Τα τελευταία χρόνια είναι όλο και εντονότερη η συζήτηση για μετάβαση δεδομένων, συστημάτων και υπηρεσιών των οργανισμών σε περιβάλλοντα στο υπολογιστικό νέφος. Πολλοί οργανισμοί στην Ελλάδα βλέπουν με θετική ματιά τη συγκεκριμένη τάση και είναι έτοιμοι να εκμεταλλευτούν τα οφέλη του Cloud Computing, ενώ αρκετοί οργανισμοί έχοντας ήδη εκπονήσει τη στρατηγική μετάβασης τους, είτε συνεχίζουν βάσει σχεδίου, είτε έχουν ολοκληρώσει τη μετάβαση αυτή.
Του Δημήτρη Τσακτσίρα
CyberSecurity Solutions Consultant
Networking Solutions, Space Hellas
Σε οποιοδήποτε στάδιο και αν βρίσκεται ο κάθε οργανισμός, τα δεδομένα άλλαξαν τον τελευταίο ενάμιση χρόνο λόγω του COVID-19 και της νέας πραγματικότητας στην οποία κλήθηκαν όλοι να προσαρμοστούν. Οι νέες συνθήκες υποχρέωσαν τους οργανισμούς, ανάλογα με τα αντανακλαστικά τους, είτε να επιταχύνουν, είτε να βάλουν φρένο στις διαδικασίες μετάβασης. Η προτεραιότητα που τέθηκε ήταν να εξυπηρετηθεί η απομακρυσμένη εργασία διαθέτοντας στους χρήστες την απαραίτητη πρόσβαση στην «υποδομή» (δεδομένα, συστήματα, υπηρεσίες) του οργανισμού είτε αυτή είναι στις εγκαταστάσεις του είτε στο Cloud.
Η προστασία της Cloud υποδομής εκ των πραγμάτων είναι μια δύσκολη άσκηση. Εάν σε αυτή προστεθεί και ο παράγοντας της απομακρυσμένης εργασίας η πολυπλοκότητα αυξάνεται και η καθημερινότητα των CISOs δυσχεραίνει ακόμα περισσότερο. Βέβαια όλα αυτά είναι γνωστά. Συνεπώς, σκοπός της παρούσας προσέγγισης είναι να μεταφραστούν οι παραδοσιακές απειλές σε όρους Cloud Computing, αλλά και τα αντίμετρα ώστε αυτές να αντιμετωπιστούν.
Η κυριότερη διαφοροποίηση σε σχέση με τον παραδοσιακό τρόπο προσέγγισης της ασφάλειας είναι ότι στο σύννεφο η υπευθυνότητα μοιράζεται μεταξύ του Cloud Provider και του οργανισμού. Το μοντέλο που ακολουθείται είναι το Shared Security Responsibility Model. Οι πάροχοι cloud υπηρεσιών είναι υπεύθυνοι να αποτρέπουν απειλές που αφορούν το hardware και τη λειτουργικότητα του κέντρου δεδομένων, ενώ οι οργανισμοί είναι υπεύθυνοι για τις απειλές σε δεδομένα και υπηρεσίες που διαθέτουν στο cloud. Αν και δεν είναι το ζητούμενο να εξετάσουμε την ασφάλεια από την πλευρά του παρόχου, είναι σημαντικό να αναφερθεί ότι οι κορυφαίοι πάροχοι cloud υπηρεσιών ακολουθούν κανονιστικά πλαίσια όπως PCI 3.2, NIST 800-53, HIPAA και GDPR, ώστε να περιορίσουν στο ελάχιστο το ρίσκο.
Οι απειλές και οι κίνδυνοι που έχουν να διαχειριστούν οι οργανισμοί αντίστοιχα είναι η απώλεια / υποκλοπή των εταιρικών δεδομένων, η μη εξουσιοδοτημένη πρόσβαση, και οι επιθέσεις με κακόβουλο λογισμικό. Οι κατηγορίες που συνθέτουν το Cloud Security είναι οι εξής:
- Προστασία των δεδομένων
- Διαχείριση ταυτοτήτων και προσβάσεων
- Πολιτικές για πρόληψη, εντοπισμό και περιορισμό των απειλών
- Πλάνο επιχειρησιακής συνέχειας
- Συμμόρφωση με κανονιστικά πλαίσια
Η προστασία των δεδομένων επιτυγχάνεται με κρυπτογράφηση σε όλα τα επίπεδα διακίνησης πληροφοριών, καθώς και με καλή διατήρηση των πόρων αποθήκευσης δεδομένων μέσω ανίχνευσης εσφαλμένων παραμετροποιήσεων.
Η διαχείριση ταυτότητας και πρόσβασης (Identity and access management [IAM]) αφορά τα δικαιώματα προσβασιμότητας που δίνονται στους χρήστες. Ο έλεγχος της πρόσβασης είναι ζωτικής σημασίας για αποτροπή της παραβίασης κρίσιμων δεδομένων και συστημάτων από τους χρήστες (τόσο νόμιμων όσο και κακόβουλων). Στους χρήστες παρέχονται μόνο τα ελάχιστα δικαιώματα που είναι απαραίτητα για την εκτέλεση των καθηκόντων του. Όσο πιο εκτεταμένα προνόμια διαθέτουν, τόσο αυστηρότερα πρέπει να είναι τα επίπεδα ελέγχου ταυτότητας.
