Nabyta odporność na atak w chmurze

Podstawową barierą wdrożeń chmurowych na naszym rynku jest obawa firm o bezpieczeństwo danych oraz ciągłość dostarczania usługi. Warto więc zapoznać się z niebezpieczeństwami związanymi z dynamicznym rozwojem rozwiązań informatycznych dostępnych w modelu cloud computing i ze sposobami ich minimalizacji.

Mirosław Burnejko, senior presales consultant Atende, wskazuje na trzy podstawowe zagrożenia związane z rozwojem usług dostępnych w chmurze oraz ekspansją trendu BYOD. Po pierwsze chodzi o uproszczony dostęp do danych firmowych, bez zaawansowanych metod uwierzytelniania (identyfikacji). Firmy zezwalając na dostęp do swoich krytycznych danych z urządzeń, które nie są nadzorowane przez systemy autoryzacji MDM (Mobile Device Management) lub NAC (Network Access Controll), narażają się na ataki oraz wycieki informacji. Zarażone tablety czy prywatne komputery, bez dokładnie przemyślanej formy dostępu do zasobów w chmurze, potrafią bez wiedzy administratorów bezpieczeństwa przenieść wrażliwe dane w niepowołane ręce.

- Drugie zagrożenie związane jest z budowaniem własnych systemów i aplikacji w chmurze bez znajomości systemów bezpieczeństwa infrastruktury - ostrzega Burnejko. Zdarza się, że nierzetelni usługodawcy systemów w chmurze nie myślą o szyfrowaniu danych, oddzielaniu zasobów firmy X od zasobów firmy Y lub o kopiach zapasowych. W tym modelu awaria albo atak na system cloud usługodawcy może uszkodzić dane lub doprowadzić do ich "wyparowania".

- Po trzecie, jest to brak świadomości użytkowników podążających za trendem BYOD oraz brak edukacji ze strony przedsiębiorstw - podsumowuje Burnejko. Polityka blokowania urządzeń, zaawansowane metody szyfrowania danych lokalnych oraz używanie haseł na urządzeniach mobilnych są kluczowym aspektem chroniącym informacje w chmurze, nawet w momencie utraty urządzenia mobilnego lub jego kradzieży.

Kwestia zagrożeń podnoszona jest w ostatnim czasie zwłaszcza w związku z dynamicznym rozwojem trendu BYOD, czyli wykorzystywania prywatnych urządzeń w pracy.

- Każdy przedsiębiorca powinien postawić sobie pytanie, czy wie, jak wiele osób wykorzystuje urządzenia prywatne do celów służbowych i czy ma się czego obawiać? - przestrzega Mariusz Basan, menedżer ds. kontraktów w firmie BPSC. Kluczowym zagrożeniem związanym z rozwojem BYOD jest lekceważenie tego zjawiska, tymczasem z prywatnych urządzeń mobilnych korzysta coraz więcej pracowników, a ich wykorzystanie często nie jest regulowane żadną polityką.

- Zdarza się, że prywatne smartfony, tablety i laptopy są wykorzystywane powszechnie w miejscu pracy - wyjaśnia Basan. - Często w opozycji do firmowego sprzętu, na którym wprowadzono zbyt wiele ograniczeń.

A bagatelizowanie zjawiska konsumeryzacji grozi, prędzej czy później, wyciekiem danych. BYOD to przecież nie tylko korzystanie z prywatnego laptopa czy tabletu, ale także z pamięci USB czy prywatnego konta pocztowego w zasięgu publicznej sieci Wi-Fi.

Pierwszym krokiem do zapewnienia bezpieczeństwa newralgicznych danych przedsiębiorstwa jest zdefiniowanie polityki bezpieczeństwa, czyli określenie m.in. wagi poszczególnych danych oraz stopnia ich zabezpieczenia. Dopiero z tego wynikają następne kroki.

- Samo wdrożenie rozwiązań umożliwiających kontrolę dostępu do danych oraz monitorowanie incydentów to jedna strona medalu - wyjaśnia Paweł Pytlakowski, starszy kierownik projektu dla Integrated Solutions i Orange. Polityka bezpieczeństwa powinna również określać sposób reagowania np. na niestandardowe zachowanie użytkownika w sieci. Wielokrotna próba logowania z tej samej lub wielu stacji roboczych powinna stanowić sygnał alarmowy dla zespołu zajmującego się bezpieczeństwem. O bezpieczeństwo można zadbać także poprzez wybór modelu chmury i sposobu przechowywania danych.

- Publiczne rozwiązanie będzie oferowało znacznie niższy poziom bezpieczeństwa niż rozwiązanie prywatne, dostępne np. jedynie przez dedykowaną sieć WAN, którym można zarządzać podobnie jak prywatną infrastrukturą IT - wyjaśnia Pytlakowski.

