Cloud: Είναι πλέον εδώ…αλλά είναι ασφαλές?

Σύμφωνα με την έρευνα «The State of Cloud Security 2020» που πραγματοποίησε η Pylones σε συνεργασία με το τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιά (ΠΑ.ΠΕΙ.), και τον καθηγητή Χρήστο Ξενάκη,  αποδείχθηκε περίτρανα ότι το cloud επιτρέπει σε μικρές και μεγάλες επιχειρήσεις να αυξήσουν την ευελιξία, να επιταχύνουν τις διαδικασίες εκσυγχρονισμού τους και να κάνουν τα κόστη τους πιο ελαστικά ενώ παράλληλα θα πρέπει να λάβουν (πολύ σοβαρά) υπόψιν τους το θέμα του security στο Cloud.

Αλέξανδρος Νίκαινας
Presales Engineer

Pylones Hellas – www.pylones.gr

Κατά το χρονικό διάστημα της πανδημίας Covid-19, πολλές επιχειρήσεις και τελικοί χρήστες στράφηκαν σε υπηρεσίες cloud αλλά και σε τεχνολογίες ασφαλούς απομακρυσμένης πρόσβασης(remote access) για να συνεχίσουν να εργάζονται απρόσκοπτα εν μέσω της επιβεβλημένης καραντίνας. Ωστόσο, δεν λείπουν οι ανησυχίες σχετικά με την αποθήκευση, το απόρρητο αλλά και την ασφάλεια των δεδομένων που βρίσκονται τόσο εν κινήσει (data in transit) όσο και σε κατάσταση ακινησίας (data at rest). Ποιοι είναι στην πράξη οι υπεύθυνοι για την ασφάλεια; Πόσο καλά γνωρίζουμε τους κινδύνους στο Cloud; Ποιες είναι οι μεγαλύτερες απειλές απέναντι σε αυτό που προσδιορίζουμε Cyber Security;

Σύμφωνα με την έρευνα το cloud φαίνεται να έχει μπει στην καθημερινότητα πολλών χρηστών και εταιρειών. Αυτό δείχνει άλλωστε και το μεγάλο ποσοστό της τάξεως 87,5% των ερωτηθέντων, το οποίο δήλωσε ότι χρησιμοποιεί κάποιας μορφής υπηρεσία/εφαρμογή σε cloud και φαίνεται να είναι εξοικειωμένο πάνω στη τεχνολογία, με το 33,6% να χρησιμοποιεί κάποιο private cloud.

Ποιος  όμως είναι τελικά ο βασικός υπεύθυνος για την ασφάλεια στο cloud; Οι μισοί από τους συμμετέχοντες, το 50%, θεωρεί ότι το cloud security που του παρέχει ο πάροχος δεν είναι επαρκές! Αυτό είναι ένα στοιχείο στο οποίο θα πρέπει να εστιάσουν οι εταιρείες που παρέχουν τις υπηρεσίες αυτές και κατ’ επέκταση να καλύψουν το αίσθημα αβεβαιότητας των χρηστών ως προς την ασφάλεια του cloud.

Επίσης οι επιχειρήσεις που είτε κινούνται στο να χρησιμοποιήσουν το cloud είτε χρησιμοποιούν ήδη το cloud, πρέπει να κατανοήσουν το μέγεθος του shared responsibility στο κομμάτι του security. Η ασφάλεια που παρέχουν οι cloud providers δεν είναι αρκετή για να τους συνοδέψει στο συνεχές μεταβαλλόμενο ταξίδι του ψηφιακού μετασχηματισμού. Οι πρόσθετες λύσεις ασφαλείας είναι πλέον επιβεβλημένες στο κομμάτι των applications και των δεδομένων που ολοένα αποκτούν πρωταγωνιστικό ρόλο στη καθημερινότητα των οργανισμών.

