Kaj je varnost v oblaku?

Varnost v oblaku je skupna odgovornost ponudnikov storitev v oblaku in njihovih strank. Odgovornost je odvisna od vrste ponujenih storitev:

Infrastruktura kot storitev. V tem modelu ponudniki storitev v oblaku zagotavljajo računalniške in omrežne vire ter vire za shranjevanje na zahtevo. Ponudnik je odgovoren za zaščito osnovnih računalniških storitev. Stranke morajo poleg samega operacijskega sistema zaščititi tudi aplikacije, podatke, izvajalnike in vmesno programsko opremo.

Platforma kot storitev. Številni ponudniki zagotavljajo tudi celotno okolje za razvijanje in uvajanje v oblaku. Poleg osnovnih računalniških storitev so odgovorni tudi za zaščito izvajalnika, vmesne programske opreme in operacijskega sistema. Stranke morajo zaščititi svoje aplikacije, podatke, dostop uporabnikov ter naprave in omrežja končnih uporabnikov.

Programska oprema kot storitev. Organizacije lahko do programske opreme dostopajo tudi v okviru modela sprotnega plačila, kot je Microsoft Office 365 ali Google Drive. V tem modelu morajo stranke še vedno zagotoviti varnost za svoje podatke, uporabnike in naprave.

Štiri orodja, s katerimi lahko podjetja zaščitijo svoje vire v oblaku:

• S platformo za zaščito dela v oblaku lahko zaščitite računalniške, pomnilniške in omrežne zmogljivosti, ki jih potrebujejo aplikacije v oblaku. Deluje tako, da prepozna delovne obremenitve v okoljih javnega, zasebnega in hibridnega oblaka ter jih pregleda za morebitne ranljivosti. Če so odkrite ranljivosti, rešitev predlaga kontrolnike za odpravljanje težav.
• S posredniki za varnost aplikacij v oblaku lahko ekipe za IT pridobijo vidljivost v uporabo aplikacij v oblaku in zagotovijo oceno tveganja za posamezne aplikacije. S temi rešitvami lahko tudi zaščitite podatke in izpolnite cilje zagotavljanja skladnosti s predpisi z orodji, ki prikazujejo način premikanja podatkov v oblaku. Organizacije s posredniki za varnost aplikacij v oblaku zaznajo tudi neobičajna vedenja uporabnikov in odpravljajo grožnje.
• Z rešitvijo za upravljanje stanja varnosti v oblaku lahko zmanjšate tveganje z rednim iskanjem napak v konfiguraciji, ki lahko privedejo do kršitve. Z avtomatiziranjem postopka te rešitve zmanjšajo tveganje morebitnih napak pri ročnih postopkih ter izboljšajo vidljivost v okolja z več tisoč storitvami in računi. Ko so ranljivosti odkrite, te rešitve zagotavljajo vodena priporočila, s katerimi lahko razvijalci lažje odpravijo težavo.
• Rešitve za upravljanje identitete in dostopa zagotavljajo orodja za upravljanje identitet in uporabo pravilnikov o dostopu. Organizacije uporabljajo te rešitve za namene omejevanja dostopa do občutljivih virov ter uveljavljanja večkratnega preverjanja pristnosti in dostopa z najmanj pravicami.
• S platformo za zaščito izvornih aplikacij v oblaku (CNAPP) lahko varnostne ekipe vgradijo varnost od kode do oblaka. Platforma CNAPP združuje zmogljivosti skladnosti s predpisi in varnosti za preprečevanje varnostnih groženj v oblaku, njihovo zaznavanje ter odzivanje nanje – od razvoja do izvajanja.
• S poenotenim upravljanjem varnosti DevOps lahko varnostne ekipe poenotijo, izboljšajo in upravljajo varnost v več cevovodih, premaknejo varnost levo in jo vgradijo v samo kodo ter podprejo zaščite od kode do oblaka v eni sami konzoli.

Organizacije morajo pri uvajanju postopkov in pravilnikov za zaščito svojih oblakov upoštevati štiri področja:

• Omejevanje dostopa: ker je v oblaku vsa vsebina dostopna prek interneta, je izjemno pomembno, da zagotovite dostop do določenih orodij le ustreznim ljudem ustrezno količino časa.
• Zaščita podatkov: organizacije morajo vedeti, kje so shranjeni njihovi podatki, in uvesti ustrezne kontrolnike za zaščito infrastrukture, kjer gostujejo in so shranjeni podatki, ter samih podatkov.
• Obnovitev podatkov: ustrezna rešitev za varnostno kopiranje in načrt za obnovitev podatkov sta ključnega pomena v primeru morebitne kršitve.
• Načrt za odziv: ko pride do kršitve v organizaciji, je potreben načrt za zmanjšanje vpliva napada ter preprečitev ogroženosti drugih sistemov.
• Premik varnosti levo: ekipe za varnost in razvoj sodelujejo pri vdelavi varnosti v samo kodo, s čimer je zagotovljena varnost izvornih aplikacij v oblaku že od samega začetka.
• Poenotenje vidljivosti stanja varnosti DevOps: zmanjšajte število šibkih točk z uporabo enega osrednjega mesta za pridobivanje vpogledov v stanje varnosti DevOps v različnih platformah DevOps.
• Ohranjanje osredotočenosti varnostnih ekip na nove grožnje: izboljšajte konfiguracije virov v oblaku v kodi, da zmanjšate varnostne težave v produkcijskih okoljih.

