Kým sa tam vyberiete. Ako posúdiť bezpečnosť cloudu

Podľa môjho názoru existuje veľmi málo firiem, ktoré nevyužívajú nejakú formu cloudu – či už vedome, alebo nevedome.

Kedy áno a kedy nie

Kým niektoré spoločnosti nemajú problém s extrémne rýchlym prijímaním cloudových riešení, iné vykonávajú rozsiahle cloudové štúdie pre vyhodnotenie finančných, prevádzkových a bezpečnostných dopadov.

Samozrejme, ani jeden zo spôsobov nie je ani dobrý, ani zlý a neexistuje jeden správny postup pre všetkých. Okrem zvýšenia efektivity a zníženie nákladov by cloudové riešenie z pohľadu bezpečnosti nemalo prinášať nové bezpečnostné riziká.

Už pri tom, keď zvažujeme samotný cloud, by sme mali vedieť, aké máme nároky na bezpečnostné riešenia, nakoľko ich cena môže až dramaticky ovplyvniť efektívnosť z finančného pohľadu.

Pre posúdenie cloudovej bezpečnosti by sme sa však mali zamyslieť minimálne nad piatimi nasledujúcimi otázkami.

Aké dáta bude cloud spracovávať

Odpoveď na túto otázku považujem za absolútne kľúčovú. Determinuje totiž ako budeme celý cloud ďalej posudzovať.

Iné požiadavky budeme mať na cloudového poskytovateľa, ak bude spracovávať marketingové materiály, ktoré sú často dostupné na stránkach spoločnosti a iné požiadavky budeme mať na cloudového poskytovateľa, ktorý bude spracovávať autentifikačné prvky.

Nezabúdajme ani na platnú legislatívu – napríklad legislatívny rámec GDPR upravuje aj fyzickú lokalitu dát. Povahu spracovávaných dát by sme mali teda posúdiť na základe citlivosti voči vlastnej organizácií a aj voči platnej legislatíve.

Aké nové hrozby a zraniteľnosti cloudu prináša

Jedna z najväčších chýb, ktorú často môžeme vidieť pri posudzovaní cloudových poskytovateľov je, že firmy sa nezaoberajú vôbec nových potenciálnymi hrozbami a zraniteľnosťami, ktoré cloud prináša.

Častá argumentácie, že sa jedná o renomovaného dodávateľa na svetovej úrovni nevylučuje potenciálne nové hrozby a zraniteľnosti. Pri hľadaní potenciálnych hrozieb a zraniteľností by sme preto mali zamerať minimálne na nasledujúce oblasti.

Interné hrozby

Ako rieši cloudový poskytovateľ oddeľovanie jednotlivých používateľov cloudu na úrovni organizácií? Aké má vnútorné procesy pre overovanie administrátorov? Ako rieši vyradenie starého HW? Sú dáta štandardne šifrované?

Externé hrozby

Ako je zabezpečený prístup z vonkajšieho prostredia? Aké ochranné mechanizmy používa proti externým útokom, napríklad DDoS? Aké autentifikačné mechanizmy sú dostupné pre prístup do cloudového prostredia?

Incidenty v minulosti

Aké bezpečnostné incidenty riešil tento cloudový poskytovateľ v minulosti? Ako komunikoval vzniknuté problémy v minulosti? Vydáva pravidelné správy o údržbe a problémoch?

Súlad s legislatívou

V každom prípade si overujte, či poskytovateľ disponuje potrebnými certifikáciami a preto si skratky PCI DSS, GDPR, ISO27001, SOC2, HIPAA niekam poznačte. Často krát je získanie potrebných certifikácií náročný proces a okrem toho, že sú v istých prípadoch nevyhnutnou podmienkou taktiež pridávajú dôveryhodnosť samotnému cloudovému poskytovateľovi.

Ako ohodnotiť riziko

Hoci existuje veľa prístupov ako ohodnocovať jednotlivé bezpečnostné riziká, vo svojej podstate väčšina prístupov zvažuje najmä pravdepodobnosť a dopad.

Ak sme pri odporúčaní alebo neodporúčaní cloudu pre konkrétnu organizáciu nevedeli jednoznačne povedať, či je pre organizáciu prospešný alebo nie, tak pri ohodnocovaní rizika je táto miera neurčitosti predpovede ešte väčšia.

Ak si zoberieme pravdepodobnosť naplnenia hrozby, tak isto existujú prípady, kedy sa riziko zmenší. Napríklad ak sme zastaralú infraštruktúru presunuli do moderného cloudového prostredia.

Na druhej strane sa môže riziko aj zväčšiť. Ak sme relatívne dobre zabezpečenú vnútornú infraštruktúru či aplikáciu presunuli do cloudu s neadekvátnymi licenciami a znášame riziko útokov na celý cloud.

Kontrolné mechanizmy

Pre korektné ohodnotenie rizika je nutné zvážiť aj to, aké máme dostupné kontrolné mechanizmy. Bezpečnostné riziko môžeme napríklad znížiť zavedením dodatočných kontrolných mechanizmov.

Môžete vyžadovať šifrovanie pre všetky dáta v Cloude, prístup len pomocou multifaktorovej autentifikácie, či rozšírenie súčasného programu vzdelávania v oblasti informačnej bezpečnosti.

Kedy a ako pre koho

Tak ako nie je jedna veľkosť pre všetkých, nemôžeme od stola jednoducho rozhodnúť, pre ktoré firmy a za akých podmienok má zmysel uvažovať nad migráciou dát, aplikácií, infraštruktúry, či všetkého uvedeného do cloudu.

Je nutné dať si na misky váh, a to prípad od prípadu, všetky výhody a nevýhody, ktoré cloud zo sebou prináša. Toto posudzovanie by malo byť o to obozretnejšie, ak si uvedomíme, že migrácia do cloudu je zvyčajne, hlavne pre väčšie organizácie, jednosmerná letenka.

Michal Srnec

ZDROJ: Hospodárske noviny