Jak zabezpieczać chmury publiczne, prywatne i hybrydowe

Zagrożenia, na jakie narażone są chmury publiczne, prywatne i hybrydowe, są zróżnicowane. Dlatego, w zależności od typu wdrożenia, potrzebne są różne narzędzia i struktury organizacyjne, aby zapewnić bezpieczeństwo środowiska chmurowego.

Powszechna migracja w kierunku chmury zmusiła wiele firm do przeanalizowania od podstaw strategii bezpieczeństwa. Pojawia się podstawowe pytanie: czy w ogóle jest potrzebna nowa strategia, aby zabezpieczyć chmurę? Czym różni się strategia bezpieczeństwa chmury od dotychczasowej? Ostatnie badania i analizy rzuciły światło na to, jak zmieniają się strategie bezpieczeństwa. Co ważniejsze, pokazały też, jak powinny się zmieniać.

Przeniesienie większej części infrastruktury IT do chmury jest pod pewnymi względami bezpieczniejsze niż utrzymywanie jej lokalnie. Na przykład można być pewnym, że system w chmurze korzysta z najnowszych wersji oprogramowania z wszelkimi poprawkami. Dostawcy usług w chmurze oferują również szereg dodatkowych usług, np. mechanizmy sztucznej inteligencji do wykrywania anomalii. Z drugiej strony trzeba się liczyć z nowymi zagrożeniami, z których część bierze się z niezrozumienia sposobu zarządzania bezpieczeństwem w chmurze.

Zobacz również:

Ważne, aby wiedzieć, jak strategia chmurowa IT firmy – niezależnie od tego, czy jest to chmura hybrydowa, prywatna czy publiczna – wpływa na strategię bezpieczeństwa informatycznego i realizację tej strategii.

Ryzyko związane z przechowywaniem poufnych danych w chmurze rośnie. W październiku 2018 r. McAfee opublikował raport dotyczący adaptacji i ryzyka chmury. Badania te wykazały, że udostępnianie poufnych danych w chmurze wzrosło o 53% w porównaniu z poprzednim rokiem – to ogromny skok. Ze wszystkich plików w chmurze aż 21% zawiera poufne dane, z czego 48% jest następnie udostępnianych. Co jest przechowywane w tych plikach? Są to poufne dane firmy, np.: własność intelektualna (27%), wiadomości e-mail (20%), dane chronione hasłem (17%), dane osobowe (16%), dane dotyczące płatności (12%) i osobiste dane dotyczące zdrowia (9%).

Przy tak dużej ilości poufnych danych w chmurze i udostępnianiu ich w chmurze zagrożenie atakami hakerskimi nie jest jedynym ryzykiem. McAfee odkrył, że w przedsiębiorstwach działa średnio 14 źle skonfigurowanych systemów infrastruktury (IaaS), co powoduje średnio 2200 przypadków miesięcznie polegających na nieumyślnym publicznym udostępnieniu danych.

Chmurowe zagrożenia

Trzy zasady minimalizowania zagrożeń chmurowych wg Alert Logic

  • Korzystaj z tzw. białej listy aplikacji i blokuj dostęp do wszystkich pozostałych programów. Dobór dopuszczalnych programów można przeprowadzić na zasadzie oceny ich przydatności kontra ryzyko, jakie ze sobą niosą.
  • Zrozum własny proces instalowania łatek i ustal priorytety wdrażania poprawek.
  • Ogranicz uprawnienia administracyjne i dostęp na podstawie bieżących obowiązków użytkownika. Wiąże się to z ciągłym aktualizowaniem uprawnień do aplikacji i systemów operacyjnych.

Dane pochodzące od dostawcy zabezpieczeń w chmurze Alert Logic pokazują charakter i skalę ryzyka dla każdej formy środowiska chmurowego w porównaniu do lokalnego centrum danych. Przez 18 miesięcy firma przeanalizowała 147 petabajtów danych od ponad 3800 klientów, aby określić i sklasyfikować incydenty bezpieczeństwa, których w tym czasie zidentyfikowano ok. 2,2 mln.