Το μοντέλο κοινής ευθύνης για την ασφάλεια του cloud είναι ένα από τα θέματα που φαίνεται αρκετά απλό, αλλά στην πραγματικότητα είναι πολύ περίπλοκο όταν προσπαθήσει κάποιος να το εφαρμόσει στην πράξη. Αυτός είναι πιθανώς ο λόγος για τον οποίο το 73% των οργανισμών αναφέρουν ότι δεν είναι σίγουροι για το πού σταματά η ευθύνη των παρόχων υπηρεσιών cloud (CSP) για την εξασφάλιση των workloads στο cloud και πού αρχίζει η δική τους.

Τι σημαίνει το Shared Responsibility για το Cloud Security?

Το Shared responsibility model είναι αρκετά εύκολο να ορισθεί: είναι μια έννοια που καθορίζει ότι οι CSPs (Cloud Service Providers) μοιράζονται την ευθύνη με τους πελάτες τους όταν πρόκειται για την εξασφάλιση των worκload που φιλοξενούνται.

Με λίγα λόγια ο πάροχος υπηρεσιών cloud, έχει την ευθύνη για την ασφάλεια των φυσικών συσκευών (hardware) αλλά και της φυσικής πρόσβασης στα Datacenters , δηλαδή είναι υπεύθυνος για ότι έχει να κάνει με την υποδομή (infrastructure) και αντίστοιχα οι χρήστες είναι υπεύθυνοι για την ασφάλεια των δεδομένων τους, των εφαρμογών τους, την πρόσβαση των διαχειριστών μέσω ρόλων σε εργαλεία διαχείρισης κτλ.

Ένα παράδειγμα αμοιβαίας ευθύνης είναι όταν οι χρήστες του cloud έχουν ενεργοποιήσει κρυπτογράφηση των δεδομένων τους που βρίσκονται σε κάποιον αποθηκευτικό χώρο στο νέφος. Είναι δηλαδή εκείνοι υπεύθυνοι για τα δεδομένα τους. Αλλά όταν τελειώσει ο κύκλος ζωής του φυσικού αποθηκευτικού μέσου και χρειαστεί ο πάροχος να το αντικαταστήσει (πχ ένας SSD δίσκος σε κάποιον εξυπηρετητή) τότε είναι ο ίδιος ο πάροχος υπεύθυνος για την καταστροφή του φυσικού μέσου με την σωστή διαδικασία έτσι ώστε να μην μπορούν να ανακτηθούν αυτά τα δεδομένα από τρίτους με κακόβουλες διαθέσεις.

Ο κάθε CSP έχει τον δικό του ορισμό – όπως η Amazon Web Services (AWS), το Azure και το Google Cloud – στο τέλος όλοι καταλήγουν στην ίδια βασική ιδέα.

Η έννοια της κοινής ευθύνης είναι λογική, δεδομένου ότι οι CSP δεν έχουν τον πλήρη έλεγχο σε ό, τι κάνουν οι χρήστες στο cloud τους. Δεν μπορούν να αναγκάσουν τους πελάτες να διαμορφώσουν τις πολιτικές IAM (Identity & Access Management) με ασφαλή τρόπο ή να βεβαιωθούν ότι διορθώνουν τις εφαρμογές τους έναντι των πιο πρόσφατων τρωτών σημείων.

Ομοίως, οι οργανισμοί που χρησιμοποιούν public cloud έχουν περιορισμένο έλεγχο της υποδομής του cloud τους. Δεν μπορούν να παρακολουθούν τις ευπάθειες στους διακομιστές ενός CSP ή να εντοπίζουν εισβολές στο δίκτυό του.

Επομένως, είναι λογικό οι CSP και οι πελάτες τους να μοιράζονται την ευθύνη για την ασφάλεια, με κάθε μέρος να αναλαμβάνει την ευθύνη που του αναλογεί στην εξασφάλιση των πόρων που ελέγχει.

Multi-Cloud, Hybrid Cloud και Shared Responsibility

Το γεγονός ότι πολλοί οργανισμοί χρησιμοποιούν πλέον πολλαπλά υπολογιστικά νέφη (clouds) ταυτόχρονα μπορεί επίσης να περιπλέξει την κοινή ευθύνη, ειδικά εάν ορισμένοι από τους φόρτους εργασίας τους εκτελούνται σε public cloud και άλλοι σε private cloud.

