7 elementów bezpiecznego środowiska chmurowego

1/28/2022

Myśląc o środowisku chmurowym w kontekście bezpieczeństwa zasobów, zwykle nasuwa się opinia, że jest ono bardziej wrażliwe na zagrożenia zewnętrzne niż środowisko lokalne. Przyczyną takich skojarzeń może być brak całkowitej kontroli nad tymi zasobami, współdzielenie czy działanie sieci publicznych. Strategia bezpieczeństwa infrastruktury chmurowej powinna opierać się na właściwej klasyfikacji danych i systemów budujących zasoby chmurowe w kontekście ich wartości biznesowej.

Zabezpieczenie wszystkich komponentów środowiska chmurowego powinno być zautomatyzowane i odbywać się w sposób ciągły, aby zminimalizować wystąpienie błędów ludzkich i systemowych.

Zebraliśmy listę dobrych praktyk, które warto mieć na uwadze planując proces zabezpieczenia środowiska chmury publicznej, zawarte w 7 poniższych punktach.

1. Zarządzanie tożsamością i dostępem

Infrastrukturę cloud charakteryzuje częsta zmiana tożsamości, tworzenie nowych kont użytkowników czy zamykanie kont nieużywanych. Przyczyny bywają różne, np. pojawianie się nowych projektów w chmurze lub modyfikacja tych trwających. Priorytetowym działaniem jest określenie zasad, które jasno definiują dostęp do zasobów oraz uwierzytelnianie kont. Dzięki temu unikamy domyślnych ustawień polityki bezpieczeństwa dla istniejących kont, co wpływa na znaczne osłabienie procesu uwierzytelniania. Dodatkowo monitorowanie konfiguracji pomaga zidentyfikować nieprawidłowe polityki, a śledzenie kont, zwłaszcza z najwyższymi uprawnieniami, eliminuje podejrzane działania. Dobra praktyką jest również wyłączanie lub usuwanie nieużywanych kont.

2. Zero Trust

Model Zero Trust w praktyce oznacza „nigdy nie ufać i zawsze weryfikować”. Każde żądanie dostępu w myśl tego modelu, niezależnie od jego źródła, jest traktowane jako niezaufane, aż do momentu jego weryfikacji. Po sprawdzeniu danego elementu pod kątem integralności, można udzielić dostępu według ustalonych zasad uzależnionych od poziomu zaufania wobec wysyłającego żądanie i wrażliwości zasobu docelowego. Cały schemat walidacji zaufania opiera się m.in. o lokalizację, tożsamość użytkowników, klasyfikację danych i stan urządzeń.

3. Zabezpieczenie magazynów danych

Jak wspomnieliśmy wyżej, przechowywanie danych w cloud jest możliwe tylko przy zastosowaniu odpowiednich poziomów zabezpieczeń. Stąd ważną pracą do wykonania jest zestawienie urządzeń i aplikacji, które będą łączyć się z magazynem danych w chmurze oraz określenie użytkowników, którzy takich połączeń nie będą potrzebowali. Kolejny krok to zestawienie danych i identyfikacja tych o krytycznym znaczeniu. Jednolita polityka zabezpieczeń obejmująca kontrolę dostępu i zarządzanie tożsamościami to kolejny punkt na ścieżce do osiągnięcia bezpiecznego magazynu danych. Warto wspomnieć również o możliwości zaimplementowania narzędzi wykrywających podejrzane transfery, modyfikację lub usuwanie danych. Oczywiście nie należy zapominać o niezwykle istotnej czynności jaką jest tworzenie kopii zapasowych.

4. Zabezpieczanie baz danych

Często celem ataków padają bazy danych, gdyż zawierają poufne dane, które są „atrakcyjne” dla cyberprzestępców. Ten element wymaga zwrócenia szczególnej uwagi na poziom zabezpieczeń, zwłaszcza że integruje się z aplikacjami i systemami w chmurze. W tym przypadku również sprawdzi się kontrola dostępu czyli uwierzytelnianie tożsamości i autoryzacja. Ponadto informacje przechowywane w bazach danych należy szyfrować w trakcie ich składowania (data in rest) oraz przesyłania (data in transit).

5. Bezpieczeństwo sieci

Z racji tego, że środowisko chmurowe często komunikuje się z sieciami publicznymi, lokalnymi i wirtualnymi, należy właściwie zadbać o bezpieczeństwo sieci, począwszy od ich zaprojektowania i właściwej segmentacji. Następnie należy zdefiniować reguły ruchu między zasobami w środowisku chmurowym, np. mechanizm listy kontroli dostępu do zasobów (ACL), które nadają dostęp tylko określonym zasobom do sieci prywatnych. Warto rozważyć wykorzystanie zapory sieciowej jako usługi (FWaaS) oraz zapory aplikacji internetowych (WAF), które blokują złośliwy ruch. Istnieje także narzędzie do zarządzania stanem bezpieczeństwa środowiska chmurowego, które umożliwia automatyczne przeglądanie sieci w chmurze.

6. Monitorowanie i ciągłe doskonalenie

W czasie swojego cyklu życia zasoby w chmurze podlegają nieustannym zmianom, m.in. w procesie skalowania infrastruktury. Kontrola nad zasobami chmurowymi jest możliwa dzięki monitorowaniu środowiska, co z kolei umożliwia np. rozliczalność jego elementów. Kontrola zabezpieczeń pozwala również na identyfikowanie anomalii, zapobieganie i korygowanie błędnej konfiguracji. Ważną praktyką jest także przeprowadzanie regularnych ocen skuteczności stosowanych zabezpieczeń, a następnie ewentualne ich ulepszanie.

7. Edukacja w zakresie bezpieczeństwa

Człowiek to najważniejsze ogniwo systemu bezpieczeństwa teleinformatycznego. Niezwykle ważne jest uświadamianie użytkowników korzystających z zasobów chmurowych o możliwych zagrożeniach i ewentualnych incydentach bezpieczeństwa. Stąd niezwykle istotną kwestią jest przeprowadzanie regularnych szkoleń, aktualizowanie wiedzy i śledzenie trendów w zakresie zapewnienia bezpieczeństwa. Szczególną uwagę należy zwrócić na administratorów środowiska chmurowego, którzy zazwyczaj dysponują szerokimi uprawnieniami administracyjnymi i ich wiedza w zakresie bezpieczeństwa powinna być zawsze aktualna i na odpowiednim poziomie.

Masz pytania?

Czekam na kontakt od Ciebie.

Piotr Zdunek

Analityk bezpieczeństwa IT

[email protected]

LinkedIn