Zagadnieniom dotyczącym bezpieczeństwa w chmurze obliczeniowej poświęcona była w trakcie konferencji „Technology Risk Management Forum 2019” specjalna sesja „Wokół chmury”. Przedstawiamy główne tezy prelegentów. 

Paweł Rzepa, starszy konsultant ds. bezpieczeństwa, SecuRing: Testowanie bezpieczeństwa chmury

Sieci są już na tyle dojrzałe, że mamy w nich mnóstwo komponentów, które je monitorują i dbają o ich bezpieczeństwo. Natomiast w przypadku chmury zazwyczaj całe bezpieczeństwo opiera się na kluczach dostępowych (w tym loginy i hasła) do naszego środowiska chmurowego. A te klucze potrafią wypływać… Przykłady wycieku kluczy to przypadki Tesli (klucze przejęte z konsoli kubernetowej) i Ubera (z prywatnych repozytoriów). Scenariusz, o którym mniej się mówi, ale jest często stosowany, to wycieki przez metadane. 

Jak powinniśmy podchodzić do testowania chmury? Po pierwsze, konieczny jest przegląd architektury. Kolejna rzecz to przyjrzenie się konfiguracji usług (tzw. configuration review) pod kątem standardu najlepszych praktyk według AWS Foundation Benchmark, zawierającego listę audytorską, która pokazuje, jak każda z usług powinna być skonfigurowana. Po trzecie, powinniśmy zwrócić uwagę na pentesty wrażliwych usług typu web aplikacji, które mają na celu wyłapanie błędów i nowych wektorów ataków pojawiających się w kodach serverless, takich jak event injections. Wreszcie, nie możemy mówić o bezpiecznej chmurze, jeżeli nie ma odpowiedniego monitoringu. 

Źródło: Paweł Rzepa: SecuRing: Testowanie bezpieczeństwa chmury – prezentacja podczas TRMF 2019

Marc Lueck, CISO UK & Northern Europe, ZScaler: Keeping ahead of the cloud curve

„Cyfrowa transformacja jest jak wielka fala… Nie możesz jej powstrzymać, ale możesz nauczyć się na niej surfować” – cytat za F. Janssenem, dyrektorem usług IT w firmie Siemens.

81% organizacji ankietowanych w ramach „Club CISO Security Maturity Report 2019” określiło swój poziom dojrzałości w zakresie strategii bezpieczeństwa w chmurze jako średni lub niski.

Co możemy zrobić, żeby dobrze wykorzystać chmurę? Trzy rzeczy: zwiększyć widoczność, aktywować chmurę oraz zabezpieczyć przetwarzanie danych w chmurze obliczeniowej. Ważne jest zrozumienie, czego chce biznes, co robi firma oraz poznanie potrzeb biznesowych w zakresie usług. Należy też zapewnić bezpieczną obsługę i zbudować własną strategię obliczeń w chmurze, przy czym polityka musi działać na rzecz firmy, a nie odwrotnie. Istotne jest zarządzanie ryzykiem mierzalnym, a nie postrzeganym.

Źródło: Marc Lueck: Keeping ahead of the cloud curve – prezentacja podczas TRMF 2019

Paweł Łakomski, Technology Solutions Professional, Microsoft: Chmura możliwości: czyli co ma chmura do działań w cybersec

Choć z chmurą często wiążemy dodatkowe ryzyka, to są one równoważone tym, że chmura daje nowe możliwości z zakresu bezpieczeństwa. Chmura staje się podstawowym narzędziem analizy i wykrywania ataków. Celem dostawców platform cloud jest dostrzeżenie wzorca i zablokowanie ataku na jak najwcześniejszym etapie. Korelacja istniejących danych i ich porównanie z najświeższym Threat Intelligence daje szansę na obronę nawet przed nieznanymi zagrożeniami, przed którymi trudniej się bronić. 

Musimy się skupić na wykrywaniu rzeczy, z którymi dzisiejsze lub dotychczasowe technologie sobie nie radzą. Żeby to zrobić skutecznie, trzeba mieć threat intelligence, świeżą wiedzę o kontekście własnej organizacji i nowych formach cyberataków. A obecnie już nie mamy dni ani godzin, ale mamy minuty, żeby na nie zareagować. Jedna z zalet chmury to dostęp do wiedzy dostawcy usług chmurowych, threat intelligence i zaawansowanej analityki. 

Atakujący myślą grafami, a broniący systemów nadal myślą checklistami. Ważne jest dostrzeżenie powiązań między elementami i wychwycenie momentów, które skorelowane stanowią pewne zagrożenie.

Źródło: Paweł Łakomski: Chmura możliwości: czyli co ma chmura do działań w cybersec – prezentacja podczas TRMF 2019

Jacek Skorupka, dyrektor IT Security, Idea Bank: Finanse w chmurach – wymagania regulatora wobec instytucji finansowych korzystających z chmury obliczeniowej

Chmura daje przede wszystkim możliwość zajęcia się kreowaniem usług dla klienta, a nie zajmowaniem się serwerami, pojemnością itd. Chmura jest szczególnie atrakcyjna dla wprowadzania nowych usług. Banki chcą do chmury, ponieważ zapewnia dostępność i skalowalność, przyspiesza wdrażanie nowych usług (time to market), przynosi niski koszt, ogranicza inwestycje (capex) oraz dostarcza nowe technologie. 

Można wyróżnić trzy warstwy wymagań wobec instytucji finansowych i ubezpieczycieli korzystających z chmury obliczeniowej na polskim rynku: prawo bankowe i ubezpieczeniowe, rekomendacja D (banki) i 10 (ubezpieczyciele) oraz komunikat chmurowy (z października 2017 r.), czyli wytyczne Komisji Nadzoru Finansowego dotyczące przetwarzania informacji prawnie chronionych w chmurze publicznej i hybrydowej. Przetwarzanie w chmurze jest traktowane przez KNF jako outsourcing. 

Źródło: Jacek Skorupka: Finanse w chmurach – wymagania regulatora wobec instytucji finansowych korzystających z chmury obliczeniowej – prezentacja podczas TRMF 2019

Relację z konferencji „Technology Risk Management Forum 2019” można znaleźć też na stronie: https://e-s-r.pl/2019/06/18/podstawa-bezpieczenstwa-coraz-wiecej-wiedzy/ .