Co je cloudová bezpečnost?

Cloudová bezpečnost je sdílená odpovědnost

Cloudová bezpečnost je odpovědnost, kterou sdílí poskytovatel cloudu a zákazník. V modelu sdílené odpovědnosti existují v zásadě tři kategorie odpovědnosti: odpovědnost, která je vždy na straně poskytovatele, odpovědnost, která je vždy na straně zákazníka, a odpovědnost, která se liší v závislosti na modelu služby:

Odpovědnosti v oblasti bezpečnosti, které jsou vždy na straně poskytovatele, se týkají zabezpečení samotné infrastruktury, jakož i přístupu k fyzickým hostitelům a fyzické síti, na nichž běží výpočetní instance a úložiště a další zdroje, jejich oprav a konfigurace.

Odpovědnosti za zabezpečení, které jsou vždy na straně zákazníka, zahrnují správu uživatelů a jejich přístupových oprávnění (správa identit a přístupu), zabezpečení cloudových účtů před neoprávněným přístupem, šifrování a ochranu datových prostředků v cloudu a správu jeho bezpečnostního postoje (dodržování předpisů).

7 hlavních výzev pro pokročilé zabezpečení cloudu

Protože veřejný cloud nemá jasné hranice, představuje zásadně odlišnou bezpečnostní realitu. Ta se stává ještě náročnější při zavádění moderních cloudových přístupů, jako jsou automatizované metody kontinuální integrace a kontinuálního nasazení (CI/CD), distribuované architektury bez serverů a efemérní prostředky, jako jsou funkce jako služba a kontejnery.

Některé z pokročilých cloudových bezpečnostních výzev a vícevrstvých rizik, kterým čelí dnešní organizace orientované na cloud, zahrnují:

1. Zvětšená útočná plocha

   Prostředí veřejného cloudu se stalo velkou a velmi atraktivní útočnou plochou pro hackery, kteří využívají špatně zabezpečené vstupní porty cloudu s cílem získat přístup a narušit pracovní zátěže a data v cloudu. Malware, Zero-Day, převzetí účtu a mnoho dalších škodlivých hrozeb se stalo každodenní realitou.

2. Nedostatek viditelnosti a sledování

   V modelu IaaS mají poskytovatelé cloudu plnou kontrolu nad vrstvou infrastruktury a nezpřístupňují ji svým zákazníkům. Nedostatek viditelnosti a kontroly je dále rozšířen v modelech cloudu PaaS a SaaS. Zákazníci cloudu často nemohou efektivně identifikovat a kvantifikovat svá cloudová aktiva nebo vizualizovat své cloudové prostředí.

3. Neustále se měnící pracovní zátěž

   Cloudová aktiva jsou poskytována a vyřazována dynamicky – v rozsahu a rychlosti. Tradiční bezpečnostní nástroje jednoduše nejsou schopny prosadit zásady ochrany v takto flexibilním a dynamickém prostředí s neustále se měnícími a efemérními pracovními zátěžemi.

4. DevOps, DevSecOps a automatizace

   Organizace, které přijaly vysoce automatizovanou kulturu CI/CD DevOps, musí zajistit, aby byly vhodné bezpečnostní kontroly identifikovány a začleněny do kódu a šablon již v rané fázi vývojového cyklu. Změny související se zabezpečením implementované po nasazení pracovní zátěže do produkce mohou narušit bezpečnostní pozici organizace a také prodloužit dobu uvedení na trh.

5. Granulární správa oprávnění a klíčů

   Často jsou cloudové uživatelské role nakonfigurovány velmi volně a udělují rozsáhlá oprávnění nad rámec toho, co je zamýšleno nebo požadováno. Jedním z běžných příkladů je udělování oprávnění k mazání nebo zápisu do databáze neproškoleným uživatelům nebo uživatelům, kteří nemají žádnou obchodní potřebu mazat nebo přidávat prostředky databáze. Na úrovni aplikací vystavují nesprávně nakonfigurované klíče a oprávnění relace bezpečnostním rizikům.

6. Komplexní prostředí

   Správce zabezpečení konzistentním způsobem v hybridních a multicloudových prostředích, která dnes podniky upřednostňují, vyžaduje metody a nástroje, které bezproblémově fungují napříč poskytovateli veřejných cloudů, poskytovateli privátních cloudů a on-premise nasazeními – včetně ochrany okrajů poboček pro geograficky distribuované organizace.

7. Cloud Compliance and Governance

   Všichni přední poskytovatelé cloudových služeb se přizpůsobili většině známých akreditačních programů, jako jsou PCI 3.2, NIST 800-53, HIPAA a GDPR. Zákazníci jsou však zodpovědní za to, že jejich pracovní zátěž a datové procesy jsou v souladu s předpisy. Vzhledem ke špatné viditelnosti i dynamice cloudového prostředí se proces auditu shody stává téměř nemožným, pokud se nepoužívají nástroje pro dosažení průběžné kontroly shody a vydávání upozornění na chybné konfigurace v reálném čase.

Nulová důvěra a proč byste ji měli přijmout

Termín Zero Trust poprvé představil v roce 2010 John Kindervag, který v té době působil jako vedoucí analytik společnosti Forrester Research. Základním principem Zero Trust v oblasti zabezpečení cloudu je nedůvěřovat automaticky nikomu a ničemu v síti ani mimo ni – a vše ověřovat (tj. autorizovat, kontrolovat a zabezpečit).

Zero Trust například prosazuje strategii správy nejmenších oprávnění, kdy uživatelé mají přístup pouze ke zdrojům, které potřebují k plnění svých povinností. Podobně vyzývá vývojáře, aby zajistili řádné zabezpečení webových aplikací. Pokud například vývojář důsledně nezablokoval porty nebo nezavedl oprávnění „podle potřeby“, bude mít hacker, který aplikaci převezme, oprávnění získávat a upravovat data z databáze.

