W dwóch nowych raportach opublikowanych niezależnie przez Alert Logic oraz VansonBourne przedstawiono wyniki badań ankietowych dotyczących strategii zabezpieczania danych i aplikacji w systemach wykorzystujących chmury publiczne, prywatne i hybrydowe. Prezentują one jak chmura zmienia strategie bezpieczeństwa, a płynące z badań wnioski są dobrą wskazówką, jak strategie te powinny się zmienić by zapewnić wysoki poziom bezpieczeństwa.

Migracja infrastruktury IT do chmury powoduje, że pod wieloma względami staje się ona bardziej bezpieczna niż lokalne, firmowe centrum danych. Na przykład, użytkownik może z dużym prawdopodobieństwem założyć, że wykorzystuje najnowszą wersję oprogramowania z instalowanymi na bieżąco łatami i poprawkami.

Zobacz również:

• Złośliwe oprogramowanie w chmurze - nowy, niebezpieczny trend
• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
• Dzięki pomocy publicznej KE polska spółka uruchomi produkcję nowoczesnych układów fotoniki

Niestety pojawiają się też nowe ryzyka, które najczęściej są wynikiem niezrozumienia jak należy zarządzać bezpieczeństwem w systemach chmurowych i jakie są różnice w porównaniu do zarządzania bezpieczeństwem w centrach danych on-premise.

Jakie są zagrożenia dla bezpieczeństwa w systemach chmurowych?

Informacje opublikowane w raporcie Alert Logic, firmy specjalizującej się w świadczeniu usług zabezpieczania systemów IT, prezentują jaka jest natura i liczba zagrożeń w chmurach publicznych, prywatnych i hybrydowych w porównaniu do firmowych centrów danych. Przez 18 miesięcy Alert Logic przeanalizowała 147 petabajtów danych należących do ponad 3800 przedsiębiorstw by określić i skategoryzować incydenty zagrażające bezpieczeństwu. W tym czasie firma zarejestrowała 2,2 miliona takich incydentów.

Ataki na aplikacje webowe dominują we wszystkich kategoriach chmur zarówno publicznych, jak prywatnych i hybrydowych. To czym się różnią to przede wszystkim poziom zagrożenia.

„Nasze możliwości efektywnego zabezpieczenia systemów funkcjonujących w chmurach publicznych są większe, bo mniej jest ataków obejmujących wiele elementów systemu i w efekcie lepszy jest stosunek sygnał/szum. Jeśli wykryjemy jakiś incydent w środowisku chmury publicznej to wiemy, że jest to zdarzenie wymagające uwagi i analizy” mówi Misha Govshteyn, współzałożyciel firmy Alert Logic.

Z analizy zagrożeń wynika wniosek, że niektóre platformy są bardziej podatne na ataki niż inne. „Na przykład okazuje się, wbrew obiegowym opiniom, że aplikacje oparte na platformie LAMP są znacznie bardziej zagrożone niż te które pracują na platformie Microsoft. Częstym celem ataków są również aplikacje PHP” zwraca uwagę Misha Govshteyn.

Systemy do zarządzania treściami, zwłaszcza Wordpress, Joomla i Django, są częściej, niż się wydaje, wykorzystywane jako platformy dla aplikacji webowych. A niestety mają one wiele podatności i luk. „Choć można zapewnić odpowiedni poziom bezpieczeństwa dla aplikacji opartych na tych platformach, ale wymaga to dużej wiedzy jak te systemy działają. Niestety większość ze specjalistów odpowiedzialnych za bezpieczeństwo nie przykłada dużej wagi do szczegółów, które decydują o odporności na zagrożenia tworzonych aplikacji” mówi Misha Govshteyn.

„Wbrew obiegowym opiniom, aplikacje oparte na platformie LAMP są znacznie bardziej zagrożone niż te które pracują na platformie Microsoft. Częstym celem ataków są również aplikacje PHP” mówi Misha Govshteyn.

Na podstawie wyników przeprowadzonych analiz eksperci z Alert Logics przedstawiają trzy podstawowe rekomendacje dotyczące minimalizacji wpływu zagrożeń na systemy wykorzystujące chmurę:

• Przede wszystkim warto korzystać z białych list i blokować dostęp do nieznanych aplikacji. Każda aplikacja wykorzystywana w firmowym systemie powinna być analizowana pod względem jej ryzyka w porównaniu do wartości biznesowej.

• Należy dokładnie przeanalizować procesy aktualizacji oprogramowania i opracować system zapewniając priorytetyzację instalacji najważniejszych poprawek.

• Trzeba ograniczyć prawa do zarządzania i dostępu do systemu zgodnie z rolami użytkowników. Dotyczy to zarówno aktualizacji systemów operacyjnych jak i aplikacji.

Jak zabezpieczać chmurę

Z ankiety przeprowadzonej przez VansonBourne sponsorowanej przez firmę Gigamon (dostawca rozwiązań do monitorowania sieci) wynika, że 73% osób uważa, iż większość aplikacji wykorzystywanych w ich firmie zostanie wkrótce przeniesiona do chmury prywatnej lub publicznej.