Organizacije morajo biti pozorne na ta tveganja v oblaku:

• Ogroženi računi: Napadalci pogosto uporabljajo napade z lažnim predstavljanjem za krajo gesel zaposlenih ter pridobivanje dostopa do sistemov in dragocenih poslovnih sredstev.
• Ranljivosti programske in strojne opreme: izjemno pomembno je, da sta strojna in programska oprema popravljeni in posodobljeni, ne glede na to, ali organizacija uporablja javni ali zasebni oblak.
• Notranje grožnje: človeške napake so glavni razlog za kršitve varnosti. Napačne konfiguracije lahko ustvarijo priložnosti za akterje groženj. Zaposleni pogosto kliknejo morebitne škodljive povezave ali nenamerno prenesejo podatke na mesta z manjšo varnostjo.
• Pomanjkanje vidljivosti virov v oblaku: zaradi tega tveganja v oblaku težko zaznate varnostne ranljivosti in grožnje ter se odzovete nanje, zaradi česar lahko pride do kršitev varnosti podatkov in izgube podatkov.
• Pomanjkanje določanja prioritete tveganj: ko skrbniki za varnost pridobijo vpogled v vire v oblaku, je število priporočil za izboljšanje stanja varnosti lahko preveliko. Pomembno je, da določite prioriteto tveganj, tako da so skrbniki seznanjeni, na kaj se morajo osredotočiti za zagotovitev največjega vpliva na varnost.
• Dovoljenja v oblaku z visokim tveganjem: s širjenjem storitev in identitet v oblaku se je povečalo tudi število dovoljenj v oblaku z visokim tveganjem, kar je posledično povečalo tudi možne tarče napadov. Metrika PCI (permission creep index) meri raven morebitne škode, ki jo lahko povzročijo identitete glede na njihova dovoljenja.
• Razvijajoče se okolje groženj: varnostna tveganja v oblaku se nenehno razvijajo. Za učinkovito zaščito pred kršitvami varnosti in izgubo podatkov je pomembno, da ste seznanjeni z novimi grožnjami.
• Pomanjkanje integracije med izvornim razvojem v oblaku in varnostjo: pomembno je, da ekipe za varnost in razvoj sodelujejo pri prepoznavanju in odpravljanju težav s kodo, preden je aplikacija uvedena v oblak.

Varnost v oblaku se nanaša na tehnologije, postopke, pravilnike in kontrolnike, ki so namenjeni zaščiti sistemov ter podatkov v oblaku. Nekateri primeri varnosti v oblaku vključujejo to:

• Orodja, kot je varnostni posrednik dostopa v oblaku, za pridobivanje vpogleda v aplikacije in podatke, ki jih uporablja organizacija.
• Upravljanje stanja varnosti v oblaku za lažje prepoznavanje in odpravljanje napak v konfiguraciji.
• Orodja, s katerimi lahko ekipe za varnost in razvoj lažje sodelujejo pri vdelavi varnosti v samo kodo.
• Platforma za zaščito delovnih obremenitev v oblaku za vgraditev varnosti v postopek razvoja.
• Uvedba pravilnikov za zagotavljanje posodobljenosti naprav zaposlenih, vključno z rednim nameščanjem popravkov programske opreme.
• Uvedba programa usposabljanja, da so zaposleni seznanjeni z najnovejšimi grožnjami in taktikami lažnega predstavljanja.

Z zaščito sistemov in podatkov v oblaku pred notranjimi in zunanjimi grožnjami varnost v oblaku zmanjša tveganje kibernetskega napada. Varnost v oblaku podpira tudi modele hibridnega dela, saj nadzira, kdo ima dostop do virov – ne glede na to, ali zaposleni, pogodbeniki in poslovni partnerji delajo na delovnem mestu ali na daljavo. Dodatna prednost je, da z varnostjo v oblaku izboljšate zasebnost podatkov in omogočite organizacijam lažje izpolnjevanje predpisov, kot sta uredba GDPR in zakon HIPAA. Neupoštevanje teh predpisov lahko povzroči visoke globe in škoduje ugledu.

Najboljše prakse za varnost v oblaku vključujejo tehnologijo, postopke in kontrolnike organizacije, vključno s tem:

• Zagotovite, da platforma za izvorne aplikacije v oblaku vključuje platformo za zaščito dela v oblaku, upravljanje upravičenosti do infrastrukture v oblaku in upravljanje stanja varnosti v oblaku za zmanjšanje števila napak, izboljšanje varnosti ter učinkovito upravljanje dostopa.
• Izvajajte redna usposabljanja, tako da bodo zaposleni lažje prepoznali napade z lažnim predstavljanjem in druge tehnike socialnega inženiringa. Uvedite postopke za preprečevanje napada, njegovo zaznavanje in odzivanje nanj, vključno s šifriranjem občutljivih podatkov, rednim nameščanjem popravkov programske in strojne opreme ter ustvarjanjem pravilnikov o zapletenih geslih.
• Uvedite ogrodje Ničelnega zaupanja za izrecno preverjanje vseh zahtev za dostop. To vključuje uvedbo dostopa z najmanj pravicami, s čimer omogočite ljudem dostop samo do tistih virov, ki jih potrebujejo.
• S premikom varnosti levo v cevovodu DevOps lahko ekipe za varnost in razvoj sodelujejo pri vdelavi varnosti v samo kodo, s čimer je zagotovljena varnost izvornih aplikacij v oblaku že od samega začetka.