Dotychczasowe tradycyjne podejście do kwestii cyberbezpieczeństwa, wypracowane na potrzeby rozwiązań działających lokalnie, nie sprawdza się już w dużej mierze w odniesieniu do środowiska chmurowego – jednomyślnie orzekli prelegenci październikowego spotkania CSO Council. Jego tematem przewodnim były mechanizmy bezpieczeństwa w chmurach publicznych (Azure, Google, AWS i inne). Zdaniem uczestników spotkania, potrzebne jest dzisiaj podejście systemowe, uwzględniające zarówno sytuację użytkownika, jak i specyfikę coraz bardziej rozbudowanych oraz złożonych rozwiązań chmurowych.

Jeśli ktoś myśli, że ten problem go nie dotyczy, bo nie przenosił jeszcze żadnych swoich zasobów do chmury, to powinien sprawdzić, jakie aplikacje są już używane w jego firmie. Obecnie nie ma praktycznie oprogramowania, które nie przekazuje przynajmniej części danych do chmury. Wystarczy wymienić chociażby Office 365. Tak samo działają też inne systemy – Apple’a, Samsunga, Huawei’a i wielu innych producentów. 

To nakłada na specjalistów od bezpieczeństwa obowiązek szczególnej kontroli sposobów postępowania z danymi przez użytkowników firmowych systemów i urządzeń. Mogą mieć bowiem dostęp do chmury z dowolnego miejsca i przez dowolne urządzenie, np. przez smartfona. Trzeba jednak uważać, żeby nie popaść ze skrajności w skrajność. Można, oczywiście, ograniczyć dostęp do usług typu cloud computing tylko do firmowego IP, ale wtedy chmura nie będzie spełniać swojego zadania. Można szyfrować dane, żeby dostawca chmury nie był w stanie ich czytać, ale trzeba uważać, żeby zastosowane zabezpieczenia nie spowodowały ograniczeń w dostępie do zasobów chmurowych. 

Obecnie nie ma praktycznie na rynku oprogramowania, które by nie przekazywało przynajmniej części danych do chmury.

Zaufanie i kontrola

Piotr Motłoch, Sales System Engineer , McAfee

„Specjalną uwagę trzeba zwrócić na sferę shadow IT, czyli procesy przekazywania firmowych plików poza kontrolą firmy. Zazwyczaj odbywa się to właśnie w środowisku chmurowym, chociaż firma często nie zdaje sobie z tego sprawy” – mówił Piotr Motłoch, Sales System Engineer w McAfee. Na przykład bank nie ma chmury, ale jego dział marketingu dostaje banery przez WeTransfer. A to znaczy, że firmowy dział bezpieczeństwa czy firmowy dział IT nie mają możliwości zablokowania transferu plików. 

Warto przeprowadzić audyt. W każdej organizacji zawsze można znaleźć jakąś chmurę. Mogą z niej korzystać, niekoniecznie oficjalnie, poszczególne działy czy piony albo poszczególni pracownicy. Mogą to być np. systemy współdzielenia plików. Trzeba umieć wtedy odpowiedzieć sobie na wiele różnych pytań: gdzie są serwery? czy można wysyłać pliki całkiem anonimowo? co faktycznie było do tej pory wysyłane? Warto też sprawdzić adresy URL, które były wykorzystywane przez przestępców. Może się okazać, że jest wśród nich wiele serwisów chmurowych wykorzystywanych w strefie cienia także w naszej firmie. Można stworzyć własną grupę URL-i i blokować do nich dostęp. Można sprawdzić, dlaczego dana usług nie powinna być użyta – bo nie ma np. uwierzytelnienia – i też blokować do niej dostęp. 

„Chmura jest niebezpieczna, ale tylko w postaci niekontrolowanej, gdy nie wiemy, co się naprawdę dzieje w zakresie korzystania z niej w naszej firmie albo gdy nie potrafimy tego monitorować” – podkreślał Piotr Motłoch. Zwracał  jednak przy tym uwagę, że najważniejsza jest kwestia zaufania. Musimy sami odpowiedzieć sobie na pytanie: do kogo możemy mieć zaufanie? Jakiemu rozwiązaniu i jakiemu dostawcy jesteśmy w stanie zaufać na tyle, by powierzyć mu przechowywanie i przetwarzanie naszych danych. 

Czy można mieć zaufanie do wszystkich? Microsoft, Apple, Google, Samsung, Huawei… Czy można działać sprawnie bez tych wszystkich chmurowych rozwiązań? Rozważenie wszystkich za i przeciw jest w gestii każdego szefa bezpieczeństwa. A sytuacja wcale nie będzie się polepszać. Wcześniej czy później każdy producent będzie przesyłał coraz więcej rzeczy do chmury. Często nawet o tym nie będziemy wiedzieć, nie będziemy nawet tego w stanie sprawdzić. 

Co nam w takiej sytuacji pozostaje? Zaufanie! – powtarza już kolejny raz Piotr Motłoch. Zaufanie, że producent rzetelnie nas informuje, co i do jakich celów wykorzystuje, gdy pobiera nasze dane do swoich zasobów. Kluczowa staje się też analiza ryzyka, zarówno ta dotycząca zachowań użytkowników, jak i dostarczająca przesłanek do decyzji, których rozwiązań można w firmie używać, a których nie. 

