Οι προκλήσεις και οι τρόποι πρόληψης των απειλών
Ενώ το cloud έγινε γρήγορα ένα ουσιαστικό εργαλείο, επιτρέποντας στις επιχειρήσεις και τους υπαλλήλους να συνεχίσουν να λειτουργούν από οπουδήποτε, η άκριτη υιοθέτηση του cloud μπορεί επίσης να φέρει επιπλέον κινδύνους στον κυβερνοχώρο για τους οργανισμούς, κάτι που είναι πλέον ολοένα και πιο σαφές.
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
Εισαγωγή
Οι υπηρεσίες υπολογιστικού νέφους έχουν γίνει ζωτικό εργαλείο για την πλειοψηφία των οργανισμών. Είναι μια τάση που έχει επιταχυνθεί τα τελευταία χρόνια, με τις υπηρεσίες που βασίζονται σε cloud όπως το Zoom, το Microsoft 365 και το Google Workspace και πολλές άλλες να γίνονται τα εργαλεία συνεργασίας και παραγωγικότητας για την σύνολο των εργαζομένων που εργάζονται εξ αποστάσεως.
Στο άμεσο παρελθόν, η πλειοψηφία των εργαζομένων που συνδέονταν με το εταιρικό δίκτυο το έκαναν από τον τόπο εργασίας τους, και έτσι είχαν πρόσβαση στους λογαριασμούς τους, τα αρχεία και τους διακομιστές της εταιρείας τους τις εγκαταστάσεις του οργανισμού, που προστατεύονταν από τείχη προστασίας (firewalls) και άλλα εργαλεία ασφαλείας.
Η εκτεταμένη, όμως, χρήση εφαρμογών cloud σήμαινε μια δραματική αλλαγή, με την πλειοψηφία των εταιριών να αυξάνει σε μεγάλο βαθμό το πλήθος των ευαίσθητων δεδομένων που είναι αποθηκευμένα στο σύννεφο, με τους χρήστες να έχουν πρόσβαση σε εταιρικές εφαρμογές, έγγραφα και υπηρεσίες από οπουδήποτε, έχοντας μετακινηθεί σε ένα μοντέλο απομακρυσμένης εργασίας, λόγω και της πανδημίας. Όταν το μεγαλύτερο μέρος των εργαζομένων εργάζεται από απόσταση και χρησιμοποιεί ένα μείγμα προσωπικών και επαγγελματικών συσκευών, η «επιφάνεια επίθεσης» ενός οργανισμού εξαπλώνεται ακόμη περισσότερο, δίνοντας στους κυβερνοεγκληματίες ακόμα περισσότερες ευκαιρίες.
Πως ορίζεται η υπολογιστική νέφους
Η υπολογιστική νέφους είναι η παροχή υπολογιστικών υπηρεσιών κατ ‘απαίτηση – από εφαρμογές έως αποθηκευτική και επεξεργαστική ισχύ-συνήθως μέσω διαδικτύου και επί πληρωμή. Αντί να κατέχουν τη δική τους υπολογιστική υποδομή ή κέντρα δεδομένων, οι οργανισμοί μπορούν να νοικιάσουν πρόσβαση σε οτιδήποτε, από εφαρμογές έως αποθήκευση από έναν πάροχο υπηρεσιών cloud.
Ένα όφελος από τη χρήση υπηρεσιών cloud computing είναι ότι οι οργανισμοί μπορούν να αποφύγουν το αρχικό κόστος και την πολυπλοκότητα της ιδιοκτησίας και συντήρησης της δικής τους υποδομής πληροφορικής, και αντίθετα να πληρώσουν απλώς για αυτό που χρησιμοποιούν, όταν το χρησιμοποιούν.
Με τη σειρά τους, οι πάροχοι υπηρεσιών νέφους μπορούν να επωφεληθούν από σημαντικές οικονομίες κλίμακας παρέχοντας τις ίδιες υπηρεσίες σε ένα ευρύ φάσμα πελατών. Οι υπηρεσίες υπολογιστικού νέφους καλύπτουν ένα ευρύ φάσμα επιλογών, από την βασική αποθήκευση, την δικτύωση και την επεξεργαστική ισχύ έως την επεξεργασία φυσικής γλώσσας και την τεχνητή νοημοσύνη, καθώς και τυπικές εφαρμογές γραφείου. Σχεδόν κάθε υπηρεσία που δεν απαιτεί φυσική πρόσβαση στο υλικό του υπολογιστή, μπορεί τώρα να παραδοθεί μέσω υπολογιστικού νέφους.
Η ιστορία της υπολογιστικής νέφους
Η υπολογιστική νέφους ως όρος υπήρχε από τις αρχές της δεκαετίας του 2000, αλλά η έννοια του ως υπηρεσία υπήρχε ήδη από τη δεκαετία του 1960, όταν γραφεία υπολογιστών θα επέτρεπαν στις εταιρείες να νοικιάζουν χρόνο σε ένα mainframe, αντί να χρειάζεται να αγοράσουν ένα μόνοι τους.
Αυτές οι υπηρεσίες «διαμοιρασμού χρόνου» ξεπεράστηκαν σε μεγάλο βαθμό από την άνοδο του Η / Υ που κατέστησε την ιδιοκτησία ενός υπολογιστή πολύ πιο προσιτή, και στη συνέχεια από την άνοδο των εταιρικών κέντρων δεδομένων όπου οι εταιρείες θα αποθηκεύουν τεράστιο όγκο δεδομένων.
Αλλά η έννοια της ενοικίασης πρόσβασης στην υπολογιστική ισχύ επανήλθε στην επιφάνεια ξανά – στους παρόχους υπηρεσιών εφαρμογών, στον υπολογισμό βοηθητικών υπηρεσιών και στον υπολογιστικό δίκτυο στα τέλη της δεκαετίας του 1990 και στις αρχές της δεκαετίας του 2000.
Είδη υπολογιστικής νέφους
· Infrastructure-as-a-Service
Η υπολογιστική νέφους μπορεί να αναλυθεί σε τρία μοντέλα. Η υποδομή ως υπηρεσία (IaaS) αναφέρεται στα θεμελιώδη δομικά στοιχεία του υπολογιστή που μπορούν να ενοικιαστούν: φυσικοί ή εικονικοί διακομιστές, αποθήκευση και δικτύωση. Αυτό είναι ελκυστικό για οργανισμούς που θέλουν να δημιουργήσουν εφαρμογές από την αρχή και θέλουν να ελέγξουν σχεδόν όλα τα ίδια τα στοιχεία, αλλά απαιτεί να έχουν τις τεχνικές δεξιότητες για να μπορούν να ενορχηστρώσουν υπηρεσίες σε αυτό το επίπεδο.
· Platform-as-a-Service
Η πλατφόρμα ως υπηρεσία (PaaS) είναι το επόμενο επίπεδο-καθώς και ο υποκείμενος αποθηκευτικός χώρος, η δικτύωση και οι εικονικοί διακομιστές θα περιλαμβάνουν επίσης τα εργαλεία και το λογισμικό που χρειάζονται οι προγραμματιστές για να δημιουργήσουν εφαρμογές: middleware, διαχείριση βάσεων δεδομένων, λειτουργικά συστήματα και εργαλεία ανάπτυξης.
