Dobre praktyki

Brak wyraźnie zarysowanych granic chmury obliczeniowej sprawia, że ochrona danych w takim środowisku jest utrudniona. Jednym z problemów jest określenie punktów, którymi włamywacz może się dostać do systemu. Może to być niezabezpieczone mobilne urządzenie klienta, aplikacja z luką w zabezpieczeniach, której używa kontrahent, czy administrator chmury, który nie dba należycie o bezpieczeństwo swoich haseł. To tylko niektóre scenariusze, jakie należy przeanalizować. Przy tym wszystkim zabezpieczenie tradycyjnej serwerowni jest czymś relatywnie prostym, wystarczy zapora sieciowa i IPS.

Ponieważ coraz częściej pracownicy, klienci czy dostawcy korzystają z urządzeń mobilnych, aby uzyskać dostęp do korporacyjnych aplikacji, rozwiązania chroniące brzeg sieci przestały wystarczać. Tradycyjne granice się zatarły, więc warto stosować się do kilku zasad, które zwiększą bezpieczeństwo korzystania z chmury.

Zobacz również:

• Złośliwe oprogramowanie w chmurze - nowy, niebezpieczny trend
• Chmurowe wsparcie ciągłości biznesowej

Przede wszystkim należy kontrolować, kto ma dostęp do jakich zasobów. Szczególnym nadzorem należy objąć osoby mające wyższe uprawnienia, jak administratorzy baz danych czy pracownicy z dostępem do szczególnie ważnych danych. Te osoby należy dokładniej pilnować, zapewnić im szkolenia z zakresu bezpiecznego przetwarzania danych i dokumentować szczegółowo, do jakich zasobów mają dostęp. Cloud computing wymaga współpracy pomiędzy ludźmi od bezpieczeństwa, pamięci masowych, serwerów i aplikacji, którzy siłą rzeczy mają dostęp do wartościowych danych. Przy takiej liczbie zaangażowanych osób ryzyko, że ktoś zejdzie na złą ścieżkę rośnie gwałtownie.

Poziom uprawnień warto powiązać z kontekstem użytkownika. Uprawnienia powinny się zmieniać w zależności od tego, gdzie użytkownik się znajduje i z jakiego korzysta urządzenia. Przykładowo, lekarz w godzinach pracy w szpitalu może mieć pełen dostęp do dokumentacji medycznej. Jeśli jednak korzysta z urządzenia mobilnego w kawiarni, dostęp do danych powinien być ograniczony. Należy zidentyfikować, które dane są wartościowe dla firmy i wymagają lepszej ochrony. Tego rodzaju dane powinny być objęte dodatkowymi zabezpieczeniami oraz monitoringiem. W przypadku urządzeń mobilnych należy zadbać o to, żeby dane służbowe były oddzielone od prywatnych. Można to osiągnąć, stosując rozwiązania MDM (Mobile Device Management). Taki system umożliwi również zarządzanie instalacją aktualizacji.

W środowisku chmury trzeba zadbać również o bezpieczeństwo sieci. Zastosowane zabezpieczenia muszą dawać możliwość dodatkowej kontroli oraz wglądu, jakie działania podejmują użytkownicy (kto do których zasobów próbuje uzyskać dostęp). Urządzenia ochronne powinny zapisywać istotne zdarzenia w plikach logów. Jest to konieczne z uwagi na przeprowadzanie audytów czy ewentualną analizę, gdy dojdzie do włamania. Te dane mogą również posłużyć do wykrycia anomalii wskazujących na włamanie do systemu. Warto wdrożyć dodatkową warstwę analityczną, która będzie zbierała wszystkie dane dotyczące bezpieczeństwa w jednym miejscu i dawała wgląd zarówno w środowisko lokalnej serwerowni, jak i w infrastrukturę chmury.

Kierunki rozwoju

Obserwując firmy, instytucje i dostawców usług chmurowych, można zauważyć kilka trendów, które będą kształtować krajobraz bezpieczeństwa cloud computing. Przede wszystkim klienci oczekują, iż dostawcy chmury zapewnią im taki sam poziom bezpieczeństwa, co w przypadku lokalnej infrastruktury. Widać, że oferta rynkowa zaczyna już dostosowywać się do tych oczekiwań. Niektórzy usługodawcy proponują taki poziom bezpieczeństwa jako dodatek do podstawowej oferty lub jako zasadniczą funkcjonalność, czym chcą się odróżnić od konkurencji. Obejmuje to każdą kategorię zabezpieczeń, które przedsiębiorstwa wykorzystują obecnie w swoich środowiskach.

Oczywiście będą się rozwijać również zabezpieczenia specyficzne dla środowisk chmurowych. Zamiast chronić na brzegu infrastruktury, będą bardziej nastawione na ochronę danych, gdziekolwiek te dane będą się pojawiać. Rozwiązania chmurowe chroniące dane z mechanizmami kontroli dostępu będą coraz częściej stosowane. Znane już od dłuższego czasu w sektorze finansowym czy rządowym wieloskładnikowe uwierzytelnianie wkrótce może stać się wymogiem również w chmurze publicznej. Rozwiązania cloud będą musiały dawać możliwości integracji z wewnętrznymi systemami przedsiębiorstw, aby obsługiwać tego rodzaju uwierzytelnianie. Część usług bezpieczeństwa będzie wręcz oferowana z chmury, jak np. Software as a Service. Należy się spodziewać, że oferta w tym obszarze będzie rosła i będą to coraz bardziej skomplikowane rozwiązania.

Zaobserwujemy coraz więcej wdrożeń Big Data, mających na celu analizę logów, w celu wykrycia nietypowych zdarzeń, wskazujących na przełamanie zabezpieczeń. Początkowo takie rozwiązania mogą stwarzać problemy z powodu zgłaszania dużej liczby fałszywych alarmów (false positive), ale gdy już nauczą się wzorców, ich skuteczność będzie rosła.

Tak jak częścią systemów antywirusów są mechanizmy współdzielenia wiedzy na temat wykrytych zagrożeń, które pozwalają na wczesną identyfikację zagrożeń członkom należącym do grupy, tak podobnych rozwiązań możemy spodziewać się w świecie zabezpieczeń chmur obliczeniowych.

Stopniowo będzie postępowała integracja zabezpieczeń z rozwiązaniami do budowy chmur. VMware, OpenStack, Eucalyptus czy inne platformy będą zawierały coraz więcej funkcji bezpieczeństwa. Ułatwi to użytkownikom dostosowanie zabezpieczeń do własnych potrzeb, co dotyczy zarówno chmury prywatnej, jak i publicznej.

Producenci oprogramowania będę mogli korzystać z interfejsów API, co pozwoli m.in. na zwiększenie bezpieczeństwa usług. W dłuższym okresie wiele aspektów bezpieczeństwa może zostać zamkniętych w platformach chmurowych. Podobnie jak to jest obecnie w przypadku serwerowych i klienckich systemów operacyjnych, które zawierają funkcje bezpieczeństwa, wcześniej dostępne jako oddzielne produkty od innych producentów. Należy również oczekiwać, że w obrazy systemów operacyjnych oferowanych przez dostawców chmury zostaną wbudowane dodatkowe zabezpieczenia, dobrze znane z korporacyjnych środowisk IT.