Jednocześnie aż 35% ankietowanych zamierza zarządzać bezpieczeństwem sieci dokładnie tak samo jak w przypadku systemów wykorzystywanych dotąd w firmowym centrum danych. Pozostali, choć z dużą niechęcią, przewidują, że niestety nie będą mieli wyboru i czeka ich modyfikacja strategii zapewniania bezpieczeństwa tak by była dopasowana do wymagań systemów chmurowych.

Oczywiście nie każda firma decyduje się na przeniesienie do chmury danych wrażliwych i aplikacji o znaczeniu krytycznym dla funkcjonowania biznesu. Ale z badań przeprowadzonych przez VansonBourne wynika, że plany takie ma większość firm. 56% zmigrowało lub zamierza zmigrować do chmury dane o znaczeniu krytycznym oraz dotyczące własności intelektualnych należących do firmy, a 53% zasoby związane z marketingiem.

47% spodziewa się, że wrażliwe informacje osobiste również będą przechowywane w chmurze, co w Europie ma poważne implikacje w perspektywie wejścia w życie prawnych regulacji GDPR (RODO).

Modyfikując i dopasowując strategię bezpieczeństwa do systemów chmurowych firmy powinny skoncentrować się na trzech głównych obszarach:

1. Narzędzia. Wdrażane narzędzia bezpieczeństwa muszą być natywnie przystosowane do pracy w środowiskach chmurowych i efektywnie chronić aplikacje webowe oraz wymianę danych w chmurach. „Technologie bezpieczeństwa zaprojektowane do ochrony urządzeń końcowych koncentrują się na wektorach ataku, które nie są często wykorzystywane w chmurach. Z reguły są słabo wyposażone w mechanizmy umożliwiające ochronę przed najczęstszymi w chmurach zagrożeniami znajdującymi się na liście Top 10 publikowanej przez organizację OWASP (Open Web Application Security Project), które mają 75-procentowy udział we wszystkich atakach na systemy chmurowe” mówi Misha Govshteyn. Ataki na urządzenia końcowe są skierowane głównie na przeglądarki internetowe i oprogramowanie klienckie, a w przypadku ataków na infrastrukturę IT celami są serwery i systemy obsługujące aplikacje.

2. Architektura. Trzeba tak zdefiniować architekturę systemu by wykorzystywała mechanizmy zarządzania i bezpieczeństwa oferowane przez chmurę, a nie te, które są stosowane w tradycyjnych centrach danych. „Środowiska chmury publicznej zapewniają mniejszą liczbę incydentów dotyczących bezpieczeństwa, ale można to uzyskać tylko jeśli firma wykorzysta dostępne w chmurach narzędzia do zaprojektowania bezpiecznej infrastruktury. Jak wynika z doświadczeń, największe i najgłośniejsze włamania takie, jak do systemów Yahoo, rozpoczęły się od ataku na prostą aplikację webową. I właśnie takie najmniej ważne aplikacje często stwarzają później największe problemy” podkreśla Misha Govshteyn. Jego rekomendacja: należy odizolować każdą aplikację lub mikro-usługę od innych tworząc dla nich własne, wirtualne chmury prywatne, bo to umożliwia istotne ograniczenie zakresu każdego potencjalnego włamania. Wdrażając system chmurowy nie warto łatać luk w starym oprogramowaniu, lepiej jest stworzyć nową infrastrukturę wykorzystującą najnowsze dostępne wersje kodu, a stary system po prostu wyrzucić. „Warto wykorzystać mechanizmy zapewniające automatyzację, które dają taki poziom kontroli nad chmurową infrastrukturą jakiego nie można uzyskać w tradycyjnych centrach danych” mówi Misha Govshteyn.

3. Punkty łączące różne systemy. Warto dokładnie zidentyfikować wszystkie punkty, które służą do połączeń między systemem chmurowym, a tradycyjnym centrum danych pracującym pod kontrolą przestarzałego oprogramowania. „Są one źródłem największych problemów, co potwierdzają prezentowane wyżej analizy z których wynika, że największa, średnia liczba incydentów bezpieczeństwa pojawia się właśnie w chmurach hybrydowych” mówi Misha Govshteyn.

Ale nie wszystkie elementy klasycznej strategii bezpieczeństwa muszą być zmieniane w przypadku migracji do systemów opartych na chmurze.

„Na przykład zastosowanie tych samych mechanizmów dogłębnej kontroli treści do detekcji zagrożeń i analiz śledczych zarówno w wypadku chmury, jak lokalnego centrum danych jest dobrą ideą. Firmy z reguły wykorzystują takie rozwiązanie by zapewnić spójność architektury zabezpieczeń i zmniejszyć prawdopodobieństwo pojawienia się luk w systemie bezpieczeństwa” mówi Tom Clavel, dyrektor w firmie Gigamon.

