Coraz więcej danych firmowych „ląduje” w chmurach. Brak potrzeby rozbudowania serwerowni i przetrzymywania gigabajtów na urządzeniach stacjonarnych kusi. Należy jednak pamiętać, by rozsądnie korzystać z cloud computingu. Co warto o nim wiedzieć?

Apple, Amazon i Microsoft to giganci technologiczni uznawani za wzorzec do naśladowania wśród dostawców usług w chmurze, którzy musieli zmierzyć się z udanymi atakami hakerów na ich zasoby. Firma Apple trafiła na pierwsze strony gazet w wyniku wycieku prywatnych zdjęć gwiazd korzystających z usługi iCloud (tzw. celebgate). Z kolei brytyjskie przedsiębiorstwo Code Spaces zostało w ubiegłym roku zmuszone do zakończenia działalności po tym jak hakerzy usunęli kluczowe dane z konta firmy w usłudze Amazon Web Services. W 2013 r. wygaśnięcie certyfikatu SSL w usłudze Microsoft Azure umożliwiło hakerom wyłączenie Xbox Live i wielu innych usług udostępnianych w chmurze. Przypadki te dowodzą, że wybór znanego dostawcy usług nie gwarantuje pełnej ochrony i nawet najwięksi giganci, za którymi stoją całe sztaby informatyków i specjalistów od cyberbezpieczeńśtwa nie mogą spać spokojnie.

Jak wynika z danych firmy Alert Logic, która zajmuje się bezpieczeństwem chmury, liczba ataków na środowiska cloudowe wzrasta co roku na całym świecie o 45 proc. Analitycy z Forrester Research prognozują, że w ciągu najbliższych pięciu lat przedsiębiorstwa wydadzą 2 mld dol. na wzmocnienie zabezpieczeń swoich chmur. Na największe ryzyko mogą być wystawieni klienci korzystający z cloud computingu po raz pierwszy. Nie znając jeszcze dobrze tego środowiska, muszą zmierzyć się z nowym sposobem zarządzania użytkownikami, danymi oraz zabezpieczeniami. Dlatego warto się chronić i postępować według wskazówek, które pozwolą czuć się bezpieczniej i kontrolować wszystko co ulokowane w sieci.

  1. Poznaj segmenty chmury

Każde wdrożenie składa się z trzech segmentów: dostawcy, operatora sieci i przedsiębiorstwa z niej korzystającego. Cloud należy traktować jak rozszerzenie korporacyjnego centrum przetwarzania danych. Trzeba więc zadać sobie pytanie: czy we wszystkich trzech segmentach można zastosować standardowy zestaw usług i reguł bezpieczeństwa? Gdzie tkwią potencjalne luki w zabezpieczeniach?

Podczas wybierania dostawcy chmury warto zapytać go o świadczone usługi bezpieczeństwa i współpracujących z nim dostawców zabezpieczeń. Cloud to środowisko dynamiczne, wymagające regularnego aktualizowania architektury zabezpieczeń w celu dotrzymania kroku najnowszym zagrożeniom.

Warto się również dowiedzieć, jaki jest zakres zabezpieczeń oferowanych wraz z usługą przetwarzania w chmurze. Dobrze jest znać obszar obowiązków własnych oraz dostawcy. W przypadku niektórych usług przetwarzania, takich jak IaaS, to przedsiębiorstwo odpowiada za ochronę swoich aplikacji i danych. Dlatego trzeba wiedzieć, jakie urządzenia i produkty zabezpieczające dostarcza oferent i na wdrażanie jakich rozwiązań zezwala.

  1. Wprowadzając nowe aplikacje i dane pamiętaj o dodatkowych zabezpieczeniach

Gdy firma jest gotowa na przeniesienie określonej aplikacji do chmury, przed zrobieniem finalnego kroku powinna rozważyć dodanie nowych umocnień do istniejących zabezpieczeń w obszarze uwierzytelniania i logowania do aplikacji.

Aby lepiej chronić dostęp do umieszczonego w chmurze programu, wymagany jest precyzyjny schemat dostępu do danych. Można go stworzyć przez powiązanie uprawnień dostępowych z rolami, stanowiskami w przedsiębiorstwie i projektami.  W ten sposób powstanie dodatkowa warstwa zwiększająca bezpieczeństwo, jeśli hakerzy wykradną dane uwierzytelniające personelu.

Przejmowanie kont może wydawać się sprawą podstawową, jednak stowarzyszenie zajmujące się tematem bezpieczeństwa (Cloud Security Alliance) w dalszym ciągu wymienia to dobrze znane naruszenie zabezpieczeń jako jedno z głównych zagrożeń dla użytkowników. Aby lepiej zabezpieczyć proces logowania, warto zastanowić się nad dwustopniowym uwierzytelnianiem czy używaniem haseł jednorazowych lub kodów. Dobrze jest też wymagać od użytkowników zmiany identyfikatorów przy pierwszym logowaniu.

