Nenechte se zaskočit bezpečnostními problémy hybridních cloudů

  • Hybridní cloudová prostředí mohou zvýšit složitost, snížit viditelnost a vyžadovat různé přístupy k protokolování a monitorování.

Sdílet

Ve stále stoupajícím počtu organizací tvoří IT prostředí směs tvořená veřejnými cloudovými službami, privátními cloudy a vlastní infrastrukturou, která se ale stále zmenšuje.

Za poslední dva roky došlo k velkému nárůstu využívání cloudových služeb a tento trend nevykazuje žádné známky zpomalení. Zpráva Gartneru z dubna roku 2021 předpovídá, že celosvětové výdaje na veřejné cloudové služby letos vzrostou o 23 %.

Zpráva uvádí, že technologie jako kontejnerizace, virtualizace a edge computing začínají tvořit hlavní proud a zvyšují výdaje za cloud. Software jako služba (SaaS) zůstává největším tržním segmentem.

Spíše než jeden typ cloudové služby ale společnosti raději volí kombinace, které lépe vyhovují jejich firemním cílům. Hybridní cloudový model dokáže firmám zajistit bezprecedentní flexibilitu. Mohou totiž měnit kapacitu směrem nahoru i dolů podle potřeby a přesouvat data i pracovní zátěže mezi libovolným počtem cloudových služeb.

Hybridní cloud ale také pro podnik představuje kyberbezpečnostní rizika, která mohou vést v případě neošetření k významným ztrátám.

Zde je popis a řešení pěti hlavních problémů, kterým manažeři zabezpečení a jejich týmy čelí při použití modelu hybridního cloudu.

1. Zvýšená složitost, snížená viditelnost

Jak společnosti zavádějí více služeb z veřejného cloudu a přidávají funkce privátních cloudů, roste složitost jejich IT prostředí z hlediska správy a zabezpečení. Bez patřičných kroků k monitoringu využití služeb dochází ke ztrátě viditelnosti toho, co se v takovém prostředí děje.

„Hybridní prostředí přirozeně přináší složitost, protože je nutné zavřít a zamknout velké množství ‚oken a dveří,‘ a také vynucuje odvést větší objem práce na údržbě zabezpečení – např. instalace oprav,“ popisuje Chris Kanaracus, ředitel výzkumu pro vyhrazenou a hybridní cloudovou infrastrukturu a služby v IDC.

„Viděli jsme velké množství významných případů úniků dat vyvolaných lidskými chybami, jako např. nesprávně nakonfigurovanými buckety úložišť ve veřejných cloudech.“

Cloud Security Alliance (CSA), organizace, která definuje standardy, certifikace a osvědčené postupy, které pomáhají zajistit bezpečné prostředí cloud computingu, zmiňovala mezi největšími hrozbami pro cloud computing nesprávnou konfiguraci, nedostatečnou kontrolu změn a omezenou viditelnost využití cloudu.

Převaha cloudových služeb bude často vyžadovat změnu způsobu, jak organizace přistupují k zabezpečení.

„Přestože může volba hybridního cloudového prostředí organizacím nabídnout výběr a flexibilitu, znamená to ale také, že lídři IT musejí přehodnotit svou bezpečnostní praxi a uvážit nezbytné způsoby jejího přizpůsobení,“ popisuje Mandy Andress, šéfka kybernetické bezpečnosti ve společnosti Elastic, která je poskytovatelem produktů pro on-line vyhledávání.

Úsloví ‚Nemůžete zabezpečit to, co nevidíte,‘ je v cloudových hybridních architekturách podle ní obzvláště trefné.“ „Kombinování veřejných a privátních cloudů a infrastruktury může zvýšit složitost a rizika organizace. Viditelnost a kontrola se tak stává při zabezpečení distribuovaného systému naprosto zásadní.“

2. Nedostatek znalostí a dovedností

Kritický nedostatek dovedností v oblasti kybernetické bezpečnosti je dobře zdokumentovaný. Mnoho organizací se snaží najít lidi, kteří mají plnit různé role, ale nalezení a zaměstnání bezpečnostních profesionálů, kteří rozumí cloudu, posouvá tuto výzvu na zcela jinou úroveň.

Zmíněný nedostatek znalostí v oblasti zabezpečení cloudu může podniky ponechat vystavené rizikům, takže musí najít způsoby, jak tyto nedostatky odstranit dříve, než bude příliš pozdě.

Jedním ze způsobů je nabízet interní a externí školení. Je potřeba harmonizovat úsilí mezi firemními odděleními, manažerem zabezpečení a jeho týmem, školením, a také oddělením lidských zdrojů, které musí vytvořit různé kurzy zajišťující kontinuální růst dovedností pro podporu složitého prostředí hybridního cloudu, popisuje Vikram Kunchala ze společnosti Deloitte zaměřené na poradenství pro rizika a finance.