Środowiska hybrydowe doświadczyły największej średniej liczby incydentów w przeliczeniu klienta (977), drugie miejsce zajęła hostowana chmura prywatna (684), trzecie lokalne centrum danych (612), a ostatnie chmura publiczna (405).

Zdecydowanie najczęstszym typem incydentu był atak na aplikacje internetowe (75%), następnie ataki brute-force (16%), rekonesans (5%) i ransomware po stronie serwera (2%). Najczęstszymi celami ataków na aplikacje internetowe były serwery SQL (47,74%), Joomla (26,11%), Apache Struts (10,11%) i Magento (6,98%). Wordpress był najczęstszym celem ataków siłowych (41%), a po nim serwer MS SQL (19%).

Niezależnie od tego, z jakim rodzajem chmury mamy do czynienia, dominują ataki na aplikacje internetowe. Różnice między nimi polegają na poziomie zagrożenia. Dane pokazują również, że niektóre platformy są bardziej zagrożone atakami niż inne. Przykładem jest powszechnie używany stos LAMP (Linux, Apache, MySQL, PHP), znacznie bardziej podatny na ataki niż stos aplikacji wykorzystujący oprogramowanie Microsoftu.

Systemy zarządzania treścią, w szczególności Wordpress, Joomla i Django, są wykorzystywane jako platformy dla aplikacji internetowych znacznie częściej niż się wydaje, a jednocześnie te systemy zawierają liczne luki. Możliwe jest wdrażanie tych systemów w bezpiecznym miejscu, ale tylko wtedy, jeśli rozumie się, jakie struktury i platformy internetowe będą używane przez zespoły programistów. Niestety, większość osób zajmujących się bezpieczeństwem ledwo zwraca uwagę na te szczegóły i podejmuje decyzje na podstawie złych założeń.

Sześć głównych zagrożeń w chmurze

ShieldX, dostawca platformy bezpieczeństwa w chmurze, przedstawia sześć kategorii zagrożeń chmurowych, z którymi wg ekspertów tej firmy najczęściej będą zmagać się użytkownicy chmury. Większość organizacji będzie miała trudności z ograniczeniem ryzyka wynikającego z tych zagrożeń ze względu na lukę, jaka istnieje między stosowanymi obecnie środkami obrony a charakterem tych zagrożeń. Problem wynika przede wszystkim z faktu przejścia z serwerów fizycznych na wirtualne. Zabezpieczenia muszą zostać dostosowane do ochrony centrów danych, w których zasoby są zwirtualizowane. Narzędzia bezpieczeństwa w chmurze muszą być bardzo dynamiczne, umieszczone tam, gdzie są potrzebne i we właściwej skali.

1. Atak krzyżowy. Atak typu cross-cloud pozwala hakerowi np. uzyskanie dostępu do systemów lokalnych i systemów w chmurze prywatnej za pośrednictwem chmury publicznej. Systemy w chmurze publicznej przejęte przez atakujących mogą ułatwić ekspansję ataku na chmurę prywatną.

Ryzyko można ograniczyć, jeśli zadba się o odpowiednie zabezpieczenia, ale wdrażając chmurę publiczną, firmy często nie odnotowują faktu, że przesuwa się obszar, który wymaga zabezpieczenia. Chmury publiczne nie oferują takich samych zabezpieczeń jak środowiska lokalne i trudno jest przenieść do nich tradycyjne zabezpieczenia. Trzeba jednak podjąć działania zaradcze, ponieważ liczba ataków na chmurę rośnie, a hakerzy monitorują te środowiska i gdy tylko wykryją słabiej zabezpieczone zasoby, atakują. Problematyczne jest również utrzymywanie różnych zabezpieczeń systemów lokalnych i chmurowych, ponieważ to może prowadzić do pozostawania luk.

2. Atak na centrum danych. Gdy haker włamie się do centrum danych, następnym krokiem może być rozszerzenie ataku. Jest to możliwe, ponieważ połączenia wewnątrz centrum danych są uważane za zaufane. Jeśli atakujący dostanie się do jakiegoś systemu w centrum danych, jest w stanie z niego dość łatwo dostać się do innych systemów. Dlatego ruch wewnątrz centrum danych warto przepuszczać przez podobne zabezpieczenia, takie jak ruch na brzegu sieci lokalnej i publicznej.

