[SCP] SafeDX Cloud Platform – bezpečné řešení pro správu podnikových aplikací

6. 12. 2021

Sdílet

 Autor: SafeDX
Vzhledem k rostoucí poptávce po vzdáleném připojení k podnikovým systémům se cloudová řešení dostávají do širšího zákaznického povědomí a také vzrůstá podíl klientů, kteří pro svá data paralelně využívají služby několika cloudových poskytovatelů.

S tímto trendem tudíž roste i poptávka po bezpečných řešeních, jelikož přechod do cloudu byl mnohdy spojován s nepodloženými obavami o bezpečnost dat pramenícími z nedostatečné informovanosti. Ať již se týkaly pocitu nižší kontroly nad daty uloženými vně podniku či pochyb o zabezpečení veřejných cloudů v porovnání s on-premise řešeními.

SafeDX, poskytovatel cloudových služeb z vlastního datového centra v pražských Vysočanech, svým zákazníkům nabízí bezpečné cloudové služby prostřednictvím [SCP] SafeDX Cloud Platform. Jde o platformu, která pokrývá širokou škálu služeb a nástrojů pro bezpečný vývoj a provoz nejen kontejnerových aplikací.

Při poskytování cloudových služeb a konzultační podpory zákazníkům v rámci přechodu do cloudu je třeba mít identifikována a pokryta bezpečnostní rizika. Mezi zákazníky jsou nejčastěji diskutována témata úniku dat, s tím související bezpečnost účtů a obecné ohrožení vyplývající z možných cílených útoků jak již na poskytovatele služby, tak i na konkrétního zákazníka.

Únik a ztráta dat

Bezpečnost dat by měla být prioritou jak poskytovatele cloudových služeb, tak uživatelů. Únikem dat může dojít ke kompromitaci osobních dat, know-how nebo obchodních tajemství. Kromě toho se společnosti, u kterých dojde k úniku osobních dat, vystavují riziku vysokých pokut podle platné legislativy (např. GDPR). Pro poskytovatele to může znamenat ztrátu důvěry zákazníků a dobrého jména na trhu. SafeDX jako spolehlivý poskytovatel cloudových služeb splňuje ISO 27001 a je pravidelně auditován.

U citlivých dat není rizikem pouze jejich únik, ale i ztráta. Ať už jde o ztrátu dat způsobenou závadou na úložišti, nebo kryptovirem (ransomware), vždy to může pro společnost znamenat citelné ztráty, případně i dočasné přerušení provozu. Zde však záleží na přístupu zákazníka, jaké možnosti ochrany zvolí. SafeDX standardně poskytuje veškeré své služby ve vysoké dostupnosti, nabízí pokročilé formy zálohování a v neposlední řadě umožňuje uložení dat v druhé lokalitě formou služby [SCP] Multi Site, kde jsou data spravována v totožných podmínkách jako v primární lokalitě. 

Bezpečnost účtů 

Cloudové služby jsou ze své podstaty dostupné vzdáleně a v případě, že mají přiřazenou veřejnou IP adresu, je možné se na ně připojit odkudkoliv z internetu. Nezabezpečený přístup je však obrovským bezpečnostním rizikem, a proto je dobré minimálně omezit, z jakých IP adres je management serveru dostupný, či ještě lépe povolit přístup pouze šifrovaným VPN spojením. Pro zajištění vyšší úrovně bezpečnosti je vhodné přidat autentifikaci uživatelů vůči LDAP databázi, případně je možné doplnit standardní zadávání hesla o dvoufaktorové ověřování. [SCP] SafeDX Cloud Platform toto nabízí v rámci kustomizace služby. Není radno zapomenout ani na logování přístupů, díky kterému administrátor získá přehled o tom, kdo a kdy se k jakým serverům a virtuálním strojům připojoval. 

Kybernetické ohrožení cloudu a jeho prevence 

Zajištění zabezpečeného přístupu k managementu virtuálního prostředí znamená eliminaci jednoho z možných a také často využívaných vektorů kybernetického útoku. Pokud však uživatel plánuje provozovat v cloudovém prostředí služby a aplikace dostupné ze sítě internet, musí zajistit i jejich bezpečnost. Kyberzločinci cílí na aplikace a služby buď se záměrem službu znepřístupnit, nebo získat citlivá data. Používají k tomu různé metody, které cílí na síťové i aplikační zranitelnosti, případně útoky typu DDoS k vyřazení služby z provozu. Účinná obrana proti těmto útokům vyžaduje komplexní ochranu sestávající z mnoha nástrojů, lidí, procesů a postupů a zde dává velký smysl spojit se s kvalitním poskytovatelem služeb, který tyto služby nabízí.

