Jak zapewnić bezpieczeństwo systemu IT korzystającego z chmury

Chmura jest bezpiecznym miejscem dla danych i aplikacji, ale zapewnienie bezpieczeństwa systemu IT korzystającego z usług chmurowych jest bardziej skomplikowane i wymaga zrozumienia na czym polega model współdzielonej odpowiedzialności oraz wdrożenia przez użytkownika dodatkowego zestawu mechanizmów ochrony danych, dostępu i komunikacji.

Według raportu EY „Transformacja cyfrowa firm 2020” opublikowanego w marcu 2021 roku, 64% polskich firm już wdrożyło rozwiązania chmurowe, a 26% zamierza to zrobić w ciągu najbliższych 12-18 miesięcy.

Dlatego też kwestie związane z zapewnieniem bezpieczeństwa systemów IT korzystających z usług chmurowych to obecnie ważny temat.

Bezpieczeństwo chmury jest oparte na modelu współdzielonej odpowiedzialności. Dostawcy chmury publicznej zapewniają bezpieczeństwo platform, które oferują usługi, ale użytkownicy są nadal odpowiedzialni za zabezpieczanie kanałów komunikacyjnych, danych i procesów, które uruchamiają w chmurze, podobnie jak w systemach korzystających tylko z lokalnych centrów danych.

W efekcie, wdrożenie bezpiecznego systemu chmurowego składa się z dwóch elementów – wyboru dostawcy usług chmurowych oraz oprogramowania do kontroli praw dostępu, zabezpieczania aplikacji oraz danych przesyłanych do lub z chmury.

To powoduje oczywiście zwiększenie złożoności i utrudnienie procesów migracji do chmury. Dodatkowo należy pamiętać, że narzędzia bezpieczeństwa powinny być dobrze zintegrowane z usługami chmurowymi określonego dostawcy, a w przypadku systemów hybrydowych także z infrastrukturą wykorzystywaną w lokalnych centrach danych.

Z tych problemów zdają sobie sprawę dostawcy usług chmurowych i rozwijają własne, dodatkowe usługi związane z bezpieczeństwem, ale przede wszystkim współpracują z firmami specjalizującymi w tej dziedzinie. W efekcie coraz częściej pojawiają się oferty usług infrastrukturalnych IaaS lub PaaS, których elementem są też dodatkowe usługi pozwalające na stworzenie kompletnego systemu IT wyposażonego w zaawansowane funkcje bezpieczeństwa, które można dopasować zgodnie z wymaganiami konkretnego użytkownika.

Dobrym przykładem, jak to wygląda w praktyce może być rozwiązanie oferowane przez AWS (Amazon Web Services) i Fortinet, które umożliwia wdrażanie spójnych zasad bezpieczeństwa w środowiskach chmurowych i lokalnych.


Zapraszamy na webinarium Zautomatyzowane bezpieczeństwo w chmurze które odbędzie się 22 kwietnia o godz. 10:00 . W trakcie spotkania zdobędziesz praktyczną wiedzę, jak utworzyć centrum usług w chmurze zintegrowane z AWS Transit Gateway, które może udostępniać usługi bezpieczeństwa w całej organizacji - w tym w środowiskach lokalnych i hybrydowych.

Zarejestruj się już teraz.

Adaptacyjne bezpieczeństwo dla chmury AWS

Platforma Fortinet Security Fabric zostało natywnie zintegrowane z chmurą AWS i zapewnia pełną widoczność i kontrolę aplikacji, możliwość centralnego zarządzania bezpieczeństwem oraz funkcje automatyzujące reakcję na zagrożenia również w środowiskach hybrydowych obejmujących chmurę i lokalne centra danych.

W efekcie firmy mogą wykorzystać elastyczność, dostępność i skalowalność chmury AWS do budowania scentralizowanych zabezpieczeń wykorzystujących Cloud Security Services Hub oferowany przez Fortinet i zaspokajający różnorodne wymagania biznesowe.

Takie skoncentrowanie usług bezpieczeństwa ułatwia firmom zapewnienie odpowiedniego poziomu bezpieczeństwa w modelu współodpowiedzialności, gdyż chroniona może być nie tylko infrastruktura chmurowa (odpowiedzialność dostawcy), ale również również inne elementy systemu przy zachowaniu spójnej polityki bezpieczeństwa w całej infrastrukturze obejmującej także lokalne centra danych (odpowiedzialność użytkownika).

Użytkownikom chmury AWS rozwiązania Fortinet udostępniają różnorodne funkcje bezpieczeństwa, którymi można centralnie zarządzać. Są one zintegrowane za pośrednictwem platformy Fortinet Security Fabric. Wszystkie rozwiązania wykorzystują natywną dla chmury AWS zdolność do ich automatycznego skalowania i replikowania w innych regionach.