· Software-as-a-Service;
Το Software-as-a-Service (SaaS) είναι η παράδοση εφαρμογών-ως-υπηρεσία, πιθανώς η έκδοση του cloud computing που έχουν συνηθίσει οι περισσότεροι σε καθημερινή βάση. Το υποκείμενο υλικό και το λειτουργικό σύστημα δεν έχουν σημασία για τον τελικό χρήστη, ο οποίος θα έχει πρόσβαση στην υπηρεσία μέσω προγράμματος περιήγησης ή εφαρμογής. αγοράζεται συχνά ανά κάθισμα ή ανά χρήστη.
Η υπολογιστική νέφους δεν έχει ανοσία στις κυβερνοεπιθέσεις
Μερικοί άνθρωποι πιστεύουν λανθασμένα ότι η αποθήκευση πληροφοριών στο νέφος αφαιρεί τον κίνδυνο παραβίασης δεδομένων. Υπάρχει ένας πυρήνας αλήθειας σε αυτό, επειδή οι πάροχοι υπηρεσιών νέφους φροντίζουν να εξασφαλίσουν τον τρόπο με τον οποίο οι οργανισμοί αποκτούν πρόσβαση και χρησιμοποιούν τις υπηρεσίες αυτές.
Τούτου λεχθέντος, οι πληροφορίες που αποθηκεύονται στο νέφος εξακολουθούν να αποθηκεύονται σε φυσική τοποθεσία-διακομιστή τρίτου μέρους σε αντίθεση με τους διακομιστές που είναι στον έλεγχο του οργανισμού – και αν είναι προσβάσιμες σε αυτόν, τότε δυνητικά είναι προσβάσιμες από κακόβουλους χρήστες ή κυβερνοεγκληματίες.
Η μόνη διαφορά είναι ότι τώρα ο οργανισμός μοιράζεται την ευθύνη για την ασφάλειά του με τον πάροχο υπηρεσιών νέφους. Αυτό σημαίνει γενικά ότι το τρίτο μέρος θα αναλάβει την ευθύνη για τη φυσική ασφάλεια των διακομιστών του και τη γενική συντήρησή του, ενώ οι οργανισμοί πρέπει να προστατεύουν τον τρόπο πρόσβασης στις πληροφορίες στο τέλος του.
Δυστυχώς για όσους πιστεύουν ότι η αποθήκευση στο νέφος διευκολύνει την προστασία δεδομένων, η πλειοψηφία των περιστατικών σχετίζονται με τον οργανισμό. Η πρόσφατη ιστορία, καταδεικνύει ότι οι περισσότερες από τις παραβιάσεις ασφαλείας προκαλούνται από ανθρώπους και κακή χρήση των αντίστοιχων εργαλείων και σπάνια προκαλούνται από αποτυχία των εργαλείων αυτών. Πράγματι, μια μελέτη της Gartner διαπίστωσε ότι το 95% των παραβιάσεων του Cloud είναι το αποτέλεσμα λανθασμένων διαμορφώσεων. Το πιο συνηθισμένο από αυτά τα σφάλματα είναι οι εργαζόμενοι που ανεβάζουν μια βάση δεδομένων στο Cloud αλλά δεν καταφέρνουν να δημιουργήσουν προστασία με κωδικό πρόσβασης. Αυτό σημαίνει ότι όποιος αποκτήσει πρόσβαση στη θέση της βάσης δεδομένων έχει πρόσβαση σε αυτήν.
Επιπρόσθετα, η άνοδος της εξ αποστάσεως εργασίας έχει φέρει αμέτρητους κινδύνους όπως αυτός, για τους οποίους μπορείτε να μάθετε περισσότερα στο δωρεάν infographic μας.
Τα παραπάνω, έφεραν την ανάγκη για νέα εργαλεία ασφαλείας, που θα προσδώσουν την απαιτούμενη ασφάλεια στο cloud. Η ασφάλεια στο cloud ορίζεται ως ένα σύνολο πολιτικών, διαδικασιών μέτρων προστασίας και τεχνολογικών εργαλείων που στοχεύει κυρίως στην προστασία εφαρμογών και συστημάτων που βασίζονται σε σύννεφο.
Κύρια ζητήματα και απειλές ασφάλειας στο cloud
Σχεδόν κάθε οργανισμός έχει υιοθετήσει το cloud computing σε διάφορους. Ωστόσο, με αυτήν την υιοθέτηση του cloud έρχεται η ανάγκη να διασφαλιστεί ότι η στρατηγική ασφάλειας του cloud του οργανισμού είναι ικανή να προστατεύσει από τις κορυφαίες απειλές για την ασφάλεια του cloud. Οι κυριότερες απειλές, αναφέρονται στην συνέχεια.
· Λάθος διαμόρφωση
Οι λανθασμένες διαμορφώσεις των ρυθμίσεων ασφαλείας στο cloud είναι η κύρια αιτία παραβίασης δεδομένων cloud. Οι στρατηγικές διαχείρισης στάσης ασφάλειας στο cloud πολλών οργανισμών είναι ανεπαρκείς για την προστασία της υποδομής τους που βασίζεται στο cloud.
Πολλοί παράγοντες συμβάλλουν σε αυτό. Η υποδομή cloud έχει σχεδιαστεί για εύκολη χρήση και για εύκολη κοινή χρήση δεδομένων, καθιστώντας δύσκολο για τους οργανισμούς να διασφαλίσουν ότι τα δεδομένα είναι προσβάσιμα μόνο από εξουσιοδοτημένα μέρη. Επίσης, οι οργανισμοί που χρησιμοποιούν υποδομή που βασίζεται σε σύννεφο δεν έχουν επίσης πλήρη προβολή και έλεγχο της υποδομής τους, πράγμα που σημαίνει ότι πρέπει να βασίζονται σε ελέγχους ασφαλείας που παρέχονται από τον πάροχο υπηρεσιών cloud για να διαμορφώσουν και να εξασφαλίσουν την ανάπτυξη των cloud τους. Δεδομένου ότι πολλοί οργανισμοί δεν είναι εξοικειωμένοι με την ασφάλεια της υποδομής cloud και συχνά έχουν αναπτύξεις πολλαπλών cloud-ο καθένας με διαφορετικό φάσμα ελέγχων ασφαλείας που παρέχονται από τους προμηθευτές-είναι εύκολο για μια εσφαλμένη διαμόρφωση ή επίβλεψη ασφαλείας να αφήσει τους πόρους που βασίζονται στο cloud ενός οργανισμού να εκτίθενται σε επιτιθέμενους.
