Czym jest bezpieczeństwo w chmurze?

Bezpieczeństwo w chmurze to wspólna odpowiedzialność

Bezpieczeństwo w chmurze to odpowiedzialność, która jest dzielona pomiędzy dostawcę chmury i klienta. Istnieją zasadniczo trzy kategorie obowiązków w modelu współodpowiedzialności: obowiązki, które zawsze należą do dostawcy, obowiązki, które zawsze należą do klienta oraz obowiązki, które różnią się w zależności od modelu usługi: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) lub Software as a Service (SaaS), np. cloud email.

Obowiązki związane z bezpieczeństwem, które zawsze należą do dostawcy, dotyczą zabezpieczenia samej infrastruktury, jak również dostępu, łatania i konfiguracji fizycznych hostów oraz fizycznej sieci, na której działają instancje obliczeniowe oraz rezydują pamięci masowe i inne zasoby.

Obowiązki związane z bezpieczeństwem, które zawsze należą do klienta, obejmują zarządzanie użytkownikami i ich przywilejami dostępu (zarządzanie tożsamością i dostępem), zabezpieczenie kont w chmurze przed nieautoryzowanym dostępem, szyfrowanie i ochronę aktywów danych opartych na chmurze oraz zarządzanie postawą bezpieczeństwa (zgodność).

Najważniejsze 7 wyzwań związanych z zaawansowanym bezpieczeństwem w chmurze

Ponieważ chmura publiczna nie ma wyraźnych granic, przedstawia fundamentalnie inną rzeczywistość bezpieczeństwa. Staje się to jeszcze większym wyzwaniem przy przyjmowaniu nowoczesnych podejść do chmury, takich jak zautomatyzowane metody ciągłej integracji i ciągłego wdrażania (CI/CD), rozproszone architektury bezserwerowe oraz efemeryczne zasoby, takie jak funkcje jako usługi i kontenery.

Niektóre z zaawansowanych wyzwań związanych z bezpieczeństwem w chmurze oraz wiele warstw ryzyka, z którymi borykają się dzisiejsze organizacje zorientowane na chmurę, to między innymi:

1. Zwiększona powierzchnia ataku

   Środowisko chmury publicznej stało się dużą i bardzo atrakcyjną powierzchnią ataku dla hakerów, którzy wykorzystują słabo zabezpieczone porty wejścia do chmury w celu uzyskania dostępu i zakłócenia pracy oraz danych w chmurze. Malware, Zero-Day, Account Takeover i wiele innych złośliwych zagrożeń stało się codzienną rzeczywistością.

2. Brak widoczności i śledzenia

   W modelu IaaS dostawcy chmury mają pełną kontrolę nad warstwą infrastruktury i nie ujawniają jej swoim klientom. Brak widoczności i kontroli jest jeszcze bardziej rozszerzony w modelach chmury PaaS i SaaS. Klienci chmury często nie mogą skutecznie zidentyfikować i określić ilościowo swoich zasobów chmury lub zwizualizować swojego środowiska chmury.

3. Wiecznie zmieniające się obciążenia pracą

   Aktywa chmury są dostarczane i wycofywane dynamicznie – w skali i z prędkością. Tradycyjne narzędzia bezpieczeństwa są po prostu niezdolne do egzekwowania polityk ochrony w tak elastycznym i dynamicznym środowisku z jego ciągle zmieniającymi się i efemerycznymi obciążeniami.

4. DevOps, DevSecOps i automatyzacja

   Organizacje, które przyjęły wysoce zautomatyzowaną kulturę DevOps CI/CD, muszą zapewnić, że odpowiednie kontrole bezpieczeństwa są identyfikowane i osadzane w kodzie i szablonach na wczesnym etapie cyklu rozwoju. Zmiany związane z bezpieczeństwem wdrożone po wdrożeniu obciążenia do produkcji mogą podważyć postawę bezpieczeństwa organizacji, jak również wydłużyć czas wprowadzenia na rynek.

5. Granular Privilege and Key Management

   Często role użytkowników chmury są skonfigurowane bardzo luźno, przyznając szerokie uprawnienia poza to, co jest zamierzone lub wymagane. Jednym z powszechnych przykładów jest nadawanie uprawnień do usuwania lub zapisu bazy danych nieprzeszkolonym użytkownikom lub użytkownikom, którzy nie mają biznesowej potrzeby usuwania lub dodawania zasobów bazy danych. Na poziomie aplikacji niewłaściwie skonfigurowane klucze i uprawnienia narażają sesje na zagrożenia bezpieczeństwa.