Wśród najważniejszych można wymienić:

  • Kontrolę dostępu przy wykorzystaniu FortiGate NGFW. Centrum usług bezpieczeństwa w chmurze zapewnia kontrolę dostępu na podstawie tagów zasobów chmury, adresów IP, usług TCP i zasad kontroli aplikacji zarówno dla ruchu wychodzącego, jak i przychodzącego.
  • System VPN. Centrum usług bezpieczeństwa w chmurze umożliwia wykorzystanie FortiGate NGFW do ustanawiania i utrzymywania bezpiecznej łączności VPN z oddziałami, innymi centrami danych oraz zdalnymi biurami i użytkownikami. Zapewnia to bezpieczeństwo i poufność ruchu we współdzielonych zasobach.
  • Bezpieczna brama internetowa. Fortigate NGFW może być używany jako punkt dostępu do Internetu dla firmowych biur, oddziałów oraz użytkowników zdalnych. W takiej konfiguracji, centrum usług bezpieczeństwa Fortinet w chmurze wymusza odpowiednie zasady korzystania z Internetu przez pracowników firmy i ogranicza ryzyko związane z internetowymi zagrożeniami.
  • Bezpieczeństwo aplikacji internetowych. Zapora FortiWeb WAF (Web Application Firewall) może służyć jako punkt wejścia dla ruchu internetowego uzyskującego dostęp do aplikacji internetowych. Pozwala to na wykorzystanie centralnego zestawu zasad bezpieczeństwa w celu ochrony krytycznych aplikacji biznesowych przed wyrafinowanymi atakami, a także zapewnienie zgodności z wymogami regulacyjnymi, takimi jak PCI DSS (Payment Card Industry Data Security Standard).
  • Bezpieczeństwo poczty elektronicznej. Gdy chmura służy jako brama internetowa dla ruchu przychodzącego lub gdy aplikacje pocztowe znajdują się w chmurze, rozwiązanie FortiMail może zostać wdrożone jako zapewniająca bezpieczeństwo brama poczty elektronicznej SEG (Secure Email Gateway). Pomaga to w zwiększeniu dostępności różnych usług pocztowych i zapewnia elastyczność w przypadku globalnego wdrażania poczty e-mail.
  • Piaskownica Sandbox. Ochrona środowisk chmurowych przed atakami dnia zerowego staje się coraz ważniejsza. Jednym z rozwiązań Fortinet dostępnych w chmurze jest FortiSandbox, którą można zintegrować z FortiGate w celu skanowania dowolnego ruchu. A wykorzystanie FortiSandbox JSON API pozwala również na ochronę aplikacji. FortiSandbox można również skalować do zasobników pamięci masowej w chmurze Amazon S3 za pomocą funkcji lambda. Dodatkowo wykorzystanie NFS pozwala na integrację z AWS Storage Gateway i skanowanie plików przechowywanych na AWS S3 w celu ich analizy pod kątem nieznanych zagrożeń. Obecnie ma to duże znaczenie w systemach mających zapewnić wysoki poziom bezpieczeństwa.

Zaniedbane bezpieczeństwo

Bezpieczeństwo systemu wykorzystującego usługi chmurowe zależy głównie od użytkowników. Zdecydowana większość udanych włamań i wycieków danych wynika z zaniedbań firm, a nie dostawców usług.

Dobrą ilustracją dla tego stwierdzenia może być raport Security 2020 State of Public Cloud Security Risks opublikowany niedawno przez firmę Orca Security. Powstał on na bazie analizy danych z ponad dwóch milionów skanów ruchu sieciowego przeprowadzonych za pomocą narzędzia Orca SideScanning. Ruch ten był związany z 300 tysiącami zasobów klientów firmy Orca, które znajdowały się w chmurach AWS, Azure i Google Cloud.

Z raportu Orca wynika, że:

  • 23,5% firm nie używa mechanizmów wieloskładnikowego uwierzytelniania dostępu do chmurowego konta przez mających pełne uprawnienia administratorów.
  • 19,3% przedsiębiorstw ma co najmniej jeden zasób połączony z Internetem za pośrednictwem nie kontrolowanych przez firmę danych uwierzytelniających.
  • 43,9% - w prawie połowie badanych firm analitycy Orca wykryli związany z Internetem ruch zawierający tajemnice i dane uwierzytelniające, co stwarza duże ryzyko włamania i penetracji systemu.
  • 77,2% aż w tylu firmach, 10% lub więcej wewnętrznego ruchu w sieci nie jest odpowiednio zabezpieczone. Przede wszystkim dotyczy to korzystania z nie wspieranych już przez producenta lub nie aktualizowanych na bieżąco systemów operacyjnych.
  • 5,3% firm ma co najmniej jeden zasób do którego dostęp jest zabezpieczony za pośrednictwem słabych lub ujawnionych haseł.

Model współdzielonej odpowiedzialności za bezpieczeństwo systemu IT wykorzystującego usługi chmurowe

Użytkownik korzystający z usług jest odpowiedzialny za bezpieczeństwo:

  • Danych należących do firmy
  • Aplikacji i systemów zarządzania prawami dostępu do aplikacji I danych
  • Wykorzystywanych systemów operacyjnych
  • Konfigurację parametrów system sieciowego i chroniących go zapór sieciowych
  • Wdrożenie mechanizmów szyfrowania ruchu sieciowego oraz kontrolę integralności danych

Dostawca platform chmurowej jest odpowiedzialny za bezpieczeństwo:

  • Serwerów przetwarzających dane
  • Baz danych
  • Pamięci masowej w której dane są przechowywane
  • Systemu sieciowego
  • Infrastruktury brzegowej
  • Usług i poziomu ich dostępności w różnych regionach i obszarach