14 wskazówek jak chronić aplikacje w chmurze
- Computerworld,
- 05.02.2015
Bezpieczeństwo aplikacji chmurowych wymaga kompleksowej strategii, która zachowa równowagę między potrzebami biznesowymi pracowników, a restrykcyjnymi wymaganiami technicznymi narzucanymi przez IT. Przedstawiamy 14 wskazówek jak zaimplementować właściwą politykę bezpieczeństwa przy jednoczesnym udostępnianiu aplikacji w chmurze.
Należy wprowadzić standardowy zestaw kryteriów opisująych adopcję aplikacji chmurowych w strukturze informatycznej firmy. IT powinno wprowadzić technologię, ale jednocześnie zaangażować w proces osoby zajmując e się biznesem. Następnie wyraźnie przedstawiać dobre i złe strony różnych opcji oraz ograniczenia samej technologii...
Skontaktuj się z także z dostawcami swoich aplikacji. Już na poziomie rozpatrywania zapytań ofertowych wymagaj od sprzedawców kompleksowego przedstawienia technologii, których używają, posiadanych certyfikatów oraz informacji o zgodności ze wspólnymi standardami takimi jak np. CSA Cloud Control Matrix.
Wdrażając aplikacje do chmury musisz się liczyć z ryzykiem. Cytując Cloud Security Alliance Notorious Nine, wśród największych zagrożeń w związanych z chmurą w ostatnim czasie jest „pchanie aplikacji i serwerów do chmury bez kompletnego zrozumienia środowisk tych dostawców, przez co organizacje wystawiają się na zagrożenia, na które kompletnie nie są przygotowane”. Zapoznaj się dobrze z umową dotyczącą gwarancji poziomu świadczenia usług twojego dostawcy (Service Level Agreement, SLA).
Przygotuj model zagrożeń dla każdej aplikacji, którą zamierzasz udostępnić w chmurze. Dzięki temu identyfikujesz potencjalne zagrożenia techniczne i biznesowe, niezależnie od tego jak mogą być wykorzystywane. Określasz plan użytkowania, ryzyko i szkody, które mogą wyniknąć.
Uwaga: Alternatywnie, możesz wybrać opracowania początkowych zagrożeń i określić wymagania w oparciu o prawdopodobieństwa i wskazane krytycznie zagrożenia.
Wybierz dopuszczalny poziom ryzyka, który będzie komfortowy dla twojej firmy, gdy ta zacznie korzystać z serwisów zakładających współdzielenie danych czy rozwiązań. Podstawą powinno być zrozumienie umowy i określenie odpowiednich słabych punktów. Zasadniczo jednak należy być przygotowanym na ryzyko, że jeśli jakikolwiek inny klient danego dostawcy będzie zagrożony – to Twoja firma także.
Chroń swoje aplikacje w chmurze przed atakami socjotechnicznymi mającymi na celu przejęcie tożsamości pracownika oraz programami zewnętrznymi polegającymi na złamaniu systemów autoryzacji. Skorzystaj z dodatkowych zabezpieczeń, takich jak m.in. dwuetapowy system logowania czy jednorazowe hasła. To ważne, ponieważ użytkownicy coraz częściej łączą się z niezliczonej ilości urządzeń w różnych miejscach (celowo lub nawet przypadkowo) przez WiFi bądź sieci publiczne.
Istnieje duże prawdopodobieństwo błędów, jeżeli użytkownicy muszą pamiętać kilka zestawów haseł dla różnych aplikacji w chmurze. Możesz zredukować ryzyko poprzez wprowadzenie Identity Federation wraz z klasyfikacją użytkowników (takich jak Active Directory lub LDAP), które wzmacniają mechanizm istniejącego już uwierzytelniania, i umożliwiają dostęp organizacją bądź osobą fizycznym z dostawcą chmury.
Upewnij się, że właściwa ochrona DDoS jest na swoim miejscu, aby odeprzeć te powszechne zewnętrzne ataki. Ponad 43% przedsiębiorstw ankietowanych podczas ósmego rocznego sprawozdania Bezpieczeństwa Infrastruktury, potwierdziło bycie ofiarą ataku DDoS, w wyniku którego nastąpiła częściowa lub całkowita awaria systemu. Kompleksowa ochrona DDoS pozwoli Ci chronić się przed atakami blokującymi użytkownikom dostęp do chmury.
Zdefiniuj i zastosuj procedury reagowania na incydenty w firmie (polityka tzw. Incident Response). Metody te muszą być uzgodnione z dostawcą Twojej chmury. Po ich ustaleniu, jasno wyznaczycie obowiązki między Wami - klientem a dostawcą. Ponadto, ataki będą obsługiwane i dokumentowane w sposób terminowy.
Jak mantrę powtarzamy oczywistość: przypadkowe usunięcie danych lub nadpisywanie może powodować trwałą utratę danych / plików w ten sam sposób co złośliwe oprogramowanie. Mając odpowiednie kopie zapasowe możesz zapobiegać nieodwracalnym szkodom spowodowanym zagrożeniami utraty danych w twojej firmie.
Świadomie chroń dane i prywatność podczas projektowania infrastruktury chmurowej. Uwzględnij przy tym różnorodność geograficzną. Zaleca się wdrożenie kontroli danych i prywatności uwzględniającą wymogi prawne w lokalizacji, gdzie dane mogą „fizycznie” przebywać.
Bazując na zdefiniowanym przez Ciebie ryzyku oraz odpowiedniej zgodności usług, najprawdopodobniej znajdziesz luki lub sytuacje, w których zabezpieczenia dostawcy nie identyfikują się odpowiednio ze stworzonym przez Ciebie modelem zagrożeń. To szansa dla Ciebie by zredukować ryzyko i wprowadzić czynniki ograniczające. Może to oznaczać minimalizację dostępu do ważnych danych, wyłączenie funkcji za pomocą narzędzi zabezpieczeń innej firmy, zmniejszenie ilości połączeń lub wprowadzenia innych narzędzi kontroli.
Nawet jeśli wdrożono różne metody bezpieczeństwa aplikacji w chmurze (szyfrowanie, DLP, antywirus, antymalware) to wciąż pozostają inne zagrożenia. W rezultacie, decyzją biznesową jest zintegrowanie nowych aplikacji w chmurze z procesami biznesowymi firmy. Podejmując decyzję należy zadać pytanie, czy ryzyko zagrożeń profilu aplikacji w chmurze, jest warte wobec biznesowych możliwości. Jednym z możliwych rozwiązań to powołanie grupy zadaniowej, składającej się z liderów biznesowych oraz IT, w celu zbadania tej kwestii.
Umieść w umowie z dostawcą klauzulę dotyczącą korzyści i kar, w celu wsparcia Twoich indywidualnych wymagań w zakresie technicznym, ustępstw związanych z ryzykiem, oczekiwań co do ich kontroli, do których są zobowiązani.
Poświadczenie aplikacji w chmurze to dopiero początek. Jest to jedynie wprowadzenie nowych środków zapobiegawczych, związanych z ryzykiem w twoim ekosystemie, nad którym musisz utrzymać kontrolę. Musisz być pewien, że zarządzanie aplikacjami w chmurze jest na właściwym miejscu. Kontroluj działalność poprzez szkolenie pracowników informacyjnych i egzekwowanie zasad użytkowania. Prowadź okresowe kontrole wydajności oraz ocenę ryzyka. Po prostu zachowaj czujność w przestrzeni stale narażonej na zagrożenia.
Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]