A hónap témája mellékletünkben ezúttal a cloud szolgáltatások biztonságának egyes aspektusait vizsgáljuk, kitérve az adatbiztonság, a hálózati biztonság, a mobil eszközök vagy a cloud szolgáltatók biztonságának egyes kérdéseire. Előző cikkünkben a Cloud Security Alliance (CSA) korábbi értékelése alapján vettük sorra a jellemző fenyegetéseket: itt az adatlopások és adatvesztések, illetve a hálózatokat érintő veszélyek mellett külön csoportot alkottak azok a kockázatok, amelyek kifejezetten a felhős környezetekre jellemzőek, és amelyekért az ügyfelek jelentős része még mindig magukat a cloud szolgáltatókat tartja részben vagy egészben felelősnek.
Az adatbiztonság és a hálózatbiztonság általánosabb problémái mellett most ezeket a speciális kérdéseket próbáljuk sorra venni, kezdve mindjárt a felhős munkafolyamatok megfelelő biztosításának félreértelmezésével. Ez szorosan összefügg az ügyfelek informáltságával az ilyen szolgáltatások igénybevételekor, hiszen biztosra vehető, hogy a korábbi biztonsági házirendek nem alkalmazhatók változtatás nélkül a gyakran igen összetett cloud architektúrákon, és a megfelelő szolgáltatásokat sem lehet kiválasztani a felhőre jellemző belső biztonsági eljárások, adattárolási és -hozzáférési módok vagy más felhőspecifikus eszközök ismerete nélkül.
Ebben a tekintetben az első lépés mindenképpen az, hogy a szervezeteknek tisztába kell jönniük mindazokkal a veszélyforrásokkal, amelyek az üzleti folyamatok és az érzékeny adatok átköltöztetésével járnak: más szóval, a felhő lehetőségeit már mindenki ismeri, de a kiválasztott megoldások kockázati tényezőire már nem mindenki fordít figyelmet. Ez részben persze a felhőszolgáltatók felelőssége, hiszen elsősorban nekik kellene tájékoztatást nyújtaniuk az alkalmazható naplózási módokról vagy a tűzfalakról és más infrastrukturális elemekről, hogy az ügyfelek megtehessék a szükséges lépéseket adataik védelmében.
Csak az ügyfél tudja, hogy mire van szüksége
A megbízható szolgáltatókról ezen felül elmondható, hogy meghatározzák a cloud alkalmazások implementációjának minimális követelményeit, és termékeik ennek megfelelően iparági szabványokra épülnek. Azok a kvantitatív és kvalitatív kockázabecslési módszerek is ide tartoznak, amelyeket ugyancsak a szolgáltatók alkalmaznak bizonyos időközönként a termékként nyújtott biztonsági megolásaik mellett, hogy ellenőrizzék az adatok tárolását, továbbítását vagy feldolgozását. Mindez annak a megosztott felelősségnek a része, ami természetesen az ügyféloldalon is feltételezi a cloud környezetek körültekintő menedzselését és monitorozását.
A tájékozódás nyilván a szolgáltatások tartalmával és árával kezdődik, vagyis pontosan kell látni, hogy miért és mikor kell majd fizetni. Így elkerülhető, hogy a rosszul felbecsült igények miatt a megrendelők olyan kapacitásokért fizessenek, amelyekre semmi szükségük, esetleg valami mást kapjanak, mint amit eredetileg elvártak volna – már csak azért is, mert a skálázhatóság éppen a cloud egyik legfontosabb tulajdonsága lenne. Mindezt a biztonság szempontjából is hangsúlyosabbá teszik a multi-cloud környezetek, amelyekben nem csak a problémák összetettsége növekszik, de ezzel párhuzamosan a több szolgáltatóval dolgozó vállalatok maguk is több biztonsági incidensről számolnak be.
Bár a technikai jellegű rizikó az adott esetekben mérsékelhető a menedzselt szolgáltatásokkal, a megosztott technológiákból eredő kockázatok vagy a nem biztonságos felületek és API-ok különös felelősséget tesznek a fejlesztőkre is, hogy a megbízható szabványoktól és gyakorlatoktól való eltérések milyen ismeretlen kockázati profilokat generálnak. A felhőszolgáltatóknál elvileg működik az API-telepítések előzetes biztonsági ellenőrzése, és erős autentikációs mechanizmusokkal vagy hozzáférés-ellenőrzéssel is biztosítják az adatokat vagy szolgáltatásokat a nem megfelelő interfészk és API-ok fenyegetéseivel szemben. Ezzel együtt az már az ügyfelek felelőssége, hogy értékeljék a cloud szolgáltatók által biztosított API-okat és interfészeket, mielőtt adataikat a felhőbe mozgatják.
Egymásért és saját magukért is felelősek
Érdemes megemlékezni arról is, hogy a megbízható felhőszolgáltatók saját ügyfeleik körében is hatékonyan szűrik ki a rosszindulatú felhasználásokat. Ez már az előzetes regisztrációs és validációs eljárások szigorúságából is következik, beleértve a lehetséges jogi lépésekről való tájékoztatást az SLA szerződések megsértése esetén. A hálózati forgalom folyamatos ellenőrzése és a rendszeresen frissített biztonsági eszközök ugyancsak segítenek azonosítani a rosszindulatú tevékenységet.
Ahogy korábban írtuk, ez csak látszólag a szolgáltatók problémája, mivel azt a szabálykövető ügyfelek is megérzik, ha a partnerük nem képes időben fellépni a saját infrastruktúrájáról indított levélszemét-küldő kampányok ellen. Házon belüli kockázatok természetesen a megrendelőknél is akadnak, sőt a világjárvány nyomán, a távmunka terjedésével és az erőltetett ütemű digitalizációval egyre jobban oda kell figyelni ezekre is: ezt mutatja, hogy a kiberbiztonsági szakemberek nagy része már a saját alkalmazottak rosszhiszemű viselkedését is a cloud alkalmazások egyik legfontosabb biztonsági rizikójának tartja.
A szolgáltató odaláról a hozzáférések ellenőrzésére bevezetett erős protokollok, illetve a menedzsmentrétegben a feladatok elkülönítése biztosítja, hogy az adminisztrátorok csak a megfelelő adatokhoz és szoftverekhez férjenek hozzá. Ezzel együtt fontosak a felhasználói auditok is a gyanús viselkedés kiszűrésére, amit egyébként a munkaszerződésekben sem árt a megfelelő jogi lépések lehetőségével körbebástyázni; bár kézenfekvőnek tűnik, de a fejlett mintafelismerő algoritmusok és más védelmi technológiák mellett sok helyen még az sem alapértelmezett dolog, hogy a tárólórenszereken és a publikus hálózatokon bevezetett titkosítás nem csak a külső, hanem a belső veszélyforrásokkal szemben is hatékony védelmet jelent.
Hogy az új körülmények, a mobil felhasználás vagy általában legújabb kori, rugalmasabb munkafolyamatokra való átállás közepette milyen szempontok alapján lehet érdemes kiválasztani a megfelelő felhőszolgáltatót, arról sorozatunk harmadik részében próbáljuk összegűjteni a hasznos szempontokat.
Ez a cikk független szerkesztőségi tartalom, mely a Servergarden Kft. támogatásával készült. Részletek »
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak