Artykuł pochodzi z wydania: Październik 2022
Cyberbezpieczeństwo nieustannie ewoluuje. Dynamiczna sytuacja geopolityczna, rozwój technologii czy zmieniający się rynek pracy powodują, że nie do końca możliwe jest jednoznaczne stwierdzenie, w którą stronę ta gałąź będzie się rozwijać.
Żadna instytucja nie może sobie pozwolić na przyjęcie cyberbezpieczeństwa za pewnik. Naruszenie lub atak spowodowane najprostszymi działaniami, choćby kliknięciem łącza lub otwarciem załącznika, mogą spowodować nieodwracalne skutki dla organizacji, które wiążą się z milionowymi stratami, utratą reputacji, a w konsekwencji surowymi grzywnami nałożonymi przez organy regulacyjne. Przepisy dotyczące praktyk cyberbezpieczeństwa, np. rodo, jasno wskazują, że organizacje muszą zrobić więcej, aby chronić dane i zapewnić środki bezpieczeństwa.
Zagrożenia cyberbezpieczeństwa stają się z roku na rok coraz bardziej powszechne, a instytucje wydają coraz większy odsetek swojego budżetu IT na modernizację i edukację w tym zakresie. Dojrzałe organizacje szkolą nie tylko służby IT, ale także budują świadomość wśród wszystkich pracowników, jak ważne jest zachowanie bezpieczeństwa, co pozwala znacząco ograniczyć incydenty spowodowane błędem ludzkim, a nie awarią systemów czy sprzętu. Zwiększenie świadomości związanej z wyłudzaniem informacji i używaniem fałszywej tożsamości, większa siła haseł i kilka podstawowych porad dotyczących właściwego zarządzania bezpieczeństwem mogą pomóc w zapobieganiu ogromnej liczbie ataków w cyberprzestrzeni.
Bezpieczeństwo w chmurze
Chmura stała się już praktycznie standardem. Organizacje coraz chętniej przenoszą do niej przechowywane dane. Mimo to istnieją poważne zagrożenia dla określonych branż czy administracji publicznej przy wykorzystywaniu informacji wrażliwych, ponieważ większość dostawców usług w chmurze nie oferuje szyfrowania ani uwierzytelniania jako środków bezpieczeństwa „by default”. W związku z tym istnieje pilna potrzeba poprawy bezpieczeństwa chmury. Dlatego ważne jest, aby zrozumieć konstrukcję zabezpieczeń w niej, zaimplementować odpowiednie narzędzia i najlepsze rozwiązania w celu ochrony hostowanych środowisk informatycznych oraz rozwijać sposoby zabezpieczeń, doskonaląc organizacje w procesie wdrażania chmury.
Kompletna strategia bezpieczeństwa w chmurze powinna ograniczać ryzyka, chronić przed zagrożeniami oraz przezwyciężać wyzwania. Jak wiadomo, ryzyka nie da się w pełni wyeliminować, ale można nim zarządzać. Poznanie typowych zagrożeń pozwoli z wyprzedzeniem przygotować się do zminimalizowania potencjalnych zagrożeń.
Błąd ludzki
Ponad 90% wszystkich incydentów zabezpieczeń chmury jest spowodowanych w pewnym stopniu błędem ludzkim. Łatwość użycia chmury oznacza, że użytkownicy mogą korzystać z interfejsów API, które są wystawione do internetu. Technologia ta stale się rozwija, co zwiększa ryzyko ewentualnych podatności. Aby starać się zapobiegać błędom ludzkim, należy wdrożyć mechanizmy silnej kontroli, które będą stanowiły podstawę do podejmowania właściwych decyzji. Należy przy tym pamiętać, aby nie obwiniać ludzi za błędy – wszak nie myli się tylko ten, kto nie robi nic. Błąd ludzki może się zdarzyć zawsze, ale przyczyniają się do tego błędnie opisane procedury. Bariery ochronne i procedury należy tworzyć tak, by ograniczyć ludziom możliwość popełnienia błędu.
Błędna konfiguracja
Liczba usług chmurowych i ich konfiguracji rośnie w bardzo szybkim tempie. Zmieniają się także modele pracy z chmurą. Już dzisiaj standardem jest tworzenie środowisk wielochmurowych, w których w ramach jednego środowiska informatycznego mamy usługi od różnych dostawców. Ci – chcąc wyróżnić się rynkowo – często stosują różne konfiguracje domyślne, a każda usługa ma swoje odrębne sposoby implementacji oraz wyróżniki technologiczne – różną liczbę procesorów, ich taktowania itp. To powoduje, że zarządzanie bezpieczeństwem takich środowisk jest w dalszym ciągu wyzwaniem dla służb IT. Muszą one bowiem pamiętać, aby wdrożyć takie mechanizmy, które zapewnią odpowiedni poziom bezpieczeństwa, niezależnie od dostawcy usług i ich konfiguracji. Wszak to z punktu widzenia odbiorcy jest jedno środowisko pracy.
Bezpieczeństwo chmury obliczeniowej
Biorąc pod uwagę przewidywania, zgodnie z którymi w ciągu następnych pięciu lat większość kosztów IT będzie bezpośrednio lub pośrednio spowodowana przejściem na technologię chmury obliczeniowej, przetwarzanie danych w chmurze nie jest kwestią, którą organizacje mogą zignorować. Migracja środowiska informatycznego, czyli odchodzenie od tradycyjnych rozwiązań on-premise i przechodzenie na te oparte na chmurze obliczeniowej, stanowi widoczny trend i można założyć, że w najbliższych latach będzie się on nasilał.
Przejście na rozwiązania chmurowe niewątpliwie ma zalety. Pozwalając na zdalny dostęp do infrastruktury, zwiększamy mobilność, dostępność i ciągłość, poprawiamy elastyczność, ponadto możemy przesunąć część wydatków na IT z modelu CAPEX (wydatki kapitałowe) na OPEX (wydatki operacyjne), co dla niektórych organizacji również może być zaletą.
Należy jednocześnie pamiętać o tym, że przejście na rozwiązania chmurowe wiąże się z pewnymi ryzykami, w tym ryzykami prawnymi, występującymi także w aspekcie bezpieczeństwa. Przed migracją do chmury warto je przeanalizować i odpowiednio się przygotować. Wśród kwestii prawnych, które należy uwzględnić w procesie migrowania do publicznej chmury obliczeniowej, pojawiają się m.in. aspekty związane z własnością intelektualną, przetwarzaniem danych osobowych na gruncie rodo, ochroną tajemnicy organizacji oraz jej partnerów, a także innych narzuconych przez przepisy informacji. Do tej grupy należą m.in. tajemnica zawodowa i telekomunikacyjna oraz oczywiście informacje niejawne. Musimy także mieć pewność, że będziemy w stanie wypełnić obowiązki między innymi w zakresie cyberbezpieczeństwa czy ciągłości realizowanych zadań.
Architektura bezpieczeństwa chmury
Tego ogólnego terminu używa się do opisania całego sprzętu, oprogramowania i infrastruktury, które chronią środowisko chmury i jego komponenty, takie jak dane, obciążenia, kontenery, maszyny wirtualne i interfejsy API. Architektura bezpieczeństwa chmury jest podstawowym elementem każdej strategii bezpieczeństwa, która chroni infrastrukturę, dane i aplikacje w chmurze.
w niektórych organizacjach może być bagatelizowane. To sprawia, że taka organizacja jest narażona na ryzyka i zagrożenia specyficzne dla środowiska chmury, które nie są chronione przez tradycyjne lokalne środki i narzędzia bezpieczeństwa. W sytuacji, w której spora grupa jednostek wdrożyła szereg rozwiązań punktowych w celu poprawy bezpieczeństwa w chmurze, podejście patchworkowe może znacznie ograniczyć widoczność, co utrudnia osiągnięcie silnej postawy bezpieczeństwa. Instytucje, które przeprowadziły migrację do chmury lub są w trakcie jej przeprowadzania, muszą opracować kompleksową strategię bezpieczeństwa zbudowaną specjalnie dla chmury, która integruje się z nadrzędną strategią i rozwiązaniami w zakresie bezpieczeństwa przedsiębiorstwa.
Kluczowe elementy architektury bezpieczeństwa w chmurze
Architektura bezpieczeństwa chmury składa się ze sprzętu, oprogramowania i całej infrastruktury w celu zapewnienia właściwego poziomu zabezpieczeń w środowisku chmury. Wyróżniamy tutaj cztery elementy kluczowe. Pierwszym jest zarządzanie stanem bezpieczeństwa w chmurze (CSPM). Koncentruje się ono na bezpieczeństwie chmurowych interfejsów API, zapobiegając błędom konfiguracji i integracji z potokiem CI/CD. Następnie mamy platformę ochrony zasobów w chmurze (CWPP), która nadzoruje ochronę środowiska wykonawczego i ciągłe zarządzanie słabymi punktami kontenerów. Trzeci element to broker zapewniający bezpieczeństwo dostępu do zasobów chmurowych (CASB), który działa w celu poprawy widoczności w punktach końcowych, w tym informacji o tym, kto uzyskuje dostęp do danych i jak są one używane. Na koniec zostaje bezpieczeństwo aplikacji w chmurze: zasady, narzędzia, technologie i reguły na poziomie aplikacji w celu zachowania wglądu we wszystkie działania związane z przetwarzaniem w chmurze i ochrony aplikacji przez cały cykl rozwoju.
Architektura bezpieczeństwa w chmurze i model współdzielonej odpowiedzialności
Zgodnie z modelem współdzielonej odpowiedzialności bezpieczeństwo i zgodność to wspólna odpowiedzialność klienta i dostawcy chmury. Dostawcy usług w chmurze (CSP) muszą monitorować sytuację i reagować na zagrożenia bezpieczeństwa związane z podstawową infrastrukturą chmury. Tymczasem właściciele systemów odpowiedzialni są za ochronę danych i innych zasobów, które przechowują w środowisku publicznym, hybrydowym czy wielochmurowym.
W przypadku organizacji korzystających z modelu opartego na chmurze lub przechodzących na chmurę ważne jest opracowanie i wdrożenie kompleksowej strategii zabezpieczeń, która jest specjalnie zaprojektowana do ochrony zasobów chmurowych.
[…]
Tomasz Marcinek
Autor jest managerem z wieloletnim doświadczeniem w planowaniu i zarządzaniu złożonymi projektami informatycznymi. Zawodowo jest związany z Ministerstwem Cyfryzacji, a aktualnie z Centralnym Ośrodkiem Informatyki, gdzie odpowiada za budowę i rozwój chmury dla administracji publicznej. Specjalizuje się we wdrażaniu zaawansowanych rozwiązań IT, m.in. Cloud Computingu, Business Intelligence, Big Data dla instytucji z sektora publicznego i prywatnego. Ma duże doświadczenie w obszarze cyberbezpieczeństwa.