3. Ataki w zróżnicowanym środowisku. W środowisku współdzielonym, przeznaczonym do obsługi różnych systemów, hakerzy są w stanie wykorzystywać ruch sieciowy przechodzący między użytkownikami chmury. Użytkownicy mogą zakładać, że dostawca zabezpieczył infrastrukturę chmurową, ale w rzeczywistości to użytkownicy są odpowiedzialni za wdrożenie większości zabezpieczeń. Dlatego przepuszczanie ruchu przez wielowarstwowy system zabezpieczeń zmniejszy ryzyko tego rodzaju ataków, ale dostawca chmury musi zapewnić możliwość umieszczenia zabezpieczeń tam, gdzie są potrzebne.

4. Ataki między systemami. Obciążenia chmurowe i zwirtualizowane, a także kontenery mogą łatwo komunikować się między sobą. Jeśli jeden system jest źle zabezpieczony, osoba atakująca może za jego pośrednictwem uzyskać dostęp do innych. Obrona przed atakami typu cross-workload jest trudna. Można zablokować komunikację między systemami, wtedy będą bezpieczne, ale nie będą w stanie wykonać funkcji, do których zostały zaprojektowane. Systemy o podobnych wymaganiach bezpieczeństwa powinny być umieszczone w strefie, która oprócz podstawowej segmentacji sieci ma odpowiednie zabezpieczenia do monitorowania ruchu.

5. Ataki orkiestracyjne. Orkiestracja w chmurze umożliwia realizację wielu kluczowych zadań, takich jak: administrowanie, wdrażanie serwerów, zarządzanie pamięcią masową i siecią, zarządzanie tożsamością i uprawnieniami oraz instalację systemów. Hakerzy zazwyczaj przeprowadzają ataki orkiestracji w celu kradzieży loginów kont lub prywatnych kluczy kryptograficznych. Dzięki temu atakujący może wykonywać czynności orkiestracyjne, aby uzyskać kontrolę i dostęp. Im wyższy uprawnienia jest w stanie uzyskać haker, tym więcej szkód jest w stanie zrobić. Sposób obrony przed atakami orkiestracji polega na monitorowaniu czynności wykonywać przez administratora. Te ataki wymagają nowego rodzaju sposobów monitorowania potrafiących wykryć nietypowe zachowania administratora.

6. Ataki na systemy bezserwerowe. Aplikacje bezserwerowe umożliwiają organizacjom szybkie uruchamianie funkcji w chmurze bez konieczności budowania lub rozbudowywania infrastruktury. Zrealizowane dzięki usługom FaaS (Function as a Service) otwierają nowe pole do popisu hakerom, a przed osobami odpowiedzialnymi za bezpieczeństwo sieci stawiają nowe wyzwania. Przykładowo nowa funkcja może mieć dostęp do poufnych zasobów, takich jak baza danych. Jeśli uprawnienia do tej funkcji są niepoprawnie skonfigurowane, osoba atakująca jest w stanie wykonać wiele zadań za pośrednictwem tej funkcji. Obejmuje to dostęp do danych lub tworzenie nowych kont. Podobnie jak w przypadku ataków orkiestracyjnych, najlepszym sposobem na wykrycie ataku bezserwerowego jest monitorowanie czynności wykonywanych przez użytkowników w połączeniu z kontrolą ruchu w sieci.

Zabezpieczanie chmury

73% respondentów sondażu przeprowadzonego przez firmę Vanson Bourne oczekuje, że większość aplikacji będzie działać w chmurze publicznej lub prywatnej. Jednak 35% uważa, że zabezpieczenie sieci w chmurze publicznej odbywa się podobnie jak w przypadku sieci lokalnej. Pozostali, choć niechętnie, dostrzegają, że chmura wymaga zmiany dotychczasowej strategii bezpieczeństwa.