· Μη εξουσιοδοτημένη πρόσβαση
Σε αντίθεση με την εσωτερική υποδομή ενός οργανισμού, οι εφαρμογές τους που βασίζονται στο cloud είναι εκτός της περιμέτρου του δικτύου και είναι άμεσα προσβάσιμες από το δημόσιο Διαδίκτυο. Ενώ αυτό είναι ένα πλεονέκτημα για την προσβασιμότητα αυτής της υποδομής στους εργαζόμενους και τους πελάτες, διευκολύνει επίσης έναν εισβολέα να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στους πόρους που βασίζονται στο σύννεφο ενός οργανισμού. Η ακατάλληλα διαμορφωμένη ασφάλεια ή τα διαπιστευμένα διαπιστευτήρια μπορούν να επιτρέψουν σε έναν εισβολέα να αποκτήσει άμεση πρόσβαση, ενδεχομένως χωρίς τη γνώση ενός οργανισμού.
· Μη ασφαλείς διεπαφές/API
Οι πάροχοι υπηρεσιών νέφους συχνά παρέχουν έναν αριθμό διεπαφών προγραμματισμού εφαρμογών (API) και διεπαφών για τους πελάτες τους. Σε γενικές γραμμές, αυτές οι διεπαφές είναι καλά τεκμηριωμένες σε μια προσπάθεια να καταστούν εύχρηστες για τους πελάτες του πάροχυ.
Ωστόσο, αυτό δημιουργεί πιθανά προβλήματα εάν ένας πελάτης δεν έχει εξασφαλίσει σωστά τις διεπαφές για την υποδομή του που βασίζεται στο cloud. Η τεκμηρίωση που έχει σχεδιαστεί για τον πελάτη μπορεί επίσης να χρησιμοποιηθεί από έναν εγκληματία στον κυβερνοχώρο για τον εντοπισμό και την εκμετάλλευση πιθανών μεθόδων πρόσβασης και διείσδυσης ευαίσθητων δεδομένων από το περιβάλλον cloud ενός οργανισμού.
· Παραβίαση λογαριασμών
Πολλοί άνθρωποι έχουν εξαιρετικά αδύναμη ασφάλεια κωδικού πρόσβασης, συμπεριλαμβανομένης της επαναχρησιμοποίησης κωδικών πρόσβασης και της χρήσης αδύναμων κωδικών πρόσβασης. Αυτό το πρόβλημα επιτείνει τον αντίκτυπο των επιθέσεων ηλεκτρονικού ψαρέματος και των παραβιάσεων δεδομένων, καθώς επιτρέπει τη χρήση ενός κλεμμένου κωδικού πρόσβασης σε πολλούς διαφορετικούς λογαριασμούς.
Η «απαγωγή» (hi-jacking) λογαριασμών είναι ένα από τα πιο σοβαρά ζητήματα ασφάλειας στο σύννεφο, καθώς οι οργανισμοί εξαρτώνται όλο και περισσότερο από υποδομές που βασίζονται σε cloud και εφαρμογές για βασικές επιχειρηματικές λειτουργίες. Ένας εισβολέας με τα διαπιστευτήρια ενός υπαλλήλου μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα ή λειτουργικότητα και τα διαπιστευμένα στοιχεία των πελατών παρέχουν τον πλήρη έλεγχο του διαδικτυακού τους λογαριασμού. Επιπλέον, στο cloud, οι οργανισμοί συχνά στερούνται της ικανότητας να εντοπίζουν και να ανταποκρίνονται σε αυτές τις απειλές τόσο αποτελεσματικά όσο και για τις υποδομές εσωτερικού χώρου.
· Έλλειψη ορατότητας
Οι πόροι που βασίζονται στο cloud ενός οργανισμού βρίσκονται εκτός του εταιρικού δικτύου και λειτουργούν σε υποδομές που δεν κατέχει η εταιρεία. Ως αποτέλεσμα, πολλά παραδοσιακά εργαλεία για την επίτευξη της ορατότητας του δικτύου δεν είναι αποτελεσματικά για περιβάλλοντα cloud και ορισμένοι οργανισμοί στερούνται εργαλείων ασφαλείας που εστιάζουν στο cloud. Αυτό μπορεί να περιορίσει την ικανότητα ενός οργανισμού να παρακολουθεί τους πόρους που βασίζονται στο cloud και να τους προστατεύει από επιθέσεις.
· Εξωτερική κοινή χρήση δεδομένων
Το cloud έχει σχεδιαστεί για να διευκολύνει την κοινή χρήση δεδομένων. Πολλές υποδομές νέφους παρέχουν την επιλογή διαμοιρασμού και πρόσβασης σε κοινόχρηστους πόρους. Αυτά τα περιβάλλοντα είναι προσβάσιμα απευθείας από το δημόσιο Διαδίκτυο και περιλαμβάνουν τη δυνατότητα εύκολης κοινής χρήσης δεδομένων με άλλα μέρη μέσω απευθείας προσκλήσεων μέσω ηλεκτρονικού ταχυδρομείου ή με κοινή χρήση δημόσιου συνδέσμου προς τα δεδομένα.
Ενώ αυτή η εύκολη κοινή χρήση δεδομένων είναι ένα πλεονέκτημα, μπορεί επίσης να είναι ένα σημαντικό ζήτημα ασφάλειας στο cloud. Η χρήση κοινής χρήσης βάσει συνδέσμων-μια δημοφιλής επιλογή, καθώς είναι ευκολότερη από την ρητή πρόσκληση κάθε συνεργάτη-καθιστά δύσκολο τον έλεγχο της πρόσβασης στον κοινόχρηστο πόρο και δημιουργεί σοβαρές ανησυχίες σχετικά με την απώλεια ή τη διαρροή δεδομένων. Ο κοινόχρηστος σύνδεσμος μπορεί να προωθηθεί σε κάποιον άλλο, να κλαπεί ως μέρος μιας κυβερνοεπίθεσης ή να μαντέψει έναν εγκληματία στον κυβερνοχώρο, παρέχοντας μη εξουσιοδοτημένη πρόσβαση στον κοινόχρηστο πόρο. Επιπλέον, η κοινή χρήση βάσει συνδέσμων καθιστά αδύνατη την ανάκληση της πρόσβασης μόνο σε έναν μόνο παραλήπτη του κοινόχρηστου συνδέσμου.
· Κακόβουλοι Insiders
Οι απειλές από το εσωτερικό είναι ένα σημαντικό ζήτημα ασφάλειας για κάθε οργανισμό. Ένας κακόβουλος εσωτερικός χρήστης έχει ήδη εξουσιοδοτήσει πρόσβαση στο δίκτυο ενός οργανισμού και σε ορισμένους από τους ευαίσθητους πόρους που περιέχει.
Στο σύννεφο, η ανίχνευση ενός κακόβουλου εσωτερικού είναι ακόμη πιο δύσκολη. Με τις εφαρμογές cloud, οι εταιρείες δεν έχουν τον έλεγχο της υποκείμενης υποδομής τους, καθιστώντας πολλές παραδοσιακές λύσεις ασφαλείας λιγότερο αποτελεσματικές. Αυτό, μαζί με το γεγονός ότι η υποδομή που βασίζεται στο cloud είναι άμεσα προσβάσιμη από το δημόσιο Διαδίκτυο και συχνά υποφέρει από εσφαλμένες διαμορφώσεις ασφαλείας, καθιστά ακόμη πιο δύσκολο τον εντοπισμό κακόβουλων εσωτερικών πληροφοριών.
