Objavljeno: 6. 3. 2018 in Blog by Jovan Lakić, arhitekta tehnoloških rešenja

Bezbednost u Cloud-u, ko je odgovoran?

Otvori galeriju

Bez obzira koji model cloud servisa da ste izabrali, uvek ste vi ti koji ste vlasnici podataka i samim tim odgovarate za kontrolu pristupa i nadzor istih. Dodatno, u IaaS i PaaS modelu, odgovorani ste za aplikativni sloj u smislu kontrole pristupa, hardeninga, konfiguracije, enkripcije itd..

Bezbednost je primarna briga za većinu organizacija koje prelaze na cloud servise, ali čija je u stvari odgovornost da obezbedi da ta rešenja ispune sigurnosne zahteve?

To je jedno od mnogih pitanja, ali veoma značajno, jer je bezbednost u cloudu i dalje misterija za mnoge kompanije.

Istraživanja pokazuju da većina kompanija prelazi na cloud kako bi smanjile troškove, a zanemarljiv procenat njih smatra da će time poboljšati bezbednost. Nakon određenog vremena i korišćenja cloud servisa mnoge od ovih kompanija su uvidele da cloud provajderi pružaju bolju sigurnost od njihovih internih službi za IT bezbednost.

Puno je već rečeno o sigurnosnim rizicima migracije podataka ili sistema u cloud platforme tako da se u ovom blogu neću osvrtati na tu temu. Izbor proverenih i sertifikovanih cloud provajdera postao je neophodan, međutim, izgleda da mnoge organizacije zaboravljaju svoje sopstvene sigurnosne prakse i odgovornosti kada pređu na cloud rešenja.

Ovde se postavlja ključno pitanje, ko je odgovaran za bezbednost podataka u cloudu?

Odgovor koji se ovde nameće, kao pristup vodećih svetskih cloud provajdera ovom izazovu, je da se odgovornost deli između njih i korisnika njihovih servisa (Shared Responsibility). Sama podela odgovornosti zavisi od modela cloud servisa, koji ste izabrali: da li je to Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) ili Software-as-a-Service (SaaS)? Ukoliko ste se npr. odlučili za IaaS, provajder cloud servisa je odgovoran za fizičku zaštitu, lokaciju Data centra i osnovnu infrastrukturnu sigurnost izuzev operativnog sistema. Kako se budete pomerali sa IaaS modela na PaaS ili SaaS tako će i odgovornost provajdera biti veća, a vaša odgovornost manja.

Bez obzira koji model cloud servisa da ste izabrali, uvek ste vi ti koji ste vlasnici podataka i samim tim odgovarate za kontrolu pristupa i nadzor istih. Dodatno, u IaaS i PaaS modelu, odgovorani ste za aplikativni sloj u smislu kontrole pristupa, hardeninga, konfiguracije, enkripcije itd..

Zabrinjavajuće je što mnogi IT stručnjaci iz kompanija koje koriste cloud servise i dalje smatraju da nisu odgovorni za sigurnost svojih podataka, što je u potpunoj suprotnosti sa pravilima koje propisuju provajderi, pa samim tim izlažu svoje organizacije nepotrebnom riziku.

Kada koristite cloud usluge, trebalo bi da primenite sve iste sigurnosne mere koje biste primenili na klasične IT infrastrukture. S obzirom na to da se IT resursi koriste i u cloudu, bezbednosni ciljevi moraju biti određeni u odnosu na ljude, informacije, aplikacije i infrastrukturu.

Podjednako je ključno da se utvrdi ko kontroliše različite komponente cloud infrastrukture. Ovim se definiše gde i kako treba primeniti mere bezbednosti, sa posebnim fokusom na podatke. Na kraju dana, i provajderi i korisnici moraju da obezbede sigurnost podataka. Bezbednost u cloudu mora da bude timski rad!

Ključne stavke koje kao korisnik cloud servisa treba da ispunite u cilju podizanja sigurnosti na najviši nivo su:

-  Definišite vašu bezbednosnu arhitekturu u cloudu

-  Definišite osnovu bezbednosne arhitekture za različite scenarije korišćenja cloud servisa.