6. Złożone środowiska

   Zarządzanie bezpieczeństwem w spójny sposób w hybrydowych i wielochmurowych środowiskach preferowanych obecnie przez przedsiębiorstwa wymaga metod i narzędzi, które działają bezproblemowo u dostawców chmury publicznej, dostawców chmury prywatnej i wdrożeń on-premise – w tym ochrony brzegowej oddziałów dla organizacji rozproszonych geograficznie.

7. Zgodność z przepisami i zarządzanie chmurą

   Wszyscy wiodący dostawcy usług w chmurze dostosowali się do większości znanych programów akredytacyjnych, takich jak PCI 3.2, NIST 800-53, HIPAA i GDPR. Jednak to klienci są odpowiedzialni za zapewnienie, że ich obciążenia i procesy danych są zgodne z przepisami. Biorąc pod uwagę słabą widoczność, a także dynamikę środowiska chmury, proces audytu zgodności staje się prawie niemożliwy, chyba że używa się narzędzi do ciągłego sprawdzania zgodności i wydawania alertów w czasie rzeczywistym o błędnych konfiguracjach.

Zero Trust and Why You Should Embrace It

Termin Zero Trust został po raz pierwszy wprowadzony w 2010 roku przez Johna Kindervaga, który w tym czasie był starszym analitykiem Forrester Research. Podstawowa zasada Zero Trust w bezpieczeństwie chmury polega na tym, aby nie ufać automatycznie nikomu ani niczemu w sieci lub poza nią – i weryfikować (tj. autoryzować, sprawdzać i zabezpieczać) wszystko.

Zero Trust, na przykład, promuje strategię zarządzania najmniejszymi przywilejami, w której użytkownicy otrzymują dostęp tylko do zasobów, których potrzebują do wykonywania swoich obowiązków. Podobnie, wzywa programistów do zapewnienia, że aplikacje internetowe są odpowiednio zabezpieczone. Na przykład, jeśli deweloper nie zablokował portów w sposób konsekwentny lub nie wdrożył uprawnień na zasadzie „w razie potrzeby”, haker, który przejmie aplikację, będzie miał uprawnienia do pobierania i modyfikowania danych z bazy danych.

Dodatkowo, sieci Zero Trust wykorzystują mikrosegmentację, aby uczynić bezpieczeństwo sieci w chmurze znacznie bardziej granularnym. Mikrosegmentacja tworzy bezpieczne strefy w centrach danych i wdrożeniach chmury, segmentując w ten sposób obciążenia od siebie nawzajem, zabezpieczając wszystko wewnątrz strefy i stosując polityki w celu zabezpieczenia ruchu między strefami.

Sześć filarów solidnego bezpieczeństwa w chmurze

Pomimo że dostawcy usług w chmurze, tacy jak Amazon Web Services (AWS), Microsoft Azure (Azure) i Google Cloud Platform (GCP), oferują wiele natywnych funkcji i usług bezpieczeństwa w chmurze, dodatkowe rozwiązania innych firm są niezbędne do osiągnięcia ochrony obciążeń w chmurze klasy korporacyjnej przed naruszeniami, wyciekami danych i ukierunkowanymi atakami w środowisku chmury. Tylko zintegrowany stos zabezpieczeń chmury/osób trzecich zapewnia scentralizowaną widoczność i granularną kontrolę opartą na politykach, niezbędną do zapewnienia następujących najlepszych praktyk branżowych:

1. Granularne, oparte na politykach mechanizmy IAM i uwierzytelniania w złożonych infrastrukturach

   Pracuj z grupami i rolami, a nie na poziomie indywidualnego IAM, aby ułatwić aktualizację definicji IAM w miarę zmian wymagań biznesowych. Przyznaj tylko minimalne uprawnienia dostępu do zasobów i interfejsów API, które są niezbędne dla grupy lub roli do wykonywania swoich zadań. Im szersze przywileje, tym wyższe poziomy uwierzytelniania. Nie zaniedbuj też dobrej higieny IAM, egzekwowania silnych polityk haseł, limitów czasowych uprawnień i tak dalej.

