HN: Dajte im rozpočet a pozerajte sa!
- Press
Anketa: Ak by ste mali veľmi veľký rozpočet a mohli urobiť iba jednu investíciu u vás vo firme alebo v úrade, čo by ste urobili v oblasti kybernetickej bezpečnosti?
Ján Grujbár, generálny riaditeľ Aliter Technologies, a. s.
Sme technologická firma a tak by sa očakávalo, že investícia bude smerovať do najnovšej technológie. Avšak najcennejším aktívom každej organizácie sú ľudia. Ak im dáte adekvátny tréning a priestor, prinesú vám úžasné riešenia. Investícia v našom podaní by smerovala predovšetkým do rozšírenia vzdelávacích možností pre zamestnancov a vytvorení priestoru pre podporu inovatívnych projektov.
Cloud toho rieši veľa, ale pozor na bezpečnosť
Či si to uvedomujeme, alebo nie, takmer každý človek už získal nejakým spôsobom skúsenosť s cloudom. A zodpovednosť zaň máme vo vlastných rukách.
Určite používate niektorú e-mailovú službu, máte predplatený kancelársky balík alebo si zálohujete fotky z telefónu do úložiska, ktoré ste na tento účel dostali od výrobcu telefónu.
Čo je vlastne cloud? Zjednodušene, je to datacentrum či počítač niekoho iného. Vy mu platíte za to, že môžete používať jeho úložisko, výpočtovú kapacitu alebo iné služby, ktoré poskytuje.
Nejde teda o imaginárny obláčik, ale o reálnu infraštruktúru, ktorú je potrebné spravovať a udržiavať v prevádzke. O toto sa vždy stará poskytovateľ cloudovej služby.
Základná trojka
Niektorí používatelia majú predstavu, že prechodom do cloudu sa vyriešia všetky ich problémy nielen s infraštruktúrou, ale aj s bezpečnosťou. Myslia si, že poskytovateľ cloudovej služby je zodpovedný za všetko. Nie je to však celkom tak.
V súčasnosti sú tri najpoužívanejšie modely cloudových služieb – infraštruktúra ako služba, platforma ako služba a softvér ako služba.
Keď sa pozrieme bližšie na ktorúkoľvek z nich, tak vo všetkých prípadoch je zákazník, teda používateľ cloudovej služby, zodpovedný za riadenie prístupu, kontrolu dát a, samozrejme, aj za bezpečnosť zariadenia, z ktorého sa ku cloudovej službe pripája.
Túto delegáciu zodpovedností je potrebné mať vždy na pamäti a dostatočne vyhodnotiť riziká spojené s implementáciou cloudových riešení v rámci organizácie.
Kľúčové oblasti
Bezpečnosť klasickej infraštruktúry, ale aj tej cloudovej či hybridnej vieme podchytiť v spoločných oblastiach.
V prvom rade je potrebné držať neustály prehľad o všetkých aktívach. Nie je totiž možné chrániť niečo, o čom nevieme. Táto požiadavka je v cloude omnoho zásadnejšia, keďže ten umožňuje vytvárať nové aktíva takpovediac jedným klikom. Dôležitým prvkom je riadenie zmien a rozdelenie zodpovedností, ktoré zabezpečujú viacúrovňovú kontrolu aktív.
Druhou kľúčovou oblasťou je riadenie prístupu a identít. V prípade cloudu sa stráca význam klasického perimetra a ten sa presúva na úroveň identity.
V rámci životného cyklu je potrebné riadiť nielen používateľov, ale aj jednotlivé služby a aplikačné rozhrania. Je podstatné určiť, kto má kam prístup, ale taktiež to, aké má kto oprávnenia z hľadiska akcií. Ide napríklad o vytváranie nových inštancií, ako sú počítače v cloude, dátové úložiská či databázové úložiská.
Ochrana dát a logy
Je nevyhnutné vedieť, kde všade sa budú vaše dáta nachádzať počas svojho životného cyklu. S týmto je neodmysliteľne spojené šifrovanie a správa kľúčov, ako aj porozumenie tomu, akým spôsobom sú dáta zmazané.
Existuje tu totiž možnosť náhodného úniku zvyškov dát, keďže cloudové prostredie sa riadi filozofiou zdieľania zdrojov. To je jeho veľká výhoda, ale zároveň aj bezpečnostné riziko, ktoré je potrebné identifikovať a ošetriť.
Na záver, tak ako aj pri klasickej infraštruktúre, je veľmi dôležité mať prehľad o tom, čo sa v cloude deje. Zabezpečenie dostatočného prehľadu o stave a potenciálnych škodlivých aktivitách si vyžaduje zber a analýzu záznamov – logov – a monitorovanie toku komunikácie.
Budúcnosť je hybrid
Cloud sa neustále vyvíja, prispôsobuje požiadavkám trhu, ale aj meniacim sa hrozbám. Dôkazom môže byť čoraz častejšie využívanie cloudových riešení na úrovní vlád, respektíve armád.
Toto rozšírenie umožňujú rôzne modely nasadenia cloudových služieb. Preto ako najpravdepodobnejšia sa do budúcnosti javí implementácia hybridného modelu nasadenia pozostávajúceho z kombinácie verejného a súkromného cloudu.
Ten by umožnil organizáciám využívať všetky výhody vyplývajúce zo základných charakteristík cloudových služieb a taktiež vyhovieť požiadavkám štandardov a legislatívy.
Daniel Suchý, bezpečnostný špecialista Aliter Technologies
ZDROJ článok: Hospodárske noviny
ZDROJ titulná strana: Hospodárske noviny
ZDROJ anketa: Živě