Kolejne kroki np. w przypadku chmury prywatnej hostowanej u dostawcy, będą podobne jak w przypadku sieci lokalnej klienta. W zależności od wrażliwości danych można stosować wielopoziomowe mechanizmy kontroli dostępu, śledzenie zachowania użytkowników, szyfrowanie przed wysłaniem do chmury itp.

Jeżeli usługi budowane są w chmurze publicznej lub w procesie tworzenia własnej chmury prywatnej, należy zwrócić uwagę na kilka ważnych aspektów.

- Nie można przechowywać danych w jednym miejscu, cały czas udoskonalając systemy backup oraz synchronizacji (np. pomiędzy chmurą prywatną a publiczną) - radzi Burnejko. Jeżeli nie można z przyczyn bezpieczeństwa przenieść danych do chmury publicznej, backup i procedury odtworzenia danych z backupu stają się kluczowym aspektem. Należy też przemyśleć formę dostępu do danych na różnych poziomach uprawnień. Ważne jest zbudowanie systemu autoryzacji, np. w oparciu o certyfikaty, oraz zapewnienie szyfrowanych kanałów komunikacji z dowolnego miejsca, zakładając dostęp w modelu BYOD. Znaczenie ma również zapewnienie odpowiedniej ochrony danych z zewnątrz. Bezwzględnie należy wymusić od usługodawców chmur publicznych lub od własnych dostawców rozwiązań do chmury prywatnej najlepsze systemy bezpieczeństwa sieciowego.

Tworząc lub wybierając rozwiązanie w chmurze z dostępem w modelu BYOD, należy uważnie przeanalizować standardy, które są spełniane przez usługodawcę. - Standardy takie jak HIPAA, FIPS 140-2, MPAA, ISO 27001, PCI DSS Level 1, czy CSA wymagają od usługodawcy zapewnienia bezpieczeństwa na najwyższym poziomie, które odzwierciedla potrzeby bezpieczeństwa najbardziej wymagających klientów - radzi przedstawiciel Atende. Badając listę spełnianych standardów oraz referencji, można wyeliminować 95 proc. usługodawców niespełniających wymagań bezpieczeństwa. Warto także przetestować system backup oraz odtwarzania danych. Ważna jest inwestycja w systemy MDM, które umożliwią kontrolowanie aplikacji oraz formy dostępu z urządzeń mobilnych do rozwiązań przedsiębiorstwa. Konieczne są także przemyślane systemy uwierzytelniania, autoryzacji oraz bezpiecznego dostępu opartego o szyfrowanie (SSL, IPSec). Bardzo istotne jest uświadamianie użytkowników.

Na aspekt świadomego doboru dostawcy rozwiązań chmurowych zwraca szczególną uwagę Piotr Mechliński, dyrektor ds. rozwoju biznesu T-Systems Polska. - Wybierając data center, w pierwszej kolejności upewnijmy się, jaką drogę będą przebywały dane firmowe, zanim dotrą do data center i gdzie fizycznie będą się znajdowały - radzi.

Kluczowe dane należy powierzać wyłącznie stabilnemu finansowo partnerowi, którego zasoby serwerowe można zlokalizować na mapie i można mieć pewność, że dane będą chronione zgodnie z normami i regulacjami obowiązującymi w naszym kraju. Ważną kwestią jest zapewnienie stabilności całego systemu IT. Jeśli połączenie z data center zostanie przerwane, dane będą zagrożone. Dlatego wszystkie rozwiązania powinny być w pełni redundantne - w sytuacji gdyby sieć, połączenie czy dowolne urządzenie uległy awarii, ich funkcje powinny być natychmiast przejęte przez "zamienniki".

- Kolejną kwestią jest zapewnienie bezpieczeństwa sieciowego, poprzez takie rozwiązania jak IPS czy SIEM (Intrusion Prevention System oraz Security Information and Event Management) - kontynuuje Mechliński.

Tego typu systemy pozwalają na śledzenie ruchu w sieci, a także bieżące analizowanie i zapobieganie potencjalnym zagrożeniom. T-Systems korzysta także z tzw. honeypots. Są to rozwiązania, które - niczym garnuszek miodu - wabią hakerów, symulując rzekome dziury w systemie i kierują do obszarów, które nie spełniają żadnej funkcji, a firmie pozwalają ochronić realnie wartościowe informacje i dotrzeć do źródła nieudanego ataku.

W procesie zapewnienia bezpieczeństwa w chmurze, niezwykle ważnym elementem jest także ograniczanie dostępu do danych krytycznych (dostęp poprzez IP-VPN, wykorzystywanie haseł, szyfrowanie).

- Coraz powszechniej jest także stosowane szyfrowanie homomorficzne, dzięki któremu w data center przechowywany jest zaszyfrowany plik (jego treść nie jest widoczna), a deszyfrować może go wyłącznie osoba posiadająca odpowiedni klucz - podsumowuje Mechliński.

Jarosław Maślanek

Więcej informacji w portalu "Wirtualny Nowy Przemysł"