Jak bezpiecznie korzystać z usług chmurowych?

Według najnowszych badań prowadzonych przez EY aż 64% polskich firm już korzysta z rozwiązań chmurowych, natomiast prognozuje się, że kolejne 26% planuje takie działanie w najbliższym roku. Rynek usługodawców chmurowych rozwija się i nieustannie ulepsza starając się na bieżąco reagować na zmiany i błędy, które napotykają użytkownicy. Dla zdecydowanej większości firm multi-cloud (wykorzystanie wielu usług przetwarzania i przechowywania w chmurze) oraz rozwiązania hybrydowe staje się normą.

Dostęp do danych jest teraz tak oczywisty, że nawet, gdy nie ma informacji o jakimkolwiek zagrożeniu naszych danych, to każda firma powinna sobie zadać pytanie: jak bezpieczne korzystać z usług chmurowych?

Kto odpowiada za bezpieczeństwo danych: firma czy dostawca?

Nie istnieje rozwiązanie, w którym całą odpowiedzialność za to, co dzieje się na serwerach, przejmuje firma zewnętrzna. Zawsze korzystanie z usług chmurowych oparte jest na modelu współdzielonej odpowiedzialności. W celu zapewnienia bezpieczeństwa systemu IT należy przestrzegać szereg zasad, które leżą po stronie użytkownika.

Współpracując z dostawcami usług chmurowych jesteśmy zobowiązani do przeszkolenia pracowników pod kątem bezpiecznego korzystania z chmury, przetwarzania informacji i danych, użytkowania urządzeń mobilnych i stacjonarnych, weryfikacji dostępu do kont i zarządzania tożsamością.

W zależności od zakresu usług, na które zdecydujemy się we współpracy z dostawcą, obszary naszego nadzorowania bezpieczeństwa lub współdzielenia go mogą obejmować dodatkowe elementy, takie jak: aplikacje, konfiguracja sieci czy systemu operacyjnego. Zawsze jednak za bezpieczeństwo infrastruktury chmury, czyli serwerów, sieci, baz danych, pamięci masowej czy systemu sieciowego odpowiada usługodawca.

Mówiąc najprościej – dostawcy chmury zapewniają bezpieczeństwo platform, użytkownicy zaś są odpowiedzialni za zabezpieczanie kanałów komunikacyjnych, danych i procesów, które przeprowadzają w chmurze.

Jaki rodzaj usług cloud computing (chmury obliczeniowej) wybrać?

Chmurę możemy podzielić na 3 rodzaje: publiczną (ogólnodostępną, zyskujemy dostęp do zasobów przez Internet), prywatną (stworzoną na potrzeby jednej firmy) i hybrydową (przetrzymujemy dane zarówno w chmurze publicznej, jak i prywatnej).

Migracja do chmury to stopniowe pozbywanie się przez klienta odpowiedzialności i przenoszenie ich na dostawcę usługi chmurowej. Im bardziej zaawansowana i komplementarna usługa, tym więcej odpowiedzialności przejmuje dostawca.

Dostawcy usług chmurowych oferują własne propozycje współpracy związane z różnym zakresem przejęcia odpowiedzialności za bezpieczeństwo danych. Przykładem są modele usług infrastrukturalnych, dopasowane do wymagań konkretnego użytkownika.

Wyróżnia się kilka podstawowych modeli współpracy dostawcy z konsumentem chmury:

• Infrastructure as a Service (IaaS) – infrastruktura jako usługa, w której dostawca chmury publicznej przejmuje odpowiedzialność za fizyczną część utrzymania środowiska IT (zasilanie, sprzęt, kontrolę dostępu), tworzy on data center. Użytkownik natomiast dba o bezpieczeństwo systemu operacyjnego, baz danych, aplikacji, weryfikacji dostępu do kont i zarządzania tożsamością, itd.
• Platform as a Service (PaaS) – platforma jako usługa, w której dostawca chmury publicznej przejmuje odpowiedzialność za fizyczną część utrzymania środowiska IT, data center oraz system operacyjny. Użytkownik natomiast dba o bezpieczeństwo baz danych, aplikacji (do ustalenia, może być odpowiedzialność wspólna), weryfikacji dostępu do kont i zarządzania tożsamością, itd.
• Software as a Service (SaaS) – oprogramowanie jako usługa, gdzie odpowiedzialność klienta zaczyna się od aplikacji, dbania o tożsamość i uprawnienia użytkowników. Całą resztę przejmuje dostawca usługi chmurowej.

