Zachmurzone bezpieczeństwo

Usługi prosto z chmury znalazły bardzo szybko swoją drogę do firm, także w Polsce. Nadal jednak marginalizuje się zagrożenia wynikające z przetwarzaniem danych poza firmowym środowiskiem IT.

Aplikacje chmurowe, chociaż wydają się całkiem naturalne i są doskonale znane przez końcowych użytkowników, nie zawsze nadają się do wykorzystania w firmach. Wiele z tych aplikacji, szczególnie przeznaczonych do pracy w środowisku smartfonów, nie posiada odpowiednich zabezpieczeń. Nie oznacza to, że środowiska chmurowego nie można odpowiednio zabezpieczyć – po wprowadzeniu właściwych założeń obejmujących między innymi kontrolę ruchu, aplikacja chmurowa może z powodzeniem służyć w przedsiębiorstwach. Niestety te aplikacje, które były projektowane wyłącznie pod kątem uruchomienia oczekiwanej funkcjonalności (kosztem bezpieczeństwa), mogą być dla firmy zagrożeniem.

Zły cień obcego IT

Jednym z negatywnych zjawisk związanych z chmurą jest tak zwane shadow IT, czyli wykorzystywanie przez pracowników aplikacji kupowanych bez zgody i wiedzy firmowego IT, przy czym oprogramowanie to jest połączone z usługami chmurowymi. Zjawisko to często występuje w przypadku usług przechowywania i współdzielenia danych, a klasycznym przykładem jest używanie przez pracowników Dropboksa do przesyłania firmowych dokumentów lub korzystanie na smartfonach z aplikacji, które kopiują dane do usługi chmurowej. Najmniejsze ryzyko niosą ze sobą aplikacje firmowe w pełni kontrolowane przez IT, ale nie zawsze mogą one zaspokoić wszystkie potrzeby biznesu.

Zobacz również:

Robert Dąbrowski, starszy inżynier systemowy w firmie Fortinet mówi: „Do aplikacji chmurowych należy podchodzić ostrożnie. Użytkownicy mają tendencję do korzystania z aplikacji, które pobierają firmowe dane a potem wykonują kopię do chmury. Nad takimi aplikacjami trudno panować. Należy zadbać o edukację użytkowników i zarządzać instalowanymi przez nich na smartfonach aplikacjami. Użytkownicy muszą wiedzieć czego nie mogą instalować oraz jak korzystać z firmowych aplikacji. Wycieki danych z chmury wielokrotnie miały miejsce”.

Ostrożnie z chmurą

Dla wielu firm chmura publiczna przynosi istotne korzyści i usługi świadczone w modelu cloud computing stają się podstawą obsługi różnych procesów biznesowych. Przy powszechnym wykorzystaniu takich usług należy mieć na uwadze specyficzne zagrożenia oraz problemy związane z łatwą ich dostępnością.

Robert Dąbrowski wyjaśnia: „Jeśli koncepcja zakłada wykorzystanie chmury i nastąpi włamanie lub podobne zdarzenie, firmowe IT może się nawet nie dowiedzieć o problemie. Złodzieje mogą przejąć kontrolę nad kopią plików w taki sposób, że w firmowych zasobach IT nie pozostaną żadne ślady. Mogą również żądać okupu, grożąc opublikowaniem skradzionych plików lub zablokowaniem pracy firmowych aplikacji. Podobne zdarzenie miało miejsce dwa lata temu w firmie Code Spaces i spowodowało jej upadek. Lepiej było zamknąć firmę niż brnąć w interakcje z przestępcami”.

Wzbogacenie firmowej infrastruktury za pomocą usług chmurowych wymaga wprowadzenia odpowiednich zabezpieczeń. Można to z powodzeniem wykonać w przypadku firmowych aplikacji, które zostały do tej chmury wyniesione. Standardowe rozwiązania można uzupełnić o zabezpieczenia właściwe dla korporacji.