Predefinisana minimalna osnovna bezbednosna arhitektura za glavne scenarije korišćenja clouda u vašoj organizaciji će pomoći u rešavanju nekih ključnih sigurnosnih problema od samog početka. Obezbediće minimalni nivo kontrole, uzimajući u obzir aspekte, poput upravljanja pristupom i identitetima, integrisanju sigurnosnih alarma, u postojeći Centar za bezbednosne operacije (SOC), sigurne veze između servisa u cloudu i unutrašnje mreže, backup i recovery, itd.

Sigurnosna arhitektura će takođe pomoći u identifikovanju, gde su potrebni dodatni sigurnosni alati kako bi se zaštitili od sigurnosnih rizika u cloudu.

-  Odredite granice. Shvatite gde se završavaju odgovornosti provajdera i kada počinje vaša. Nije dovoljno samo razumeti kako će se podaci kretati između vaše mreže i clouda, već i kako će se oni kretati preko različitih cloud servisa. Morate jasno da odredite gde postoje rizici i ko obezbeđuje šta – gde i kako.

-  Pratite uputstva provajdera u vezi bezbednosti

-  Uključite eksperta za IT bezbednost

-  Iako ne dizajnirate ili ne konstruišete sistem sami, već́ kupujete gotovo cloud rešenje, i dalje vam je potreban određeni nivo bezbednosnog dizajna. Uključuivanje IT eksperta za sigurnost u dizajniranje bezbednosti pomoći će vam da identifikujete kako se cloud rešenje integriše sa vašom postojećom (sigurnosnom) arhitekturom.

-  Otkrijte Shadow IT

Cloud servisi koji spadaju u ovu kategoriju su oni za koje IT odeljenje nije imalo nikakvu ulogu u odabiru i implementaciji, a možda čak i ne zna da se oni koriste.

Pojedini radnici, timovi, pa čak i cele organizacione celine mogu da koriste različite cloud servise kako bi postali produktivniji na svojim poslovima, ali zaobilazivši odobrenja IT odeljenja, što dovodi do sigurnosnih rizika i drugih problema.

Analiziranje vaših proxy logova ili korišćenje namenskih rešenja za sigurnost u cloudu pomoći će vam da pronađete koja se cloud rešenja koriste na vašoj mreži. Poređenje sa ovlašćenim cloud servisima unutar organizacije bi trebalo da obezbedi pun uvid u trenutno stanje.

Baveći se ovom temom, ne mogu da se ne osvrnem na dolazeći GDPR (General Data Protection Regulation) zakon koji stupa na snagu ove godine, a koji ima specifične zahteve na ovu temu. Zakon propisuje stavke za koje provajder cloud servisa nije odgovoran i svaka organizacija koja čuva / obrađuje privatne podatke, mora da bude svesna i da se pripremi prema tome kako bi bila usklađena sa GDPR-om. Ovim stavkama u samom zakonu se dodatno potvrđuje teza o deljenoj odgovornosti.

Glavni GDPR zahtevi vezani za cloud usluge su:

-        Upoznajte lokaciju na kojoj cloud provajderi obrađuju ili čuvaju podatke.

-        Zaštitite lične podatke

-        Koristite snažnu autentifikaciju (višefaktorska autentifikacija)

-        Enkriptujte podatke.

-        Data Processing Agreement (DPA):

Potpisati ugovor o obradi podataka sa pružaocima usluga u cloudu, kako bi bili sigurni da na pravi način štite lične podatke i obavezuju se da ne pomeraju podatke izvan EU.

Cloud servisi su definitvno nešto što postaje sve više zastupljeno u enterprise sistemima i gledajući iz ugla bezbednosti, pokazalo se u praksi da ako vaši ljudi iz IT odeljenja za bezbednost rade dobar posao u obezbeđivanju trenutnih on-premise sistema, oni će biti još bolji u obezbeđivanju cloud servisa, jer mogu da se u potpunosti fokusiraju na sigurnost tačno određenih stavki zahvaljujući modelu deljene odgovornosti.

Da li imate neka pitanja? Kontaktirajte nas