező azonosító-kiszivárgás kivédése elsődleges szempont kell legyen.

Látható tehát, hogy bizonyos jelenségek attól függetlenül veszélyt jelenthetnek, hogy a szervezet saját berkeiben vagy külső szolgáltató közreműködésével biztosítja a működéséhez elengedhetetlen informatikai szolgáltatást. Nézzünk most néhány konkrét számot a jelenlegi biztonsági helyzetre vonatkozóan!

Veszélyek mindenhol

Öt évvel ezelőtt a vállalatok 53 százaléka használt legalább egy publikus felhőszolgáltatást. Jelenlegi arányuk 85 százalék – írja idén készített, felhős kiberbiztonsági tanulmányában a KPMG. Érdekes ellentmondásra mutat rá: a válaszadók 83 százaléka ugyanolyan jónak, de inkább jobbnak (42 százalékuk valamivel jobbnak, 21 százalékuk sokkal jobbnak) ítélte a felhőszolgáltatások biztonságát, mint az on-premise rendszerekét. A pozitív megítélés és a meglévő biztonsági szabályozások ellenére azonban tízből nyolc szervezet aggódik a munkavállalói együttműködés miatt. A válaszadók 40 százalékának pedig kifejezetten nagy kihívást jelent a kiberbiztonsági incidensek észlelése és kezelése a felhőben.

Ezt támasztja alá a McAfee október végén kiadott, Cloud Adoption and Risk Report című jelentése, amely több milliárd anonimizált cloud esemény alapján próbál képet festeni a felhős rendszerek használatáról és kockázatairól. A felhőben kezelt fájlok 21 százaléka tartalmaz érzékeny információt (ez két év alatt 17 százalékos növekedést jelent), miközben a cloud alapon megosztott, bizalmas adatokat is tartalmazó fájlok mennyisége egyetlen év alatt több mint másfélszeresére nőtt. Utóbbival kapcsolatban a McAfee megállapítja, hogy ezek között a nyílt, publikusan hozzáférhető linkek aránya is majdnem negyedével növekedett.

A legnagyobb probléma a McAfee szerint az Amazon AWS S3 tároló szolgáltatása körül van, ahol a biztonsági szakemberek már egymás szavába vágva figyelmeztetnek a védtelenül hagyott szenzitív vállalati és személyes adatokra. Tulajdonképpen csoda, hogy itt még nem történt semmilyen tömegszerencsétlenség: a példányok 5,5 százaléka egyenesen úgy van beállítva, hogy a tartalmat bárki olvashatja, aki ismeri az S3 bucketek címét. További részletek itt olvashatók.

Míg a fenti adatok az on-premise rendszerek felé billentenék a mérleg nyelvét, annak egy nagyon fontos aspektusával még nem foglalkoztunk. A helyszínen telepített rendszerek üzemeltetőivel, mint emberi erőforrással. Már három éve is több mint egymillió szakember hiányzott a piacról a Cisco saját becslése szerint, és a helyzet azóta sem javult, sőt! Másfél évvel ezelőtt már a konzervatív becslések is kétmilliós hiányról számoltak be, ami megnehezíti és költségesebbé teszi a bonyolult on-premise rendszerek magas szintű működtetését. Ezt támasztja alá az ISACA tanulmánya is, amely rámutat: a vállalatok 59 százalékánál volt betöltetlen IT-biztonsági pozíció a tavalyi év végén.

Ötvösmunka

A nehéz idők kivételes megoldásokat szülnek, tartja a mondás, és ez a megállapítás helytálló a jelenlegi IT-biztonsági helyzetre is. Egyszerre merül fel ugyanis az igény a költséghatékony, rugalmasan bővíthető rendszerek iránt, amiknek egyben biztonságosnak kell lenniük, és nem alkalmazhatnak óriási szakembergárdát üzemeltetésükhöz. Erre a kihívásra adnak választ a hibrid megoldások.

A hibrid felhős vagy hibrid IT-nek hívott platformok ugyanis ötvözik a két koncepció előnyös tulajdonságait azzal, hogy magukba olvasztják a különböző informatikai működési modelleket. Egyes feladatokat a nyilvános felhőbe, külső szolgáltató kezelésébe kiszervezve oldanak meg, az üzletileg kritikus adatokat viszont továbbra is a szervezet határain belül, magánfelhőben tárolják és dolgozzák fel (leginkább az angolul edge computingnak hívott peremhálózaton). A két környezet összekapcsolásáról WAN kapcsolatok gondoskodnak, az ügyféloldali kezelés egyszerűségéért pedig a hiperkonvergens kialakítás felel.

Ezzel a megoldással a nagyvállalatok megkaphatják a felhő kínálta rugalmasságot az erőforrás-használat tekintetében, azzal a költséghatékonysággal együtt, amit a felhasznált kapacitás utáni fizetés garantál. Emellett viszont nem kell adatszivárgástól tartaniuk, legalábbis abban az értelemben nem, ahogy a "klasszikus", cloudtól való ügyféloldali félelem jelentkezni szokott.