Robert Dąbrowski mówi: „Dzięki wirtualizacji technicznie możliwe jest wzbogacenie infrastruktury cloud computing o dodatkową ochronę. Można, a nawet trzeba, zabezpieczać wszystkie połączenia za pomocą wirtualnych sieci prywatnych.Możnateż prowadzić inspekcję ruchu między segmentami oraz wprowadzić dodatkowe szyfrowanie. Działania te uzupełnią ewentualne niedostatki techniczne istniejących aplikacji chmurowych, ale nie pomogą w walce ze zjawiskiem shadow IT”.

Zapora w chmurze

Przy budowie firmowych aplikacji w chmurze należy od razu opracować niezbędne zabezpieczenia techniczne. Dzięki zdobyczom nowoczesnej technologii zapory sieciowe mogą być obecnie uruchomione w formie maszyn wirtualnych. W ten sposób można wprowadzić te same zasady kontroli ruchu dla aplikacji instalowanych w firmowym środowisku i chmurowych, różniące się jedynie regułami związanymi z ruchem danej aplikacji.

Robert Dąbrowski wyjaśnia: „zapory mogą zaistnieć w chmurze publicznej Amazon AWS oraz Microsoft Azure w formie maszyn wirtualnych. Firmowe aplikacje będzie można precyzyjnie ochronić za pomocą zapór sieciowych i centralnie zarządzanych reguł. Zapory uruchamiane w środowisku bazującym na OpenStack można zintegrować za pomocą odpowiedniego frameworku, by założenia wybierane z poziomu interfejsu były tłumaczone na reguły właściwe dla zapory sieciowej”.

Integracja z rozwiązaniami wirtualizacji

W środowisku wirtualizacji Wmware wdrożona zapora sieciowa może nie tylko podążać za maszynami wirtualnymi, ale także posiadać spójne obiekty powiązane z obiektami i regułami w danym środowisku. Ten model wdrożenia zakłada głęboką integrację, by wprowadzić nie tylko automatyzację niektórych aspektów wdrożenia i eksploatacji, ale także dokładną kontrolę ruchu między maszynami wirtualnymi.

Robert Dąbrowski informuje: „Przy wdrożeniu z wykorzystaniem integracji z VMware NSX, można wykorzystać zintegrowany model współpracy obejmujący automatyczną instalację, tłumaczenie reguł określanych z konsoli VMware na reguły właściwe dla zapory sieciowej oraz pełną kontrolę ruchu z mikrosegmentacją. Wdrożenie firewalla w tym modelu sprawia, że administratorzy od razu widzą uruchomione maszyny. Nie trzeba definiować oddzielnych obiektów dla każdej z tych maszyn, by odwołać się do innych zasobów. W ten sposób można także przeprowadzić integrację zapory sieciowej ze środowiskiem firmy Cisco. Po instalacji konektora i połączeniu za pomocą API, reguły, interfejsy oraz wirtualne podsieci VLAN będą wykreowane automatycznie przez narzędzia Cisco”.

Jak kontrolować ruch przy komunikacji z chmurą

Znacząca większość komunikacji z aplikacjami chmurowymi powinna być szyfrowana ze względów bezpieczeństwa danych w tranzycie. Połączenie szyfrowane umyka jednak klasycznej analizie i detekcji ataków, zatem niezbędne będzie prowadzenie inspekcji wewnątrz ruchu szyfrowanego. Proces ten nazywa się popularnie „rozszywaniem SSL” i wymaga wdrożenia zasad bezpiecznej i odpowiedzialnej inspekcji. Należy także rozwiązać problem prywatności działania pracowników firmy, co jest istotne szczególnie w modelu BYOD, w którym pracownicy korzystają ze swoich prywatnych urządzeń do pracy w firmie.

Robert Dąbrowski mówi: „Inspekcja ruchu SSL jest de facto atakiem pośrednictwa (man in the middle), gdyż ruch jest terminowany na zaporze sieciowej, deszyfrowany, a następnie szyfrowany ponownie przy pomocy firmowego certyfikatu instalowanego na urządzeniach. Inspekcję należy wykonać odpowiedzialnie, a zatem przy deszyfrowaniu ruchu na zaporze należy sprawdzić cały łańcuch zaufania, a zatem także ważność certyfikatu zdalnego serwera”.