„Je nezbytné poznamenat, že většina netechnologických organizací a poskytovatelů necloudových služeb bojuje na trhu práce o stejný odborný personál,“ připomíná Kunchala.

„V důsledku toho je hledání těchto osob náročné a společnosti by neměly tuto cestu považovat za jedinou. V této oblasti může pomoci rozvoj vzdělávacích programů pro zvýšení odbornosti a případně přeškolení existujícího personálu.“

Solidní správa je další klíčovou součástí hybridního cloudového prostředí, popisuje Kunchala. Existence dobře definované tabulky zodpovědností a provozních modelů může zmírnit obavy a umožnit efektivní správu.

„Monitorovací metriky nabízejí viditelnost efektivity různých bezpečnostních týmů a efektivity zavedených kontrol,“ popisuje.

Šéfové zabezpečení informací „musejí zvážit efektivitu využití svého personálu a jejich dovedností,“ popisuje Andress. „V hybridním cloudovém prostředí může být nutné, aby se bezpečnostní týmy naučily pracovat s bezpečnostními funkcemi cloudových služeb.“

3. Přesun bezpečnostních odpovědností

Odpovědnost za zavedení kontrol bezpečnosti perimetru, infrastruktury a virtualizace se postupně přesouvá na poskytovatele ekosystému veřejného cloudu, takže je potřeba porozumět změnám modelu sdílené odpovědnosti za bezpečnost, upozorňuje Kunchala.

„Organizace se pokoušejí rozšířit kontroly zabezpečení a technologické prostředky privátního cloudu do veřejných cloudů, což ale v některých případech nefunguje,“ popisuje.

„Nedostatečně jasně definovaný provozní model a přiřazení odpovědností ponechává v ekosystému hybridního cloudu prostor pro nezmírněné hrozby a neošetřenou kapacitu, což brání organizaci v růstu a plnění firemních cílů.“

Navzdory důležitosti pochopení a používání modelu sdílené odpovědnosti, který se pojí s využíváním cloudových služeb, to mnoho společností zanedbává. „Modelu sdílené odpovědnosti používanému ve veřejném cloudu stále mnoho podniků nedokáže věnovat dostatečnou pozornost a vážnost,“ upozorňuje Kanaracus.

4. Nepoužitelnost ochrany sítě

Zabezpečení sítě je klíčovou oblastí, kde organizace stále tápou, protože současné nástroje dodavatelů podporující privátní cloud nemusejí být vhodné pro cloudy veřejné, upozorňuje Kunchala.

„Organizace využívají například kontejnery pro bezproblémový přechod a správu v rámci hybridního cloudu. Nepochopení nuancí v síti služeb (service mesh) a zabezpečení API však může vést k potenciální kompromitaci kontejnerů a dalšímu zneužití.“

Většina dodavatelů bezpečnostních nástrojů pro veřejný cloud podporuje i prostředí privátních cloudů, uvádí Kunchala. „Tradiční nástroje dodavatelů účelově vytvořené pro vlastní infrastruktury zákazníků či privátní cloud však nemusejí zvládat širší využití pro veřejný cloud nebo jim mohou chybět některé funkce,“ popisuje.

„Analýza dodavatelů je klíčová a měla by se udělat, jakmile se podaří identifikovat všechny požadavky a účely použití.“

5. Rozptýlené protokoly a monitoring

V prostředí hybridního cloudu jsou zdroje protokolů rozptýlené v systémech zákaznické infrastruktury, v systémech veřejného cloudu, v nástrojích dodavatelů i v cloudově nativních službách, popisuje Kunchala.

„Je důležité identifikovat telemetrii protokolů a vytvořit pro monitoring odpovídající metriky.“ Organizace potřebují klíčové ukazatele výkonu KPI (key performance indicators) pro metriky provozní i funkční úrovně a také klíčové ukazatele rizik KRI (key risk indicators) pro manažerské zprávy, vysvětluje.

„Dozrání funkcí protokolování a monitorování je však zpravidla jedno- až dvouletá cesta, která představuje řadu kroků a vyžaduje řadu nástrojů ke zpracování logů a korelaci pro více zdrojů, než se objeví výstupy podle definovaných metrik,“ popisuje Kunchala.

Konečným cílem je vyvinout vlastní reportovací informační a řídicí panely, které umožní manažerům pochopit zbytkové riziko a dopad cloudových služeb, vysvětluje. Provozní týmy mezitím získají plnou viditelnost útoků APT (pokročilých přetrvávajících hrozeb) v celém prostředí.

Autor: Bob Violino

 

Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí.  Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.