· Κυβερνοεπιθέσεις
Το ηλεκτρονικό έγκλημα είναι μια επιχείρηση και οι εγκληματίες στον κυβερνοχώρο επιλέγουν τους στόχους τους με βάση την αναμενόμενη κερδοφορία των επιθέσεών τους. Η υποδομή που βασίζεται στο σύννεφο είναι άμεσα προσβάσιμη από το δημόσιο Διαδίκτυο, είναι συχνά ακατάλληλα ασφαλής και περιέχει πολλά ευαίσθητα και πολύτιμα δεδομένα. Επιπλέον, το cloud χρησιμοποιείται από πολλές διαφορετικές εταιρείες, πράγμα που σημαίνει ότι μια επιτυχημένη επίθεση μπορεί να επαναληφθεί πολλές φορές με μεγάλη πιθανότητα επιτυχίας. Ως αποτέλεσμα, οι εφαρμογές cloud των οργανισμών αποτελούν κοινό στόχο κυβερνοεπιθέσεων.
· Επίθεση άρνησης υπηρεσίας (Denial of Service Attack)
Το cloud είναι απαραίτητο για την ικανότητα πολλών οργανισμών να κάνουν επιχειρήσεις. Χρησιμοποιούν το cloud για την αποθήκευση δεδομένων κρίσιμης σημασίας για την επιχείρηση και για την εκτέλεση σημαντικών εσωτερικών εφαρμογών και εφαρμογών που αντιμετωπίζουν τον πελάτη.
Αυτό σημαίνει ότι μια επιτυχημένη επίθεση Denial of Service (DoS) κατά της υποδομής cloud είναι πιθανό να έχει σημαντικό αντίκτυπο σε διάφορες εταιρείες. Ως αποτέλεσμα, οι επιθέσεις DoS όπου ο εισβολέας απαιτεί λύτρα για να σταματήσει την επίθεση αποτελούν σημαντική απειλή για τους πόρους που βασίζονται στο cloud ενός οργανισμού.
· Απόρρητο/Απόρρητο δεδομένων
Το απόρρητο και η εμπιστευτικότητα των δεδομένων αποτελούν σημαντικό μέλημα για πολλούς οργανισμούς. Οι κανονισμοί προστασίας δεδομένων, όπως ο Γενικός Κανονισμός της ΕΕ για την Προστασία Δεδομένων (GDPR), ο νόμος για τη φορητότητα και την προσβασιμότητα της ασφάλισης υγείας (HIPAA), το Πρότυπο ασφάλειας δεδομένων της βιομηχανίας καρτών πληρωμής (PCI DSS) και πολλοί ακόμη επιβάλλουν την προστασία των δεδομένων των πελατών και επιβάλλουν αυστηρές κυρώσεις για αστοχίες ασφαλείας. Επιπλέον, οι οργανισμοί διαθέτουν μεγάλο αριθμό εσωτερικών δεδομένων που είναι απαραίτητα για τη διατήρηση του ανταγωνιστικού πλεονεκτήματος.
Η τοποθέτηση αυτών των δεδομένων στο cloud έχει τα πλεονεκτήματά του, αλλά έχει επίσης δημιουργήσει σημαντικές ανησυχίες για την ασφάλεια στο 66% των οργανισμών. Πολλοί οργανισμοί έχουν υιοθετήσει το cloud computing αλλά δεν έχουν τη γνώση για να διασφαλίσουν ότι αυτοί και οι υπάλληλοί τους το χρησιμοποιούν με ασφάλεια. Ως αποτέλεσμα, τα ευαίσθητα δεδομένα κινδυνεύουν να εκτεθούν – όπως αποδεικνύεται από έναν τεράστιο αριθμό παραβιάσεων δεδομένων cloud.
· Αντιμετώπιση περιστατικών
Πολλοί οργανισμοί έχουν θεσπίσει στρατηγικές για την αντιμετώπιση εσωτερικών περιστατικών κυβερνοασφάλειας. Δεδομένου ότι ο οργανισμός διαθέτει όλη την υποδομή του εσωτερικού δικτύου και το προσωπικό ασφαλείας είναι επιτόπου, είναι δυνατό να αποκλείσει το περιστατικό. Επιπλέον, αυτή η ιδιοκτησία της υποδομής τους σημαίνει ότι η εταιρεία έχει πιθανώς την απαραίτητη ορατότητα για να προσδιορίσει το εύρος του συμβάντος και να εκτελέσει τις κατάλληλες ενέργειες αποκατάστασης.
Με την υποδομή που βασίζεται στο σύννεφο, ένας οργανισμός έχει μόνο μερική προβολή και ιδιοκτησία της υποδομής του, καθιστώντας τις παραδοσιακές διαδικασίες και τα εργαλεία ασφαλείας αναποτελεσματικά.
· Νομική και Κανονιστική Συμμόρφωση
Οι κανονισμοί προστασίας δεδομένων όπως το PCI DSS και το HIPAA απαιτούν από τους οργανισμούς να αποδείξουν ότι περιορίζουν την πρόσβαση στις προστατευόμενες πληροφορίες (δεδομένα πιστωτικών καρτών, αρχεία ασθενών υγειονομικής περίθαλψης κ.λπ.). Αυτό θα μπορούσε να απαιτήσει τη δημιουργία ενός φυσικώς ή λογικά απομονωμένου μέρους του δικτύου του οργανισμού, το οποίο είναι προσβάσιμο μόνο από υπαλλήλους με νόμιμη ανάγκη πρόσβασης σε αυτά τα δεδομένα.
Όταν μεταφέρονται δεδομένα που προστατεύονται από αυτούς και παρόμοιους κανονισμούς στο cloud, η επίτευξη και η επίδειξη κανονιστικής συμμόρφωσης μπορεί να είναι πιο δύσκολη. Με την ανάπτυξη cloud, οι οργανισμοί έχουν ορατότητα και έλεγχο μόνο σε ορισμένα επίπεδα της υποδομής τους. Ως αποτέλεσμα, η νομική και κανονιστική συμμόρφωση θεωρείται σημαντικό πρόβλημα ασφάλειας στο cloud.
· Κυριαρχία δεδομένων/Αποθήκευση/Έλεγχος
Οι περισσότεροι πάροχοι υπηρεσιών νέφους διαθέτουν έναν αριθμό γεωγραφικά κατανεμημένων κέντρων δεδομένων. Αυτό συμβάλλει στη βελτίωση της προσβασιμότητας και της απόδοσης πόρων που βασίζονται στο cloud και διευκολύνει την διασφάλιση ότι είναι σε θέση να διατηρούν συμφωνίες επιπέδου υπηρεσιών ενάντια σε γεγονότα που διαταράσσουν τις επιχειρήσεις, όπως φυσικές καταστροφές, διακοπές ρεύματος κ.