Warto zrobić audyt. W każdej organizacji zawsze uda się znaleźć jakąś chmurę. Mogą z niej korzystać, niekoniecznie oficjalnie, poszczególne działy czy piony albo poszczególni pracownicy. Mogą to być na przykład systemy współdzielenia plików.

Wiele modeli i rozwiązań 

Michał Furmankiewicz, EVP & Head Of Consulting, Chmurowisko

To, co się dzieje w chmurze, jest w zasadzie poza naszą kontrolą, ale na to, co robimy z chmurą w firmie, możemy mieć realny wpływ. Od korzystania z chmury na pewno już nie uciekniemy. Powinniśmy to jednak starać się robić na własnych warunkach. 

Trzeba przede wszystkim starać się zdobywać wiedzę i świadomość zasad funkcjonowania chmury. Należy od razu powiedzieć, że nie jest to łatwe. Sprawę utrudnia już chociażby sam fakt, że u każdego dostawcy świadczenie usług chmurowych wygląda inaczej. I nie chodzi tylko o to, że mamy do czynienia z różnymi modelami cloud computing: IaaS, PaaS czy SaaS, lecz głównie o to, że u każdego dostawcy są możliwe różne strefy wpływu użytkownika. „Różne są architektury środowisk chmurowych, różne oferty usług, różne umowy, różne gwarancje. Trzeba na te różnice bardzo uważać, bo one mają wpływ na bezpieczeństwo” – podkreślał Michał Furmankiewicz, EVP & Head Of Consulting, Chmurowisko.  

Poza tym chmura to nie tylko rozwiązania jej vendorów. Jest też wielu dostawców, których rozwiązania integrują się z chmurą. Na architekturę bezpieczeństwa w chmurze składa się także szereg różnych rozwiązań od różnych podmiotów: rozwiązania dostawcy, rozwiązania vendora, rozwiązania własne klienta. Do tego jeszcze te same nazwy mogą często oznaczać u każdego coś zupełnie innego

Trzeba mieć jednak świadomość, że dostawca chmury odpowiada tylko za część działań związanych z obszarem świadczonych usług i udostępnianych zasobów. Znaczna część odpowiedzialności – różna w zależności od rodzaju usług i modeli ich świadczenia – może spoczywać na samym użytkowniku. Dlatego potrzebne jest dobre rozeznanie i dopracowanie zasad współpracy, by było jak najmniej obszarów niejasności. Jest to tym bardziej ważne, że na bezpieczeństwo chmury ma wpływ wiele różnych czynników: prawo, architektura rozwiązań, konfiguracja usług, monitoring i analiza zdarzeń, wykorzystanie rozwiązań dedykowanych i uzupełniających. 

Dla kwestii bezpieczeństwa istotny jest również fakt, że funkcjonowanie środowisk cloud computing wiąże się z ich pełną, posuniętą do granic możliwości automatyzacją. Do tego dochodzi standaryzacja. Jest to niezbędne dla zarządzania coraz bardziej złożonymi środowiskami chmurowymi. Jak mówił Michał Furmankiewicz, jeden dostawca chmury może posiadać w tej chwili od 9 do 12 mln urządzeń. Może mieć więc też wiele nietypowych rozwiązań i technologii. 

Automatyzacja i standaryzacja pozwalają dostawcom panować nad całością swojej infrastruktury. Nakładają jednak na użytkowników wiele ograniczeń – nie wszystko da się zrobić w chmurze. To powoduje, że do kwestii bezpieczeństwa trzeba podchodzić inaczej niż dotychczas. Na przykład należy mieć zapewnioną analitykę systemu przed wdrożeniem rozwiązań chmurowych. Ważna jest też odpowiednia organizacja procesów, sprawne połączenie funkcjonowania maszyn z pracą ludzi.

Chmura to nie tylko rozwiązania jej vendorów. Jest też wielu dostawców, których rozwiązania integrują się z chmurą. Na architekturę bezpieczeństwa w chmurze składa się także szereg różnych rozwiązań od różnych podmiotów. 

Rośnie świadomość, rośnie chmura

„Chmura wybacza mniej, bo rośnie poziom komplikacji stosowanych rozwiązań i technologii. Trzeba dysponować coraz większą wiedzą na temat bezpieczeństwa rozwiązań chmurowych. Wiedzy tej jest jednak mało, bo chmura dostępna jest dopiero od niedawna” – tłumaczył Michał Furmankiewicz. Jego zdaniem, jak się zaczyna korzystać z rozwiązań chmurowych, trzeba się przede wszystkim uczyć, uczyć, uczyć… 

Pocieszające dla osób odpowiedzialnych za bezpieczeństwo w firmach może być to, że dostawcy zabezpieczeń coraz lepiej rozumieją chmurę i oferują coraz lepsze produkty. Zazwyczaj jednak chcą unifikować swoje rozwiązania, co przy istniejącym obecnie bardzo dużym stopniu komplikacji zasobów informatycznych ogranicza możliwości ich wykorzystania, nie pozwala użytkownikom stosować ich w elastyczny sposób. 

Z drugiej strony, jak zwracał uwagę Piotr Motłoch, dzisiaj praktycznie każde dostępne na rynku narzędzie z zakresu cyberbezpieczeństwa wysyła przynajmniej część danych do chmury…

Pocieszające może być to, że dostawcy zabezpieczeń coraz lepiej rozumieją chmurę i oferują coraz lepsze produkty. Z drugiej strony, praktycznie każde dostępne dzisiaj narzędzie z zakresu cyberbezpieczeństwa wysyła przynajmniej część danych do chmury.