Sítě Zero Trust navíc využívají mikrosegmentaci, aby bylo zabezpečení cloudové sítě mnohem granulárnější. Mikrosegmentace vytváří bezpečné zóny v datových centrech a cloudových nasazeních, čímž od sebe segmentuje pracovní zátěže, zabezpečuje vše uvnitř zóny a aplikuje zásady pro zabezpečení provozu mezi zónami.

Šest pilířů robustního zabezpečení cloudu

Poskytovatelé cloudových služeb, jako jsou Amazon Web Services (AWS), Microsoft Azure (Azure) a Google Cloud Platform (GCP), sice nabízejí mnoho nativních funkcí a služeb zabezpečení cloudu, ale pro dosažení ochrany cloudových pracovních úloh na podnikové úrovni před narušením, únikem dat a cílenými útoky v prostředí cloudu jsou nezbytná doplňková řešení třetích stran. Pouze integrovaný bezpečnostní stack cloud-native/ třetí strany poskytuje centralizovaný přehled a granulární kontrolu založenou na zásadách, které jsou nezbytné k zajištění následujících osvědčených postupů v oboru:

1. Granulární kontrola IAM a ověřování založená na zásadách napříč komplexními infrastrukturami

   Práce se skupinami a rolemi spíše než na úrovni jednotlivých IAM usnadňuje aktualizaci definic IAM podle toho, jak se mění obchodní požadavky. Udělujte pouze minimální přístupová oprávnění k prostředkům a rozhraním API, která jsou nezbytná k tomu, aby skupina nebo role mohla plnit své úkoly. Čím rozsáhlejší oprávnění, tím vyšší úrovně ověřování. A nezanedbávejte správnou hygienu IAM, prosazování zásad silných hesel, časových limitů oprávnění atd.

2. Řízení zabezpečení cloudové sítě s nulovou důvěrou v logicky izolovaných sítích a mikrosegmentech

   Umisťujte kritické podnikové prostředky a aplikace v logicky izolovaných částech cloudové sítě poskytovatele, jako jsou virtuální privátní cloudy (AWS a Google) nebo vNET (Azure). Používejte podsítě k vzájemnému mikrosegmentování pracovních zátěží s granulárními zásadami zabezpečení na branách podsítí. Použití vyhrazených linek WAN v hybridních architekturách a použití statických uživatelsky definovaných konfigurací směrování pro přizpůsobení přístupu k virtuálním zařízením, virtuálním sítím a jejich branám a veřejným adresám IP.

3. Prosazování zásad ochrany virtuálních serverů a procesů, jako je správa změn a aktualizace softwaru:

   Dodavatelé cloudových bezpečnostních řešení poskytují robustní správu zabezpečení cloudu, která důsledně uplatňuje pravidla a šablony pro správu a dodržování předpisů při poskytování virtuálních serverů, provádí audit odchylek v konfiguraci a podle možností automaticky provádí nápravu.

4. Zabezpečení všech aplikací (a zejména cloudových distribuovaných aplikací) pomocí firewallu webových aplikací nové generace

   Ten bude granulárně kontrolovat a řídit provoz na servery webových aplikací a z nich, automaticky aktualizovat pravidla WAF v reakci na změny chování provozu a bude nasazen blíže k mikroslužbám, na kterých běží pracovní zátěž.

5. Vylepšená ochrana dat

   Vylepšená ochrana dat pomocí šifrování na všech transportních vrstvách, bezpečného sdílení souborů a komunikace, průběžného řízení rizik shody a udržování správné hygieny zdrojů datových úložišť, jako je odhalování nesprávně nakonfigurovaných bucketů a ukončování osiřelých zdrojů.

6. Zpravodajství o hrozbách, které odhaluje a odstraňuje známé i neznámé hrozby v reálném čase

   Dodavatelé zabezpečení cloudu třetích stran přidávají kontext k velkým a různorodým proudům protokolů v cloudu inteligentním křížovým porovnáváním agregovaných dat protokolů s interními daty, jako jsou systémy správy aktiv a konfigurací, skenery zranitelností atd. a externími daty, jako jsou veřejné kanály zpravodajství o hrozbách, geolokační databáze atd. Poskytují také nástroje, které pomáhají vizualizovat a vyhledávat informace o hrozbách a podporují rychlejší reakci na incidenty. Algoritmy detekce anomálií založené na umělé inteligenci se používají k zachycení neznámých hrozeb, které jsou následně podrobeny forenzní analýze s cílem určit jejich rizikový profil. Upozornění v reálném čase na narušení a porušení zásad zkracují dobu nápravy a někdy dokonce spouštějí pracovní postupy automatické nápravy.

Zjistěte více o řešeních Check Point CloudGuard

Jednotná cloudová bezpečnostní platforma CloudGuard společnosti Check Point se bezproblémově integruje s cloudovými bezpečnostními službami poskytovatelů a zajišťuje, aby uživatelé cloudu dodržovali svou část modelu sdílené odpovědnosti a zachovávali zásady nulové důvěryhodnosti ve všech pilířích cloudového zabezpečení: řízení přístupu, zabezpečení sítě, dodržování předpisů pro virtuální servery, ochrana pracovní zátěže a dat a analýza hrozeb.

Check Point Unified Cloud Security Solutions

• Cloud Native Cloud Security Solutions
• Cloud Security Posture Management
• Cloud Workload Protection
• Cloud Intelligence. and Threat Hunting
• Cloud Network Security
• Serverless Security
• Container Security
• AWS Security
• Azure Security
• GCP Security
• Branch Cloud Security