Οι οργανισμοί που αποθηκεύουν τα δεδομένα τους στο cloud συχνά δεν έχουν ιδέα πού αποθηκεύονται τα δεδομένα τους μέσα από μια σειρά κέντρων δεδομένων των παρόχων. Αυτό δημιουργεί σημαντικές ανησυχίες σχετικά με την κυριαρχία δεδομένων, την κατοικία και τον έλεγχο δεδομένων για το 37% των οργανισμών. Με τους κανονισμούς προστασίας δεδομένων όπως ο GDPR που περιορίζει την αποστολή δεδομένων των πολιτών της ΕΕ, η χρήση μιας πλατφόρμας cloud με κέντρα δεδομένων εκτός των εγκεκριμένων περιοχών θα μπορούσε να θέσει έναν οργανισμό σε κατάσταση μη συμμόρφωσης με τους κανονισμούς. Επιπλέον, διαφορετικές δικαιοδοσίες έχουν διαφορετικούς νόμους σχετικά με την πρόσβαση σε δεδομένα για την επιβολή του νόμου και την εθνική ασφάλεια, γεγονός που μπορεί να επηρεάσει το απόρρητο και την ασφάλεια των δεδομένων των πελατών ενός οργανισμού.
· Αναξιόπιστοι υπεργολάβοι
Οι υπεργολάβοι του οργανισμού μπορούν να κάνουν λάθη όπως ο καθένας – ιδιαίτερα εάν δεν τηρούν τα κατάλληλα μέτρα για να λειτουργήσουν με υπερβάλλουσα ταχύτητα ή ελάχιστο κόστος.
Δυστυχώς, πολλοί οργανισμοί βασίζονται σε υπεργολάβους επειδή δεν έχουν την εμπειρία να δημιουργήσουν οι ίδιοι ένα δίκτυο υπολογιστικών νέφους.
· Δημόσια δίκτυα
Οι δημόσιες συνδέσεις στο Διαδίκτυο είναι, από τη φύση τους, πιο ανοιχτές και προσβάσιμες από τις ιδιωτικές. Αυτό τους διευκολύνει στη χρήση, αλλά αυξάνει επίσης τον κίνδυνο παραβίασης δεδομένων. Συνεπώς, οι οργανισμοί πρέπει να αποφασίσουν εάν οι κίνδυνοι χρήσης δημόσιου δικτύου υπερτερούν των οφελών.
· Διαγραφή δεδομένων όταν είναι απαραίτητο
Οι οργανισμοί μπορούν εύκολα να χάσουν το πόσα δεδομένα αποθηκεύουν στο Cloud και πώς ρέει σε κάθε τμήμα της επιχείρησης.
Αυτό σημαίνει ότι θα μπορούσαν να καταλήξουν με μεγάλο όγκο δεδομένων σε φακέλους χωρίς λόγο. Αυτό θα προκαλέσει πονοκεφάλους τόσο λόγω του GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων), καθώς επιτρέπεται να αποθήκευση προσωπικών δεδομένων μόνο εάν υπάρχει νόμιμη βάση, ενώ παράλληλα αυξάνεται ο κίνδυνος παραβίασης δεδομένων.
Ασφάλεια στο cloud
Τώρα ας ρίξουμε μια ματιά σε μερικούς από τους τρόπους με τους οποίους ένας οργανισμός μπορεί να επικεντρωθεί στην πρόληψη των απειλών για την ασφάλεια του υπολογιστικού νέφους και των δεδομένων του.
- Πολιτική Χρήσης και Ασφάλειας Υπολογιστικού νέφους. Αφήνοντας στην άκρη τις περίπλοκες εξηγήσεις που στοχεύουν να απαντήσουν στην ερώτηση: Γιατί χρειάζεται μια πολιτική ασφάλειας στο cloud, οι οργανισμοί πρέπει να επικεντρωθούν σε τέσσερα σημεία:
- Οι οργανισμοί αποκομίζουν πολλά οφέλη από το cloud computing.
- Ωστόσο, αυτό συμβαίνει με ορισμένα τρωτά σημεία.
- Οι κυβερνοεγκληματίες προσπαθούν πάντα να εκμεταλλευτούν αυτά τα τρωτά σημεία.
- Όταν τα καταφέρουν, το αποτέλεσμα μπορεί να είναι από ενοχλητικό έως ενοχλητικό έως καταστροφικό.
Ίσως ο πιο σημαντικός λόγος για την εφαρμογή και την ενημέρωση των πολιτικών ασφάλειας υπολογιστικού νέφους για έναν οργανισμό συνδέεται με ένα κεντρικό δόγμα ασφάλειας στο cloud, γνωστό ως «μοντέλο κοινής ευθύνης». Λειτουργικά μιλώντας, η ασφάλεια χωρίζεται σε δύο στοιχεία:
- Ασφάλεια “του σύννεφου”
- Ασφάλεια «μέσα» στο σύννεφο
Στην πρώτη περίπτωση, οι πάροχοι υπηρεσιών υπολογιστικού νέφους είναι υπεύθυνοι για αυτό, έχοντας την ευθύνη να διασφαλίσουν ότι η υποδομή τους είναι απαλλαγμένη από ευπάθειες. Είναι επίσης υπεύθυνοι για τη φυσική ασφάλεια της υπηρεσίας και διασφαλίζουν ότι αποτρέπεται η μη εξουσιοδοτημένη φυσική πρόσβαση στο υλικό ή το λογισμικό, καθώς και η αντιμετώπιση καταστροφών και συμβάντων.
Στην δεύτερη περίπτωση, η ασφάλεια «μέσα» στο σύννεφο, είναι ευθύνη του οργανισμού.
Για προφανείς λόγους, η δημιουργία μιας πολιτικής ασφάλειας στο υπολογιστικό νέφος είναι μια εξαιρετικά περίπλοκη επιχείρηση, στην οποία πρέπει να συμμετέχει η ανώτερη ηγεσία, οι υπεύθυνοι πληροφορικής και ασφάλειας και ίσως ακόμη και εξωτερικός συνεργάτης ώστε να δημιουργηθεί μια ολοκληρωμένη πολιτική που προστατεύει πραγματικά τον οργανισμό από κινδύνους.
Ορισμένα από τα βασικά στοιχεία της πολιτικής αυτής, θα πρέπει να είναι η ύπαρξη:
- έγκρισης από την ανώτερη ηγεσία για την ανάπτυξη πολιτικής ασφάλειας στο cloud.
- σχεδίου έργου και στόχους για το έργο.
- ομάδας με τα κατάλληλα άτομα για τη σύνταξη της πολιτικής.
- συνεργασίας με τη διοίκηση κατά τη σύνταξη της πολιτικής ώστε να καλύπτονται όλα τα σημαντικά ζητήματα.
- συμμετοχή της νομικής ομάδας και του τμήματος ανθρώπινου δυναμικού κατά τη διάρκεια της διαδικασίας συγγραφής
- εσωτερική αναθεώρηση
- υποβολή την πολιτική στην ανώτερη ηγεσία για έγκρισή τους και διανομής της πολιτικής στους υπαλλήλους.