2. Kontrola bezpieczeństwa sieci w chmurze z zerowym zaufaniem w logicznie odizolowanych sieciach i mikrosegmentach

   Rozmieść krytyczne zasoby biznesowe i aplikacje w logicznie odizolowanych sekcjach sieci w chmurze dostawcy, takich jak wirtualne chmury prywatne (AWS i Google) lub vNET (Azure). Wykorzystanie podsieci do mikrosegmentacji obciążeń od siebie, z granularnymi politykami bezpieczeństwa na bramach podsieci. Użyj dedykowanych łączy WAN w architekturach hybrydowych i wykorzystaj statyczne, definiowane przez użytkownika konfiguracje routingu, aby dostosować dostęp do urządzeń wirtualnych, sieci wirtualnych i ich bram oraz publicznych adresów IP.

3. Egzekwowanie polityk ochrony serwerów wirtualnych i procesów, takich jak zarządzanie zmianami i aktualizacje oprogramowania:

   Wydawcy zabezpieczeń w chmurze zapewniają solidne Cloud Security Posture Management, konsekwentnie stosując zasady i szablony zarządzania i zgodności podczas dostarczania serwerów wirtualnych, audytując odchylenia w konfiguracji i automatycznie naprawiając je w miarę możliwości.

4. Zabezpieczanie wszystkich aplikacji (a zwłaszcza aplikacji rozproszonych w chmurze) za pomocą zapory sieciowej następnej generacji

   Będzie ona granularnie sprawdzać i kontrolować ruch do i z serwerów aplikacji sieciowych, automatycznie aktualizować reguły WAF w odpowiedzi na zmiany w zachowaniu ruchu, a także będzie wdrażana bliżej mikroserwisów, które wykonują obciążenia.

5. Zwiększona ochrona danych

   Zwiększona ochrona danych dzięki szyfrowaniu we wszystkich warstwach transportowych, bezpiecznym udziałom plików i komunikacji, ciągłemu zarządzaniu ryzykiem zgodności oraz utrzymywaniu dobrej higieny zasobów pamięci masowej, takiej jak wykrywanie błędnie skonfigurowanych wiader i likwidowanie zasobów osieroconych.

6. Inteligencja zagrożeń, która wykrywa i naprawia znane i nieznane zagrożenia w czasie rzeczywistym

   Producenci zabezpieczeń chmurowych będący osobami trzecimi dodają kontekst do dużych i zróżnicowanych strumieni logów chmurowych poprzez inteligentne krzyżowanie zagregowanych danych logów z danymi wewnętrznymi, takimi jak systemy zarządzania zasobami i konfiguracją, skanery podatności itp. oraz danymi zewnętrznymi, takimi jak publiczne źródła informacji o zagrożeniach, bazy danych geolokalizacyjnych itp. Zapewniają one również narzędzia, które pomagają wizualizować i przeszukiwać krajobraz zagrożeń oraz promują szybszy czas reakcji na incydenty. Algorytmy wykrywania anomalii oparte na sztucznej inteligencji są stosowane do wychwytywania nieznanych zagrożeń, które następnie są poddawane analizie kryminalistycznej w celu określenia ich profilu ryzyka. Alerty w czasie rzeczywistym dotyczące włamań i naruszeń zasad skracają czas naprawy, a czasem nawet uruchamiają automatyczne przepływy pracy związane z naprawą.

Learn More About Check Point CloudGuard Solutions

Ujednolicona platforma bezpieczeństwa chmury CloudGuard firmy Check Point bezproblemowo integruje się z natywnymi dla chmury usługami bezpieczeństwa dostawców, aby zapewnić, że użytkownicy chmury podtrzymują swoją część Modelu Wspólnej Odpowiedzialności i utrzymują politykę Zero Trust we wszystkich filarach bezpieczeństwa chmury: kontrola dostępu, bezpieczeństwo sieciowe, zgodność z serwerami wirtualnymi, ochrona obciążeń i danych oraz inteligencja zagrożeń.

Check Point Unified Cloud Security Solutions

• Cloud Native Cloud Security Solutions
• Cloud Security Posture Management
• Cloud Workload Protection
• Cloud Intelligence and Threat Hunting
• Cloud Network Security
• Serverless Security
• Container Security
• AWS Security
• Azure Security
• GCP Security
• Branch Cloud Security

.