Ahogy az üzleti folyamatokat egyre nagyobb részben költöztetik a felhőbe, nem csak az vált világossá, hogy a nagy felhőszolgáltatók valóban képesek az átlag fölötti szinten biztostani saját hálózataikat, de az is egyre nyilvánvalóbb, hogy az érzékeny adatok biztonsága legalább ennyire múlik a cloud szolgáltatásokat igénybevevő ügyfeleken is. Különösen, hogy a felhő alapú biztonság ma már nem valamilyen diszkrét gyakorlat, hanem általánosságban is a vállalati biztonsági és adatvédemi stratégia része, mivel a felhő alapú megoldásokat annyira széles körben használják, hogy prioritássá vált a cloud alkalmazások és a rezidens adatok biztosítása.

Ebben a modellben a megosztott felelősség nagy része a cloud szolgáltatásokat használó szervezetekre, vagyis az adatok tényleges tulajdonosaira száll, még akkor is, ha a szóban forgó adatokat valamilyen harmadik fél által üzemeltetett felhős infrastruktúrában menedzselik és dolgozzák fel. Sőt a megfelelő esetekben ez a felelősség akár 100 százalékos is lehet, így az sem meglepő, hogy a cloud biztonsági trendek is jelentős részben ezekre a kihívásokra és aggodalmakra reflektálnak.

Néhány hónapja idéztük a Sophos felmérését, amelynek alapján a publikus cloud szolgáltatásokat igénybe vevő vállalkozások 96 százaléka tartja aggasztónak az aktuális biztonság szintjét, tízből heten pedig a saját bőrükön is tapasztaltak valamilyen biztonsági incidenst az elmúlt év során. A cloud infrastruktúrák ellen intézett támadásokhoz ráadásul plusz motivációt jelent, hogy a távoli munkavégzés előretörésével az üzleti szereplők is egyre nagyobb mértékben támaszkodnak rájuk.

Az ügyfeleknek is észnél kell lenniük

A felmérés ehhez képest azt is kiemeli, hogy sok szervezetnél még mindig nem jól értelmezik a felhős adatok és munkafolyamatok megfelelő biztosításának a jelentőségét, illetve az említett megosztott felelősségi modellt, amelynek értelmében saját maguknak is a legnagyobb körültekintéssel kellene menedzselniük és monitorozniuk a cloud környezeteket. A Sophos saját tesztjeiből például kiderül, hogy a szervezetek 60 százaléka tárol titkosítás nélkül érzékeny információkat a rosszul konfigurált adattároló szolgáltatásokban.

Fontos megjegyezni, hogy a cégek többsége ma már több szállító publikus cloud szolgáltatásait is igénybe veszi, és a multi-cloud környezetben majdnem kétszer több biztonsági incidensről számolhatott be az elmúlt év során, mint az egyetlen szolgáltatóval, single-cloud megközelítéssel dolgozó vállalatok. Így az is természetes, hogy sokan keresnek valamilyen egyesített megoldást a különféle cloud megoldások általános biztosítására, illetve centralizált eszközöket a biztonsági ellenőrzésekre vagy a megfelelőségi szabályok érvényesítésére. A szakértők ezzel kapcsolatban felhívják rá a figyelmet, hogy az ügyfelek és a szolgáltatók érdekei ezen a területen nem mindig egyeznek: a modern, felhő-agnosztikus architektúrák sok tekintetben a szolgáltatói függőség (vendor lock-in) ellen dolgoznak, ami a szlogenek ellenére is erősen jelen van a felhős üzletben.

Ugyancsak a megosztott felelősséggel magyarázható, hogy a biztonsági trendek nyomán egyre több szervezet igyekszik már azelőtt biztosítani az adatait, hogy azok megérkeznének a felhőbe. Ahogy a cloud migráció általánossá vált, az is kiderült, hogy nem elég mindent "fellőni" a cloud szolgáltatásokba, aztán bízni benne, hogy az ott működő védelmi mechanizmusok majd megfelelően végzik a dolgukat. Az adatok rekord szintű ellenőrzése kritikus jelentőségű lehet, így egyre többen alkalmaznak titkosítást, adatmaszkolást vagy tokenizációs eljárásokat, mielőtt az állományokat a felhőbe engedik.

Szolgáltatásként is elérhető a biztonság

Az ügyfél által felügyelt kulcsok (bring your own key, BYOK) és más biztonsági trendek azonban olyan szofisztikált működést és technológiai ismereteket feltételeznek, amelyekkel nem minden szervezet rendelkezik, így a szolgáltatók egy része már natív módon, menedzselt szolgáltatásként is kínál ilyesmit – a dolog nagy előnye a szakértők szerint az lenne, hogy ilyenkor a titkostás alepértelmezett módon működik a forgalmazott vagy tárolt adatokon, és az adatok teljes életciklusára biztosíthatók az olyan menedzsmenteszközök, mint az automatikus kulcsforgatás vagy az aktivitás naplózása.