- διαδικασίας αναθεώρησης πολιτικής επανεξέτασης.
- ετήσιων αναθεωρήσεων της πολιτικής.
Επίσης η πολιτική, πρέπει να περιλαμβάνει τα ακόλουθα:
- Τύποι δεδομένων που μπορούν και δεν μπορούν να μετακινηθούν στο cloud
- Πώς αντιμετωπίζουν οι ομάδες τους κινδύνους για κάθε τύπο δεδομένων
- Ποιος παίρνει αποφάσεις σχετικά με τη μεταφορά του φόρτου εργασίας στο cloud
- Ποιος έχει εξουσιοδότηση για πρόσβαση ή μετεγκατάσταση των δεδομένων
- Όροι κανονισμού και τρέχουσα κατάσταση συμμόρφωσης
- Σωστές απαντήσεις σε απειλές, απόπειρες hacking και παραβιάσεις δεδομένων
- Κανόνες σχετικά με την ιεράρχηση των κινδύνων
Τέλος, η πολιτική ασφάλειας πρέπει να αναφέρεται επαρκώς στους παρακάτω στόχους:
- Περιορισμός και προστασία των επιφανειών προσβολή (attacksurface)
- Επικέντρωση στα πιο κρίσιμα / ευαίσθητα δεδομένα.
- Ενσωμάτωση την αρχής «πρώτα την ασφάλεια» στη συνολική στρατηγική.
- Παροχή εκπαίδευσης στον οργανισμό.
- Προστατεύστε από ατυχήματα, λάθη και κακή συμπεριφορά των εργαζομένων.
- Ενημέρωση για τις τελευταίες προκλήσεις ασφαλείας.
- Εκπαίδευση των υπαλλήλων του οργανισμού: Οι περισσότεροι οργανισμοί πέφτουν θύματα κυβερνοεγκληματιών καθώς οι υπάλληλοί τους είναι λιγότερο εκπαιδευμένοι σε θέματα που σχετίζονται με την ασφάλεια. Είναι απαραίτητη η εκπαίδευση ασφαλείας σε όλο το εργατικό δυναμικό του οργανισμού.
- Η κρυπτογράφηση είναι το κλειδί: Η κρυπτογράφηση επιτρέπει στα δεδομένα και τους λοιπούς κρίσιμους πόρους του οργανισμού να πάρουν κρυπτογραφημένη μορφή πριν την αποθήξευσγ στο υπολογιστικό σύννεφο αποθήκευσης. Αυτό μπορεί να διασφαλίσει την προστασία των δεδομένων. Ακόμη και αν οι πληροφορίες αποθηκεύονται σε τρίτο πάροχο, μπορεί κανείς να έχει πρόσβαση στα δεδομένα με ασφάλεια με τη βοήθεια κλειδιών κρυπτογράφησης και αποκρυπτογράφησης.
- Διαχείριση της πρόσβασης των χρηστών για τη βελτίωση της ασφάλειας του υπολογιστικού νέφους. Οι περισσότεροι υπάλληλοι δεν χρειάζονται πρόσβαση σε κάθε εφαρμογή, σε κάθε πληροφορία ή σε κάθε αρχείο στην υποδομή cloud. Ο καθορισμός των κατάλληλων επιπέδων εξουσιοδότησης με ένα σχέδιο διαχερίρισης διαχερίρισης ταυτοτήτων (Identity and Access Management – IAM) διασφαλίζει ότι κάθε εργαζόμενος μπορεί να δει ή να χειριστεί μόνο τις εφαρμογές ή τα δεδομένα που είναι απαραίτητα για να κάνει τη δουλειά του.
Η εκχώρηση ελέγχου πρόσβασης δεν βοηθά μόνο έναν εργαζόμενο να επεξεργάζεται κατά λάθος πληροφορίες στις οποίες δεν έχει εξουσιοδότηση πρόσβασης, αλλά επίσης σας προστατεύει από χάκερ που έχουν κλέψει τα διαπιστευτήρια ενός υπαλλήλου.
Θα πρέπει επίσης να σημειωθεί ότι πολλά πρότυπα συμμόρφωσης με τις κανονιστικές ρυθμίσεις, όπως το HIPAA, το PCI-DSS, το OSO 27001 και πολλά άλλα, απαιτούν αυτού του είδους τα μέτρα ασφαλείας.
- Ισχυροί κωδικός πρόσβασης: Οι ισχυροί κωδικοί πρόσβασης πρέπει να είναι αρκετά πολύπλοκοι και να αλλάζουν συχνά για να αποτρέψουν τους κακόβουλους χρήστες και τους κυβερνοεγκληματίες να αποκτήσουν πρόσβαση «μαντεύοντας» έναν κακό κωδικό.
- Έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA). Ο παραδοσιακός συνδυασμός ονόματος χρήστη και κωδικού πρόσβασης είναι συχνά ανεπαρκής για την προστασία λογαριασμών χρηστών από χάκερ και τα κλεμμένα διαπιστευτήρια είναι ένας από τους κύριους τρόπους με τους οποίους οι κυβερνοεγκληματίες αποκτούν πρόσβαση στα διαδικτυακά επιχειρηματικά δεδομένα και εφαρμογές.
Η προστασία των χρηστών όλους τους χρήστες του υπολογιστικού νέφους με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) θα διασφαλίσει ότι μόνο εξουσιοδοτημένο προσωπικό έχει πρόσβαση στις εφαρμογές και τα δεδομένα. Το MFA είναι ένας από τους φθηνότερους αλλά πιο αποτελεσματικούς ελέγχους ασφαλείας για την αποτροπή των κακόβουλων χρηστών και κυβερνοεγκληματιών της πρόσβασης στους πόρους του υπολογιστικού νέφους σας στο cloud.
- Πρόγραμμα δημιουργίας αντιγράφων ασφαλείας δεδομένων: Το υπολογιστικό νέφος διευρύνει τον ορίζοντά του μέρα με τη μέρα, καθιστώντας πιθανή την μόνιμη απώλεια δεδομένων ενός οργανισμού. Είναι απαραίτητη η ύπαρξη αντιγράφων ασφάλειας των δεδομένων και των λοιπών κρίσιμων πόρων τηρώντας τις βέλτιστες πρακτικές και διανέμοντας τα δεδομένα και τις εφαρμογές σε πολλές ζώνες, δημιουργώντας παράλληλα και ελέγχοντας καθημερινά την λήψη και δυνατότητα ανάκτησης δεδομένων από τα αντίγραφα ασφαλείας.
- Έλεγχοι ασφάλειας: Οι έλεγχοι ασφάλειας και διείσδυσης πρέπει να είναι η προτεραιότητά καθώς αποτελούν έναν από τους καλύτερους τρόπους για την αποτροπή των απειλών ασφαλείας στο υπολογιστικό νέφος.