Dostawcy zapewniają backup danych, jednak nigdy nie daje to 100% bezpieczeństwa. Przykładowo w sytuacjach, gdy użytkownicy popełniają błędy nadwyrężające bezpieczeństwo, typu np. przypadkowe skanowanie/powielanie danych czy dokumentów, które nie pojawią się w chmurze.

Należy pamiętać, że konsument chmury zawsze sam bierze odpowiedzialność za zarządzanie tożsamością w chmurze publicznej i do jego zadań należy stworzenie takiego modelu, który zapewni wygodne użytkowanie systemu i zachowanie przy tym bezpieczeństwa.

Dostawcy usług chmurowych

Jednym z największych globalnych dostawców usług chmurowych jest AWS (Amazon Web Services), obok GCP (Google Cloud Platform) i Microsoft Azure.

Amazon Web Services udostępnia szczegółowe informacje związane z współdzieleniem odpowiedzialności. Dostawca usług, czyli Amazon Web Services wprowadza i obsługuje środki związane z samym bezpieczeństwem chmury, a klient wdrażając różnego typu środki w chmurze obliczeniowej ma obowiązek zadbać o odpowiedni dobór usług, a co ważniejsze ich poprawną konfigurację.

Dla przykładu, dwie najpopularniejsze usługi AWS to Amazon EC2 (Amazon Elastic Compute Cloud) i Amazon S3 (Amazon Simple Storage Service). Pierwsza jest infrastrukturą jako usługa (IaaS), w której klienci zobowiązani są do zarządzania systemem operacyjnym, oprogramowaniem oraz zainstalowanymi zaporami. Druga, Amazon S3, w której klient jest odpowiedzialny za zarządzanie i zabezpieczenie swoich danych poprzez wybranie odpowiedniej polityki bezpieczeństwa i nadania dostępów do swoich danych zgodnie z tym, dla kogo i w jakim stopniu mogą być widoczne.

Oczywiście na rynku istnieje już wiele mniejszych firm-usługodawców chmury, które we współpracy z dostępnymi chmurami publicznymi pomogą każdej firmie dobrać odpowiednie rozwiązanie dostosowane do jej potrzeb.

Jak użytkownicy chmury nie dbają o własne bezpieczeństwo?

Bezpieczeństwo systemu wykorzystującego usługi chmurowe zależy w dużej mierze od konsumentów chmury. Zdecydowana większość udanych złamań systemu bezpieczeństwa danych wynika z zaniedbań firm, a nie dostawców usług.

Dobrą ilustracją dla tego stwierdzenia może być raport Security 2020 State of Public Cloud Security Risks opublikowany przez firmę Orca Security. Powstał on na bazie analizy danych przeprowadzonych za pomocą narzędzia Orca SideScanning. Ruch ten był związany z zasobami klientów firmy Orca, które znajdowały się w chmurach AWS, Azure i Google Cloud. Wynika z niego, że prawie 1/4 firm nie używa mechanizmów wieloskładnikowego uwierzytelniania dostępu do chmurowego konta przez mających pełne uprawnienia administratorów, np. poprzez model „Zero Trust”. Dodatkowo wiele firm ma zasoby danych połączone z Internetem przez nieautoryzowane ścieżki lub korzysta z niewspieranych i nieaktualizowanych na bieżąco systemów operacyjnych. Zdarzają się też firmy z zasobami danych, do których dostęp jest zabezpieczony za pośrednictwem słabych lub dość powszechnie ujawnionych haseł.

Rozpoczynając współpracę z dostawcą usług należy zdawać sobie sprawę z wyżej opisanych możliwości i świadomie oraz odpowiedzialnie podejść do tematu bezpieczeństwa danych w swojej firmie.