„Problemem jest uzyskanie dostępu do strumienia przesyłanych w sieci danych w celu ich analizy. W przypadku tradycyjnych centrów danych dostęp do treści jest względnie łatwy i jest wiele metod pozwalających na analizę treści. Bieżąca analiza danych w chmurze jest znacznie trudniejsza. Nawet jeśli ruch w sieci będzie kontrolowany, przesłanie treści do analizy przez narzędzia zainstalowane w firmowym centrum danych jest ekstremalnie kosztowne i nieefektywne, chyba, że zastosowane zostaną mechanizmy sztucznej inteligencji” dodaje Tom Clavel.

Problemy z kontrolą zagrożeń w chmurze

Jedną z obaw, którą wyrażają ankietowani przez VansonBourne jest to, że chmura tworzy martwe punkty w systemie bezpieczeństwa. Połowa z respondentów uważa, że w chmurze ukryte zostają niektóre informacje pozwalające na identyfikację pojawiających się zagrożeń.

W systemach chmurowych brakuje informacji jakie dane są zaszyfrowane (uważa tak 48% ankietowanych), jakie aplikacje lub ruch są niebezpieczne (47%) oraz mechanizmów sprawdzania ważności certyfikatów SSL/TSL (35%).

W środowiskach hybrydowych sytuacja jest jeszcze gorsza bo dodatkowo pracownicy IT odpowiedzialni za bezpieczeństwo mogą mieć problemy z określeniem, gdzie dane są w rzeczywistości zlokalizowane, tak uważa 49% ankietowanych.

Żeby uzyskać lepszą widoczność i kontrolę danych oraz aplikacji warto dobrze przemyśleć i zaplanować, jak zorganizować i wdrożyć system bezpieczeństwa. „Czy wszystko zostanie zmigrowane do chmury, czy też będzie ona tylko rozszerzeniem firmowego centrum danych? W obu przypadkach możliwość widoczności i kontroli ruchu generowanego w sieci przez aplikacje ma kluczowe znaczenie dla efektywności strategii dotyczącej bezpieczeństwa. Im więcej widzisz, tym jesteś bardziej bezpieczny” mówi Tom Clavel.

„Żeby zapewnić dobrą widoczność działania systemu trzeba przede wszystkim określić w jaki sposób dane mają być zbierane, agregowane i przesyłane w sieci do narzędzi związanych z zapewnianiem bezpieczeństwa takich jak systemy IDS (Intrusion Detection System), SIEM (Security Information and Event Management), DLP (Data Loss Prevention), ATD (Advanced Threat Detection) itp. A następnie wdrożyć procedury SecOps by zautomatyzować odpowiedź na wykrywane zagrożenia” radzi Tom Clavel.

Ograniczony dostęp do informacji o stanie systemu może stworzyć problemy z zapewnieniem zgodności z regulacjami GDPR uważa 66% ankietowanych. A tylko 59% uważa, że ich firma spełni nowe wymagania prawne przed ich wprowadzeniem w życie w maju 2018 roku.

Kto odpowiada za bezpieczeństwo?

62% ankietowanych uważa, że własny ośrodek SOC (Security Operations Center) jest najlepszym rozwiązaniem, które pozwala na kontrolę danych i ruchu w sieci oraz zapewnienie odpowiedniego poziomu bezpieczeństwa w środowisku chmurowym.

Jednak uzyskanie pełnej kontroli i widoczności działania systemu jest dla wielu firm trudnym zadaniem ze względu na ich strukturę organizacyjną.

Dział SOC jest odpowiedzialny za bezpieczeństwo środowiska chmurowego w 69-procentach ankietowanych firm, ale w jego pracę zaangażowani są też specjaliści od zarządzania chmurą oraz infrastrukturą sieciową.

To powoduje pewne zamieszanie dotyczące zadań, odpowiedzialności oraz zasad współpracy między różnymi zespołami pracowników. 48% ankietowanych przyznaje, że brak takiej współpracy jest największą przeszkodą w efektywnej identyfikacji zagrożeń.

W firmach, odpowiedzialność za działanie systemu IT jest często podzielona między zespoły zajmujące się siecią, chmurą i bezpieczeństwem, które mają własne budżety, własnych menedżerów, a nawet korzystają z różnych, niezależnych narzędzi do zarządzania. Efektywne zabezpieczenie chmury wymaga przełamania barier hamujących komunikację między tymi zespołami. Bo narzędzia do ochrony centrum danych mogą zostać wykorzystane również do zabezpieczenia środowiska chmurowego” zwraca uwagę Tom Clavel.

W firmach, które skonsolidowały różne zespoły pracowników w ramach jednego centrum SOC lub przynajmniej przydzieliły im wspólny budżet i kierownictwo, systemy zabezpieczeń są bardziej elastyczne, umożliwiają szybsze podejmowanie decyzji i zapewniają spójny poziom ochrony przed zagrożeniami zarówno w centrum danych, jak i chmurze.