Παρακολούθηση των δραστηδιοτήτων των τελικών χρηστών με αυτοματοποιημένες λύσεις για τον εντοπισμό εισβολέων. Η παρακολούθηση και η ανάλυση σε πραγματικό χρόνο των δραστηριοτήτων των τελικών χρηστών μπορεί να βοηθήσει στον εντοπισμό παρατυπιώνπου αποκλίνουν από τα συνήθη πρότυπα χρήσης, π.χ. να συνδεθείτε από μια άγνωστη στο παρελθόν IP ή συσκευές.
Αυτές οι μη φυσιολογικές δραστηριότητες θα μπορούσαν να υποδηλώνουν παραβίαση του συστήματός σας, οπότε η έγκαιρη σύλληψή τους μπορεί να σταματήσει τους χάκερ στα ίχνη τους και να σας επιτρέψει να διορθώσετε ζητήματα ασφαλείας πριν προκαλέσουν χάος.
Πρόσθετοι προβληματισμοί
· Μην βασίζεστε αποκλειστικά στον πάροχο υπηρεσιών νέφους για την προστασία των δεδομένων σας
Όταν μετακινούνται στο cloud, οι οργανισμοί πρέπει να συνειδητοποιήσουν ότι η ασφάλεια του υπολογιστικού νέφους είναι μια κοινή ευθύνη μεταξύ αυτών και του παρόχου – και ότι η κατανομή δεν είναι απολύτως ίση. Ο οργανισμός – πελάτης είναι ο κύριος υπεύθυνος για την προστασία των δεδομένων στο cloud και όχι ο πάροχος υπηρεσιών.
Κορυφαίοι πάροχοι όπως το AWS, το Microsoft Azure και το Google Cloud Platform συνήθως εξασφαλίζουν την κύρια υποδομή και τις υπηρεσίες ως μέρος της ευθύνης τους. Αλλά όταν πρόκειται για την εξασφάλιση λειτουργικών συστημάτων, πλατφορμών και δεδομένων, αυτή η ευθύνη βρίσκεται στα χέρια των πελατών. Οι οργανισμοί που παραβλέπουν αυτό το απλό γεγονός αντιμετωπίζουν πολύ μεγαλύτερη πιθανότητα να υποστούν απώλεια δεδομένων.
Οι οργανισμοί πρέπει να γνωρίζουν την ευθύνη τους και να διασφαλίζουν ότι διαθέτουν λύσεις προστασίας. Ελέγχουν τακτικά πώς μπορούν να ανακτήσουν από την απώλεια δεδομένων εάν συμβεί.
· Στρατηγική προστασίας δεδομένων 3-2-1
Η στρατηγική 3-2-1-1 καθορίζει την ύπαρξη 3 εφεδρικών αντίγραφων των δεδομένων σε 2 διαφορετικά μέσα, όπως δίσκο και κασέτα, με 1 από αυτά τα αντίγραφα να βρίσκονται εκτός περιοχής για αποκατάσταση καταστροφών.
· Επίπεδα υπηρεσίας
Θα πρέπει οι οργανισμοί να κατανοήσουν τα πρότυπα σε επίπεδο υπηρεσιών που προσφέρει ο πάροχος. Η υπηρεσία μπορεί να έχει σχεδιαστεί για να παραμένει 99% του χρόνου ή 99,999% σε λειτουργία. Η διαφορά μεταξύ ενός ή δύο 9 μπορεί να είναι η διαφορά μεταξύ τριών πλήρων ημερών διακοπής λειτουργίας ετησίως για τον οργανισμό σας έναντι 27 λεπτών διακοπής λειτουργίας το χρόνο. Και αυτή η διαφορά μπορεί να έχει σημαντικό αντίκτυπο.
· Σχέδιο αποκατάστασης
Έχοντας το κατάλληλο πλάνο δημιουργίας αντιγράφων ασφαλείας και ανάκτησης, ο οργανισμός μπορει να προστατεύσει τα κρίσιμα δεδομένα εάν και όταν συμβεί καταστροφή. Το σχέδιό θα πρέπει να περιλαμβάνει μια προσομοίωση της επιχειρηματικής αναστάτωσης για την αξιολόγηση του σχεδίου αποκατάστασης καταστροφών. Θα πρέπει επίσης να περιλαμβάνει την τακτική δοκιμή των εφεδρικών αντιγράφων, ώστε να είναι εφικτή η επόλυση τυχόν προβλήματων πριν εμφανιστούν.
· Cloud computing και ο GDPR
Όσον αφορά την προστασία δεδομένων, οι οργανισμοί θα πρέπει να ελπίζουν για το καλύτερο και να προετοιμάζονται για το χειρότερο. Παρόλα αυτά, η διατήρηση δεδομένων δεν είναι η μόνη ανησυχία που σχετίζεται με τον GDPR που πρέπει να έχουν οι οργανισμοί όταν χρησιμοποιούν υπηρεσίες υπολογιστικού νέφους. Ένα άλλο τεράστιο ζήτημα είναι ότι, σύμφωνα με τον Κανονισμό, είναι πιο δύσκολο για τους υπεύθυνους επεξεργασίας δεδομένων (οι οργανισμοί που υπαγορεύουν ποιες πληροφορίες υποβάλλονται σε επεξεργασία) να φέρουν την ευθύνη όταν ένα τρίτο μέρος υποστεί παραβίαση δεδομένων.
Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να δίνουν οδηγίες σχετικά με τον τρόπο με τον οποίο οι πάροχοι υπηρεσιών χειρίζονται τις προσωπικές πληροφορίες. Εκτός εάν το τρίτο μέρος δεν πληροί ρητά μία από τις απαιτήσεις, και οι δύο οργανισμοί θα υπόκεινται σε πειθαρχική δίωξη σε περίπτωση παράβασης δεδομένων. Αυτό είναι ιδιαίτερα σημαντικό όταν πρόκειται για υπηρεσίες υπολογιστικού νέφους, λόγω της φύσης της σχέσης μεταξύ των οργανισμών και των σχετικών κινδύνων.
· Μοντέλο μηδενικής εμπιστοσύνης
Το μοντέλο μηδενικής εμπιστοσύνης, το οποίο έχει κερδίσει την εύνοια τα τελευταία χρόνια μεταξύ πολλών προμηθευτών υπηρεσιών νέφους, μπορεί να χρησιμεύσει ως σημείο εκκίνησης.\
Το πλαίσιο ασφάλειας μηδενικής εμπιστοσύνης αμφισβητεί την ιδέα της εμπιστοσύνης σε οποιαδήποτε μορφή, είτε πρόκειται για εμπιστοσύνη δικτύων, είτε για εμπιστοσύνη μεταξύ κεντρικού υπολογιστή και εφαρμογών ή ακόμα και για εμπιστοσύνη υπερ-χρηστών ή διαχειριστών. Ο καλύτερος τρόπος εξασφάλισης ενός δικτύου, σύμφωνα με το πλαίσιο μηδενικής εμπιστοσύνης, είναι να μην υιοθετηθεί εξ αρχής απολύτως κανένα επίπεδο εμπιστοσύνης.