Εάν, για παράδειγμα, διαθέτετε ένα private cloud που λειτουργεί εσωτερικά για να φιλοξενήσει μερικές από τις εφαρμογές σας και φιλοξενείτε άλλα workloads σε ένα public cloud, το συμβατικό μοντέλο Shared Responsibility ισχύει μόνο για τα δημόσια τμήματα των workloads στο cloud. Η ευθύνη για την προστασία του ιδιωτικού σας cloud ανήκει αποκλειστικά σε εσάς, επειδή διαχειρίζεστε τόσο την υποδομή όσο και το workload που εκτελείται σε αυτό.

Εάν χρησιμοποιείτε πολλαπλά public cloud, οι διάφοροι CSPs θα πρέπει να ακολουθούν όλοι τις ίδιες οδηγίες Shared Responsibility. Λάβετε υπόψη, ωστόσο, ότι ο βαθμός στον οποίο ένας CSP διασφαλίζει τα δεδομένα και το workload σας εξαρτάται από την κατηγορία της υπηρεσίας cloud που χρησιμοποιείτε. Έτσι, εάν χρησιμοποιείτε το AWS μόνο για IaaS αλλά βασίζεστε στο Azure για SaaS, αυτοί οι δύο CSPs θα παρέχουν διαφορετικά επίπεδα υπηρεσιών ασφαλείας.

Εφαρμογή του Shared Responsibility Model

Η εφαρμογή του Shared responsibility model στην πράξη απαιτεί αξιολόγηση του  τρόπου διαμόρφωσης των όποιων cloud workloads. Κατά κανόνα, πρέπει να υποθέσετε ότι είστε υπεύθυνοι για την εξασφάλιση οτιδήποτε έχετε τη δύναμη να εξασφαλίσετε σε ένα Zero-Trust πλαίσιο οποιουδήποτε μοντέλου υπηρεσίας cloud χρησιμοποιείτε. Αυτή η προσέγγιση θα μετριάσει τον κίνδυνο και το ρίσκο να βρεθείτε εκτεθειμένοι διότι ούτε ο CSP ούτε ενδεχόμενος εσείς εφαρμόζετε επαρκή ασφάλεια στις υπηρεσίες σας.

Ωστόσο, εάν το όριο μεταξύ του workload σας και της ασφάλειας του CSP εξακολουθεί να είναι θολό, δεν είστε οι μόνοι που το αντιλαμβάνεστε. Ένας από τους πιο συνηθισμένους μύθους ασφάλειας στο cloud είναι ότι ένας CSP θα χειριστεί όλη την ασφάλεια που χρειάζεται μια εταιρεία.

Pylones Hellas & Λύσεις στο Cloud πάνω στο Shared Responsibility

Εφόσον συνυπευθυνότητα σημαίνει ότι όλα τα μέρη έχουν μέρος της ευθύνης, στη παρακάτω εικόνα θα βρείτε ομαδοποιημένα το μέρος της ευθύνης που αναλογεί στους cloud customers, όπως αυτό προκύπτει από τα share responsibility models που παρέχουν οι CSP. Δείτε πως η Pylones μπορεί να συνεργαστεί και με ποιες λύσεις σε όλα τα κομμάτια που είστε εκτεθειμένοι στο cloud!

Στο παρακάτω σχήμα περιγράφεται όλη η επιφάνεια πιθανής επίθεσης (attack surface) για έναν οργανισμό και πως οι Pylones Hellas και με ποιους συνεργαζόμενους κατασκευαστές και πλατφόρμες είτε μεμονωμένα είτε συνδικάστηκα είναι σε θέση να σας προστατέψουν.

Έτσι λοιπόν προσφέρονται λύσεις που παρέχουν:

  • Application security
  • Network security
  • Data security
  • Edge Visibility
  • Identity Access ή αλλιώς IAM