  1. Wdrożenie szyfrowania to dobry pomysł

Szyfrowanie danych należy do największych sprzymierzeńców bezpieczeństwa w chmurze i powinno być bezwzględnie stosowane w przypadku przesyłania plików i poczty elektronicznej. Choć nie zapobiega ono próbom włamań ani kradzieży danych, może ochronić przedsiębiorstwo na przykład przed wysokimi grzywnami w przypadku wycieku danych.

Warto zapytać dostawcę chmury o oferowane szyfrowanie danych. Dobrze jest się również dowiedzieć, w jaki sposób zabezpiecza pliki będące w spoczynku, w użytku oraz w trakcie przesyłania. Aby uświadomić sobie, które informacje powinny być szyfrowane, trzeba określić, gdzie się one znajdują — na serwerach dostawcy chmury, serwerach innych firm, laptopach pracowników, biurowych komputerach czy pamięciach USB. Niektóre firmy starają się zapobiegać wyciekom wrażliwych danych blokując możliwość wykorzystywania innych nośników niż tylko te, które zabezpieczono. Również inteligentne telefony posiadają ograniczenia dotyczące pobierania i przeglądania wrażliwych informacji.

  1. Sprawdzaj zabezpieczenia środowisk wirtualnych

Migracja do chmury pozwala przedsiębiorstwom wykorzystać zalety wirtualizacji. Środowisko wirtualne może jednak stanowić wyzwanie w zakresie ochrony danych. Główny problem wiąże się z zarządzaniem zabezpieczeniami i ruchem w platformie obsługującej wielu klientów i liczne maszyny wirtualne. Służą one do kontroli wszystkich odwołań uruchamianego programu bezpośrednio do sprzętu lub systemu operacyjnego i zapewniają ich obsługę. Dzięki temu aplikacja uruchomiona na maszynie wirtualnej „myśli”, że działa na rzeczywistym sprzęcie, podczas gdy w istocie pracuje na wirtualnym, „udawanym” przez odpowiednie oprogramowanie.

Większość fizycznych urządzeń zabezpieczających nie powstała z myślą o informacjach umieszczanych w chmurze.  Tu na scenę wkraczają więc urządzenia wirtualne, które potrafią chronić przepływy danych pomiędzy maszynami. Takie sprzęty dostosowano do złożoności związanej z obsługą licznych instancji aplikacji oraz wielu klientów. Zapewniają one firmom precyzyjną kontrolę zabezpieczeń ich danych w chmurze.

Warto zapytać dostawcę chmury, jak chroni swoje środowisko wirtualne i jakie wirtualne urządzenia zabezpieczające stosuje. Jeśli natomiast zarząd firmy zdecyduje się na budowanie własnej chmury prywatnej lub hybrydowej, powinien zastanowić się nad zaopatrzeniem w takie zabezpieczenia dla środowisk wirtualnych, które są skoncentrowane na precyzyjnej kontroli.

  1. Kontroluj i zabezpieczaj nieautoryzowane aplikacje

Nie brak anegdot i raportów dowodzących, że nieautoryzowane aplikacje lub usługi przetwarzania w chmurze wprowadzane do środowiska przez osoby spoza działu informatycznego — tzw. „shadow IT” — są używane w firmach coraz częściej. Brak kontroli nad tym zjawiskiem to zagrożenie i wyzwanie w obszarze nadzoru.

Jest to również ryzyko dla nowych aplikacji przenoszonych do chmury. Wyobraźmy sobie prosty scenariusz, w którym pracownik firmy otwiera określony plik za pomocą swojego smartfona. Urządzenie prawdopodobnie utworzy kopię pliku, która może potem zostać wysłana do niezatwierdzonej przez przedsiębiorstwo pamięci online, wykorzystywanej przez smartfon do rutynowego tworzenia kopii zapasowych (np. przez system Android w oparciu o technologię Google). Zabezpieczone dane przedsiębiorstwa trafiają tym samym do lokalizacji nieobjętej ochroną.

Zapobieganie dostępowi do wspomnianych aplikacji nie powstrzyma zapewne narastania zjawiska w  przedsiębiorstwach. Bardziej skuteczne jest edukowanie użytkowników i wykorzystywanie technologii do niwelowania problemu. Narzędzia do szyfrowania, monitorowania sieci i zarządzania zabezpieczeniami mogą więc pomóc w ochronie pierwszej aplikacji firmy w chmurze przed ryzykiem związanym z „shadow IT”.

ZOSTAW ODPOWIEDŹ