Oczywiście, nie każda firma migruje wrażliwe lub krytyczne dane do chmury. Im mniejszej wartości dane, tym mniej powodów, aby zmieniać strategię. Jednak większość firm przenosi krytyczne i poufne informacje (56%) lub zasoby marketingowe (53%). 47% spodziewa się, że w chmurze będą możliwe do zidentyfikowania dane osobowe, co ma konsekwencje w związku z nowymi, europejskimi przepisami dotyczącymi ochrony danych osobowych (GDPR).

Biorąc pod uwagę stawkę, nie jest zaskoczeniem, że 62% respondentów uważa, że za bezpieczeństwo IT powinny odpowiadać specjalnie powoływane zespoły, określane często mianem SOC (Security Operations Center). Połowa ankietowanych deklaruje, że już sama świadomość, jakimi kanałami odbywa się ruch sieciowy i gdzie są przechowywane dane, byłaby dla nich zadowalająca. Kontrolowanie ruchu sieciowego czy osiągnięcie pełnej widoczności jest wyzwaniem dla wielu firm ze względu na strukturę organizacyjną. Podczas gdy zespoły bezpieczeństwa są odpowiedzialne za ochronę chmury u 69% respondentów, to zdarza się, że w te procesy zaangażowane są również zespoły zarządzające chmurą lub zarządzające siecią (54%). To utrudnia ustalenie, kto jest odpowiedzialny za bezpieczeństwo chmury i jak poszczególne zespoły powinny ze sobą współpracować. Potwierdzają to wyniki badań. 48% respondentów uważa, że brak współpracy między zespołami jest największą przeszkodą w identyfikowaniu i raportowaniu incydentów bezpieczeństwa.

Narzędzia, architektura i punkty połączeń

Aby zapewnić bezpieczeństwo w chmurze, firmy powinny skupić się na trzech głównych obszarach, jakimi są: narzędzia, architektura i punkty połączeń. Jeżeli chodzi o narzędzia, zabezpieczenia wdrażane w środowiskach chmurowych muszą być dostosowane do rodzaju chmury i być w stanie chronić aplikacje internetowe oraz systemy chmurowe. Technologie bezpieczeństwa opracowane do ochrony punktów zabezpieczają przed wektorami ataków, które są rzadko spotykane w chmurze. Jednocześnie niezbyt dobrze radzą sobie z najpopularniejszymi atakami na środowiska chmurowe. Ataki na punkty końcowe koncentrują się na przeglądarkach internetowych i oprogramowaniu klienckim, podczas gdy zagrożenia infrastrukturalne są ukierunkowane na serwery i aplikacje.

Co do architektury – powinna być opracowana tak, by pozwolić na wykorzystanie zysków związanych z bezpieczeństwem i zarządzaniem chmurą, ale nie może to być ta sama architektura, która jest używana w tradycyjnych centrach danych. Badania potwierdzają, że publiczna chmura charakteryzuje się mniejszą liczbą incydentów niż lokalne centra danych. Jednak tak jest tylko wtedy, jeśli korzysta się z możliwości chmury w celu zaprojektowania bezpieczniejszej infrastruktury. Zaleca się izolowanie każdej aplikacji, co zmniejsza możliwość eskalacji w przypadku ataku. Największe ataki, np. na Yahoo, zaczęły się od złamania zabezpieczeń trywialnych aplikacji internetowych, dlatego nie można zapominać o zabezpieczeń także najmniej istotnych aplikacji. Ponadto nie należy przenosić starej infrastruktury do chmury. Zamiast tego należy wdrożyć nową infrastrukturę chmurową z najnowszym kodem i wycofać starą infrastrukturę.

Punkty połączeń to miejsca, w których środowisko chmurowe jest połączone z tradycyjnymi centrami danych. Są to prawdopodobnie największe źródła problemów, ponieważ widać wyraźny trend, że środowiska hybrydowe charakteryzują się największą liczbą incydentów związanych z bezpieczeństwem.

Po migracji do chmury firmy nie muszą zmieniać całej dotychczasowej strategii bezpieczeństwa. Wykorzystanie również w chmurze mechanizmów głębokiej inspekcji ruchu sieciowego nie jest złym pomysłem. Firmy zazwyczaj dążą do tego, aby ich architektury zabezpieczeń były spójne, co umożliwia ograniczenie luk w bezpieczeństwie.