Αν και αυτός είναι ένας αξιέπαινος στόχος, η μηδενική εμπιστοσύνη μπορεί να επιτευχθεί μόνο εάν το μηδενικό άγγιγμα είναι θεμελιώδες στοιχείο. Αυτή η προσέγγιση επικεντρώνεται στη διασφάλιση ότι κανένας – ακόμη και ο μικρός αριθμός αξιόπιστων πόρων που επιτρέπουν οι περισσότεροι προμηθευτές cloud – δεν έχουν πρόσβαση στα δεδομένα των πελατών.
· Trust-as-a-Service
Μπορεί να ακούγεται προφανές, αλλά αξίζει να τονιστεί ακόμα μια φορά: η εμπιστοσύνη είναι μια κοινή ευθύνη μεταξύ του πελάτη και του παρόχου cloud. Η εμπιστοσύνη κερδίζεται επίσης με την πάροδο του χρόνου και είναι ζωτικής σημασίας για την επιτυχία της σχέσης παρόχου πελάτη-cloud. Τούτου λεχθέντος, η μηδενική εμπιστοσύνη είναι ένας τεχνικός όρος που σημαίνει, από τεχνολογική άποψη, να αναλάβει κίνδυνο και παραβίαση. Οι οργανισμοί πρέπει να εμπιστεύονται τον πάροχο cloud τους, αλλά πρέπει να αποφεύγουν την τυφλή εμπιστοσύνη και να επικυρώνονται. Το Trust as a Service (TaaS) είναι ένα νεότερο αρκτικόλεξο που αναφέρεται στην έγκριση τρίτων για τις πρακτικές ασφάλειας ενός παρόχου.
Οι βασικοί παράγοντες που επηρεάζουν την εμπιστοσύνη ενός πελάτη στον πάροχο cloud τους περιλαμβάνουν:
- Τοποθεσία δεδομένων
- Κατάσταση έρευνας και τοποθεσία των δεδομένων
- Διαχωρισμός δεδομένων (διατήρηση δεδομένων πελατών cloud από άλλα)
- Διαθεσιμότητα
- Προνομιακή πρόσβαση
- Δημιουργία αντιγράφων ασφαλείας και ανάκτηση
- Κανονιστική Συμμόρφωση
- Μακροπρόθεσμη βιωσιμότητα
Επίλογος
Οι υπηρεσίες νέφους παρέχουν μια σειρά πλεονεκτημάτων στους οργανισμούς. Ωστόσο, έρχονται επίσης με τις δικές του απειλές και ανησυχίες για την ασφάλεια. Η υποδομή που βασίζεται στο cloud είναι πολύ διαφορετική από ένα κέντρο δεδομένων εσωτερικής εγκατάστασης και τα παραδοσιακά εργαλεία και στρατηγικές ασφαλείας δεν είναι πάντα σε θέση να την εξασφαλίσουν αποτελεσματικά.
Η εύρεση της σωστής προσέγγισης για την ασφάλεια στο cloud είναι δύσκολη – περιλαμβάνει την εξέταση των απαιτήσεων, των στόχων και των προϋπολογισμών του οργανισμού. Ορισμένες λύσεις ασφάλειας cloud είναι πολύ στοχευμένες και απόλυτα αποδοτικές.
Ωστόσο, αυτό μπορεί να οδηγήσει σε προβλήματα με την πάροδο του χρόνου με ομάδες IT που εξαρτώνται από πολλούς παράγοντες με περιορισμένη λειτουργικότητα και κατακερματισμένα δεδομένα που τροφοδοτούνται σε πολλαπλές κονσόλες. Σύμφωνα με την Oracle και την KPMG, το 78% των οργανισμών χρησιμοποιούν σήμερα περισσότερα από 50 προϊόντα ασφαλείας. Όταν οι ομάδες είναι απασχολημένες με μη αυτόματο συσχετισμό δεδομένων, η ανίχνευση των απειλών δεν είναι εφικτή.
Ο οργανισμός πρέπει να επικεντρωθεί στον αυτοματισμό αφού βελτιώνει τη συνέπεια και την ταχύτητα μειώνοντας παράλληλα την προσπάθεια. Κινήσεις όπως το DevOps και το GitOps βρίσκονται ήδη σε αυτήν την πορεία, καθιστώντας την αυτοματοποίηση υποχρεωτική για να διατηρηθεί η ασφάλεια. Η πολιτική ως Κώδικας συμβάλλει στην επιβολή πολιτικών ασφάλειας και συμμόρφωσης, στην τήρηση των βέλτιστων πρακτικών και ταιριάζει καλά σε αυτοματοποιημένες διαδικασίες όπως GitOps, αγωγούς CI/CD και ελέγχους ασφαλείας χρόνου εκτέλεσης.
Η επιβολή ασφάλειας σε όλο τον κύκλο ζωής των εφαρμογών είναι επίσης ζωτικής σημασίας.. Οι πόροι cloud παρέχονται επίσης από την υποδομή ως κώδικα.
Οι οργανισμοί πρέπει να αναζητούν προμηθευτές / συνεργάτες ευθυγραμμισμένους με τους στρατηγικούς στόχους, και που προσφέρουν κάτι περισσότερο από μία μόνο δυνατότητα, καθώς η τάση της εποχής είναι η εκτέλεση περισσότερων δράσεων με λιγότερους πόρους. Τα εργαλεία και οι μηχανισμοί ασφάλειας θα πρέπει να προσφέρουν μια ολιστική λύση στην ασφάλεια του cloud και να ενσωματώνονται στο υπάρχον οικοσύστημα του οργανισμού. Αυτό θα επιτρέψει στις αρμόδιες ομάδες να επικεντρωθούν στην παρακολούθηση και ανίχνευση περιστατικών ασφάλειας, και να ανταποκρίνονται με επιτυχία και ταχύτητα σε αυτά.
Η σχέση με τον προμηθευτή υπηρεσιών νέφους είναι επίσης μια εξαιρετικά σημαντική λύση, λαμβάνοντας υπόψη τομείς όπως η ιδιοκτησία δεδομένων, η πρόσβαση και η διαγραφή. Η σχέση αυτή πρέπει να είναι μια εταιρική σχέση, όχι μια ενιαία αλληλεπίδραση πωλήσεων. Το πρόσφατο παράδειγμα του SolarWinds μας υπενθύμισε τη σημασία της αξιολόγησης του επίπεδου ασφαλείας τρίτων και της επιλογής προμηθευτών που θα συνεργάζονται σε περίπτωση συμβάντος ή παραβίασης.
Μπορεί να φαίνεται ότι όλος αυτός ο σχεδιασμός υιοθετεί μια νοοτροπία «χειρότερου σεναρίου» για την ασφάλεια του cloud του οργανισμού. Είναι σημαντικό να υπάρχει προετοιμασία για τις καταστροφικότερες επιθέσεις ασφαλείας στο cloud, επειδή με τον τρόπο αυτό, θα είναι εφικτή η άμυνα στην μεγάλη πλειοψηφία των απειλών.