Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Bezpieczna chmura?

Data publikacji: 27-08-2020 Autor: Grzegorz Kubera

Chmura zapewnia szereg korzyści, ale wiele firm, które korzystają z tego rozwiązania, wciąż chroni swoje dane w sposób niewystarczający. Przed jakimi wyzwaniami stajemy, gdy decydujemy się na chmurę? I jakie są skuteczne praktyki, by zapewnić wysoki poziom bezpieczeństwa?

 

Jak podaje Check Point Software Technologies, już czwarty rok z rzędu najczęściej przechowywanymi informacjami w chmurze są wiadomości e-mail (63%), następnie dane o klientach (45%) i pracownikach (łącznie z danymi HR – 42%). Czy to bezpieczne rozwiązanie? Jeśli zadbamy o odpowiednie systemy ochronne – tak. Na co więc powinniśmy się zdecydować i jakie wyzwania związane z bezpieczeństwem czekają na organizacje, które postawiły na rozwiązanie chmurowe?


> Wyzwania a cyberzagrożenia


Większość przedsiębiorstw decyduje się na usługi chmurowe oferowane za pośrednictwem specjalistycznych urządzeń, działów oraz różnych lokalizacji. Tego rodzaju złożoność może sprawiać, że traci się wgląd w infrastrukturę i ciężko w pełni monitorować czy zabezpieczać przebieg procesów organizacyjnych. Bez odpowiedniego nadzoru łatwo stracić z oczu, kto i w jaki sposób korzysta z usług chmurowych, łącznie z tym jakie dane są przesyłane i od kogo pobierane. Jeśli zaś czegoś nie widzimy, nie jesteśmy w stanie tego chronić. Utrata pełnej kontroli to tylko jedno z wyzwań. Kolejne brzmi: naruszenia zgodności prawnych. W zależności od branży, w jakiej pracujemy, musimy przestrzegać należytych regulacji prawnych. Przejście do chmury może sprawić, że ryzykujemy naruszeniem niektórych regulacji. Dla przykładu: wiele przepisów wymaga, aby firma precyzyjnie wiedziała, gdzie są przechowywane jej dane, kto ma do nich dostęp, jak są one przetwarzane oraz chronione. Aby uniknąć ewentualnych problemów i nie narażać się na kary finansowe, zdecydowanie należy wybierać takich dostawców, którzy spełniają wszystkie wymagane standardy prawne. Innym wyzwaniem, przed jakim stoją firmy decydujące się na chmurę, jest ryzyko naruszenia warunków współpracy z kontrahentami. Możemy np. zawrzeć współpracę z firmą, która oczekuje, że będziemy przechowywać dane lokalnie lub będzie można je udostępniać wyłącznie wybranym osobom. Pracownicy mogą natomiast nieświadomie i bez upoważnienia przesyłać dane do chmury, by wykonywać określone zadania. To prosta droga do problemów prawnych. Pojawiają się one zwłaszcza w sytuacjach, gdy obowiązuje nas umowa o zachowaniu poufności. Tymczasem niektórzy dostawcy usług chmurowych mogą mieć wgląd w nasze dane, dlatego – z odpowiednim wyprzedzeniem – warto upewnić się, czy nie naruszamy żadnych ustaleń.


Niezabezpieczone API (Application User Interface) to kolejne zagrożenie związane z chmurami. Wszystkie zewnętrzne interfejsy API są niejako bramą oferującą nieautoryzowany dostęp dla cyberprzestępców, którzy chcą wykraść dane czy przejąć kontrolę nad usługami. Znanym przykładem jest skandal związany z Cambridge Analytica, gdy niezabezpieczone zewnętrzne API zapewniło tejże firmie szeroki dostęp do danych użytkowników Facebooka.


Ostatnim popularnym wyzwaniem stojącym przed działami IT, które chcą odpowiednio zabezpieczyć firmę korzystającą z chmury, jest... błędna konfiguracja usług. Na rynku ilość usług chmurowych zwiększa się i firmy często korzystają nie z jednego rozwiązania, ale z kilkunastu lub nawet kilkudziesięciu narzędzi działających w chmurze. Wystarczy, że zostawimy domyślne ustawienia bezpieczeństwa, a w przypadku większości usług dane staną się publicznie dostępne, gotowe do edycji, czy nawet możliwe do usunięcia przez osoby niebędące administratorami.


> Zaufany dostawca z przeglądem SLA


Jeśli chcemy zadbać o bezpieczeństwo, powinniśmy zacząć od wyboru zaufanego dostawcy usług chmurowych. Po czym poznać, że dana firma rzeczywiście zapewnia wysoki poziom zabezpieczeń? Niektórzy dostawcy mają oczywiście dobrą, wypracowaną przez lata, markę i renomę – rozwiązania takie jak Google Cloud, Amazon Web Services, Microsoft Azure czy Alibaba Cloud od dawna cieszą się dużym uznaniem wśród klientów biznesowych. Zawsze jednak powinniśmy sprawdzać, czy dany dostawca spełnia wymogi regulacyjne, które nas interesują, i czy ma odpowiednie certyfikaty poświadczające, że jego usługi są należycie zabezpieczone. Dostawca dobrej jakości stawia na transparentność, zapewniając wgląd w tego rodzaju informacje.


Następnie należy zrozumieć tzw. model współodpowiedzialności. Kiedy przenosimy swoje dane do chmury, w zakresie bezpieczeństwa rozpoczynamy partnerstwo z danym dostawcą. Należy dowiedzieć się, jakie zadania związane z bezpieczeństwem leżą po naszej stronie, a które ma zamiar realizować dostawca. Zakres odpowiedzialności zależy tu również od tego, czy decydujemy się na usługę SaaS, PaaS, IaaS czy też on-premise. Tu ponownie pojawia się ten sam wniosek: zaufani dostawcy udostępniają niezbędne informacje i bez problemu możemy dowiedzieć się, za co konkretnie odpowiadają, a co będzie zależeć wyłącznie od nas. Wiele firm ignoruje kwestie związane z tym, czy dostawca może korzystać z danych przechowywanych w jego usługach. Jak podaje McAfee w ubiegłorocznym raporcie „Cloud Adoption and Risk Report”, aż 62,7% dostawców usług chmurowych nie określa, że dane klientów są własnością klienta. Tworzy to szarą strefę, w której dostawca może przejąć kontrolę nad plikami, które wgramy na jego serwery. Zawsze gdy decydujemy się na usługę chmurową, powinniśmy ocenić umowy użytkowania, regulamin i SLA (Service-Level Agree­ment). Dokumenty tego rodzaju stanowią gwarancję, że dane są bezpiecznie przechowywane, i określają, co dzieje się w razie wypadku (np. podczas przejęcia plików przez cyberprzestępców).

 

[...]

 

Założyciel firmy doradczo-technologicznej; pełnił funkcję redaktora naczelnego w magazynach i serwisach informacyjnych z branży ICT. Dziennikarz z ponad 13-letnim doświadczeniem i autor książek nt. start-upów i przedsiębiorczości.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"