Az előbbiek értelmében egyre nagyobb az identitás- és hozzáférés-menedzsment jelentősége, például a zero trust modellek alkalmazásával, amelyek úgy kezelik az informatikai rendszereket, mintha azoknak minden eleme a publikus internetről is hozzáférhető lenne. A felhőszolgáltatók kínálatában már elérhetők a saját környezeteikbe integrált azonosságkezelő és analitikai eszközök, amelyek az ügyfeleknek is jobb rálátást kínálnak azzal kapcsolatban, hogy ki milyen hozzáférésekkel rendelkezik az infrastruktúrájukban, és ezeket az engedélyeket hogyan lenne érdemes módosítani.

A világjárvány és az abból fakadó, erőltetett ütemű digitalizáció az úgynevezett SASE (Secure Access Service Edge) iránti érdeklődést is jelentősen felerősítette. Maga a kifejezés is újkeletű, és egy olyan cloud hálózati biztonsági modellt takar, amely szolgáltatásként igénybe vett hálózati technológiákat köt össze, biztonságosan, de olcsóbban és méretezhető módon kapcsolva egymáshoz a szervezeteken belül működő hálózatokat, eszközöket és felhasználókat. Erre erősít most rá a távmunka, amelyben hatékonyabbnak tűnik a biztonsági készségeket minél jobban közelíteni a tényleges munkavégzés helyéhez, mint a továbbiakban is mindent a távoli vállalati adatközpontokból működtetni.

A bűnözők mindenesetre komolyan veszik

Összességében elmondható, hogy a cloud alapú biztonsági megoldások az elvárt méretgazdaságosság és költséghatékonyság mellett magas szintű védelmi és fenyegetés-feldertési képességeket biztosítanak, miközben gyorsabbá és egyszerűbbé teszik a kormányzati vagy iparági szabályozásnak és szabványoknak való megfelelést is. A szolgáltatásként kínált biztonsági készségek igénybe vétele sokszor a legjobb megoldás, amikor egy-egy szervezet akár több száz féle cloud előfizetéssel zsonglőrködik: ezeket már nagyon nehéz a hagyományos módon, akár manuálisan kezelni, egy bizonyos pont után pedig az adatbiztonság tekintetében is lehetetlenné válik a saját erőből való, egyesével történő menedzselésük.

Azt, hogy a felhős adatközpontok egyre népzserűbb célpontjai a kriptovaluta-bányászattal vagy zsarolóvírusokkal operáló bűnözőknek is, a fentiekből következő két szempontra vezetik vissza. Egyrészt maguk a felhasználók azok, akik nem megfelelő éberséggel kezelik felhős folyamataikat, hiszen a kockázatokat jelentősen csökkentené a magas szintű hozzáférés-menedzsment vagy a végponttól végpontig történő titkosítás alkalmazása, másrészt a cloud infrastruktúra nem is mindig megfelelően áttekinthető és ellenőrizhető a számukra.

Az előrejelzések szerint a globális szervezetek már a közeljövőben is egyre szigorúbb cloud biztonsági szabályokat vezetnek majd be, válaszul az ugyancsak szigorodó szabályozásra, a végfelhasználók egyre növekvő adatbiztonsági és személyiségi jogi tudatosságára, illetve a kiberbűnözésből fakadó, szintén folyamatosan növekvő kockázatokra. A szolgáltatók hatékonysága egyre inkább a mesterséges intelligenciára támaszkodó, valós idejű válaszadási képességeken múlik, de a szolgáltatások igénybevevői továbbra is felelősek lesznek a hozzáférések kezeléséért, a titkosításért vagy a helyreállítási protokollok kezeléséért.

A publikus felhőben mindenesetre meghatározó trend, hogy a teljes piac 17 százalékkal, a cloud biztonsági iparág viszont ezt meghaladó mértékben, 23,5 százalékkal növekszik majd az idén, legalábbis a Gartner aktuális becslése szerint. A McAfee ehhez képest a vállalati cloud megoldások kihasználtságának 50 százalékos növekedéséről beszélt már január és április között, miközben a rosszindulatú szereplők aktivitása 630 százalékkal növekedett ugyanebben az időszakban, ez pedig rá kell (vagy rá kellene) hogy irányítsa a figyelmet a kizárólag a felhőre jellemző biztonsági megfontolásokra.