V současné době je možné si v šedé zóně internetu objednat cílený DDoS útok za doslova pár dolarů, a tím vyřadit z provozu služby např. konkurence zahlcením jejích serverů. Obranu proti těmto útokům zajišťuje nejčastěji poskytovatel konektivity, který musí být schopný přicházející útok detekovat a následně úspěšně eliminovat, a to tak, že provoz mířící k napadené službě přesměruje do scrubing centra, kde dochází k odfiltrování škodlivého provozu a k cílové aplikaci je propouštěn pouze validní provoz. DDoS útoky však nemusejí vždy probíhat jen na síťové vrstvě. Aplikační útoky (včetně aplikačních DDoS útoků) jsou mnohem zákeřnější a k vyřazení cílové služby občas stačí i malý, sotva detekovatelný útok. Obrana proti útokům na aplikační úrovni je činnost náročná na znalosti, a to jak síťové, tak aplikační vrstvy a množina možných zranitelností se ještě rozšiřuje, čím více jsou různorodější aplikace a operační systémy používány. Základem aplikační ochrany je Web Application Firewall (WAF).

Jako základní kámen pro ochranu nejen cloudové infrastruktury lze považovat firewall, a to nejlépe s rozšířením o UTM funkce. Kromě ochrany aplikací a uživatelů může sloužit jako VPN koncentrátor, přístupový bod pro SD-WAN sítě, případně je možné na firewallu nakonfigurovat DMZ zónu, která slouží jako speciální síť pro služby, jež mají být dostupné jak z internetu, tak z lokální sítě.

Výše uvedené technologie jsou nejen velmi drahé, ale pro provoz vyžadují specifické know-how. Navíc pro zajištění účinné ochrany proti kybernetickým hrozbám je nutné mít vybudovaný tzv. SOC(Security Operation Center), což je tým odborníků, který dokáže reagovat na detekované bezpečnostní útoky, a snižovat tak jejich dopady na infrastrukturu. Jen málokterá společnost má dostatek prostředků na vybudování vlastní kompletní ochrany své infrastruktury, a proto stále častěji využívají tyto doplňkové služby u cloudových poskytovatelů, jako je SafeDX.

Bezpečnost v privátním cloudu 

Níže jsou zmíněny příklady konkrétních bezpečnostních principů, které byly využité při budování privátního cloudového řešení v [SCP] SafeDX Cloud Platform pro jednoho ze zákazníků SafeDX.

Minimize attack surface

Tento přístup eliminuje provoz nadbytečných služeb, čímž snižuje množství potenciálních cílů pro útočníka. Byly nastaveny access listy a hardening jednotlivých technologií podle CIS a ISO doporučení a zároveň stanovena pravidla kontroly integrity tohoto nastavení.

Establish secure defaults, fails securely

V defaultním nastavení je systém nastaven bezpečně, a to i pokud dojde k neočekávané situaci. Byla použita dvoufaktorová autentifikace pro administraci v kombinaci Privilege Access Management (PAM) řešením pro logování administrátorských aktivit by default.

Principle of least privilege, separation of duties

Jde o omezení uživatelských práv na nezbytné minimum. Příkladem je použití jiného účtu pro administraci a jiného pro uživatelskou činnost, čímž je útočníkovi zmenšen prostor pro napáchání případných škod.

Principle of defense in depth

Vychází z předpokladu, že každá vrstva ochrany může být překonána, a proto je třeba mít více vrstev, abychom zamezili úspěšnému útoku. Došlo k mikrosegmentaci datové sítě, implementaci Intrusion Prevention System (IPS) a nebyla opomenuta ani jasná názvová konvence pro uživatelské, administrátorské a servisní účty. Byl implementován již zmíněný PAM a nastaven monitoring bezpečnostních událostí a jejich korelací pomocí Security Information and Event Management (SIEM).

V neposlední řadě byl zajištěn důsledný patch management proces a nastaven pravidelný sken zranitelností a důsledný proces jejich odstraňování. Vzhledem k velikosti organizace bylo řešení dodáno včetně propracovaného systému školení administrátorů. 

O SafeDX

SafeDX je dceřiná firma globální technologické společnosti Foxconn. Na českém a evropském trhu působí již pátým rokem a je významným partnerem předních technologických společností. Cloudové služby poskytuje z vlastního datového centra umístěného v pražských Vysočanech včetně servisní podpory v českém a anglickém jazyce v režimu 24 × 7 × 365. Moderní zázemí je vystavěno ve standardu Tier III, splňuje bezpečnost RC3 podle normy EN 1627:2011, je držitelem certifikace Systému řízení bezpečnosti informací (ISMS) ISO/IEC 27001 a držitelem certifikátu pro poskytovatele řízených IT služeb ISAE 3402 TYPE 2 udělené auditorskou společností PwC.  ​ Díky své lokalitě je snadno dostupná ze všech pražských byznys center v průměru do třiceti minut.

bitcoin školení listopad 24

Společnost uvedla inovativní [SCP] SafeDX Cloud Platform na český trh na jaře 2021. Pro uvedení [SCP] si zvolila službu HPE GreenLake společnosti Hewlett Packard Enterprise. Spojení unikátní cloudové služby a technologicky vyspělého hardwaru přináší zákazníkům flexibilitu a nečekané možnosti správy zdrojů při zachování tradiční stability a bezpečnosti.

Autor článku