Οι πολιτικές για την πρόληψη, τον εντοπισμό και τον περιορισμό των απειλών βοηθούν στην παρακολούθηση και ιεράρχηση τους. Επίσης, τα αντίστοιχα εργαλεία παρέχουν απεικόνιση και αναζήτηση αυτών, επιτυγχάνοντας ταχύτερους χρόνους απόκρισης. Οι αλγόριθμοι ανίχνευσης ανωμαλιών που βασίζονται στην τεχνητή νοημοσύνη (Artificial Intelligence [AI]) εφαρμόζονται για να εντοπίσουν άγνωστες απειλές. Η ενημέρωση σε πραγματικό χρόνο σχετικά με τις επιθέσεις και τις παραβιάσεις πολιτικής μειώνουν τους χρόνους έως την αποκατάσταση.
Το πλάνο επιχειρησιακής συνέχειας (Business Continuity [BC]) περιλαμβάνει μέτρα αποκατάστασης καταστροφών σε περίπτωση απώλειας δεδομένων, όπως για παράδειγμα ανάλυση πιθανών απειλών, αντίγραφα ασφαλείας δεδομένων σε απομακρυσμένο σημείο, εναλλακτική τοποθεσία εργασίας και συστηματική αναθεώρηση του, ώστε να ακολουθεί και αυτό τις αλλαγές του οργανισμού.
Η κανονιστική συμμόρφωση περιστρέφεται γύρω από την προστασία των ευαίσθητων δεδομένων, όπως ορίζεται από νομοθετικά όργανα. Ως εκ τούτου, οι οργανισμοί πρέπει να ακολουθούν τους κανονισμούς και να τηρούν αυτές τις πολιτικές.
Η παραπάνω ανάλυση σίγουρα φέρνει στο μυαλό του καθενός και από μια λύση ή κατηγορία λύσεων, όμως δεν είναι η βέλτιστη προσέγγιση απλά η προσθήκη αυτών των εργαλείων στην ήδη υπάρχουσα αρχιτεκτονική ασφάλειας του οργανισμού. Τα παραπάνω ζητούμενα οφείλουν να αντιμετωπίζονται όχι μεμονωμένα αλλά συνολικά. Είναι σημαντικό οι χρήστες ενός οργανισμού να έχουν ασφαλή πρόσβαση μόνο στα δεδομένα και τις υπηρεσίες του νέφους που τους το επιτρέπει ο ρόλος τους από οπουδήποτε, με οποιοδήποτε μέσο. Το μοντέλο που απαντά σε αυτή την απαίτηση είναι το Zero Trust. Ουσιαστικά, θεωρεί κάθε οντότητα του οργανισμού ως κακόβουλη και επιτρέπει την πρόσβαση μόνο στη περίπτωση που η οντότητα αυθεντικοποιηθεί (MFA), το μέσο που χρησιμοποιεί είναι ασφαλές (EPP/EDR), και βάση του ρόλου του, έχει το δικαίωμα (ΙΑΜ) να πάρει πρόσβαση στα δεδομένα και τις υπηρεσίες που ζητά.
Το επόμενο βήμα προς ένα ασφαλέστερο περιβάλλον στο σύννεφο είναι η εφαρμογή Προγνωστικής Ασφάλειας (predictive security). Η συγκεκριμένη τεχνολογία συλλέγει και αναλύει δεδομένα από τερματικά σημεία και χρησιμοποιώντας τη δύναμη του cloud προστατεύει από μελλοντικές και άγνωστες επιθέσεις. Με άλλα λόγια, δίνει τη δυνατότητα να αποτραπούν οι απειλές προτού ξεκινήσει ο κακόβουλος την επίθεση.
Τέλος, οι οργανισμοί στοχεύουν τη μετάβαση στο Cloud Computing γιατί προσφέρει σημαντικά πλεονεκτήματα όπως εξοικονόμηση χρημάτων, επεκτασιμότητα, και ευελιξία. Όμως παράλληλα προστίθενται ένας επιπλέον παράγοντας που πρέπει να λάβουν υπόψη τους οι υπεύθυνοι ασφαλείας. Τα εργαλεία που διασφαλίζουν τα δεδομένα και τις υπηρεσίες υπάρχουν, τα μοντέλα (π.χ. Zero Trust) για την σωστή εφαρμογή των εργαλείων είναι διαθέσιμα. Επομένως, το μονό που χρειάζεται σε αυτή την ιδιαίτερη πραγματικότητα που ζούμε είναι ένας καλός στρατηγικός σχεδιασμός και προσαρμοστικότητα για να μεταβούμε ομαλά από το Cloud Computing στο Cloud Security.