Tradycyjne systemy do zabezpieczania danych i systemów nie wystarczają w coraz bardziej złożonej i rozproszonej infrastrukturze ICT. Potrzebne są znaczące zmiany w podejściu do cyberbezpieczeństwa – zwłaszcza w chmurze. Na przykładzie AWS przybliżamy zalecane najlepsze praktyki w zakresie cyberbezpieczeństwa dla ekosystemów chmurowych i hybrydowych.

Według raportu „VMware Global Security Insights” aż w trzech firmach na cztery wzrosła liczba cyber­ataków, a 78% upatruje ich przyczyn w gwałtownym wzroście liczby pracowników zdalnych korzystających z niezabezpieczonych urządzeń i sieci. Ponad 80% respondentów doświadczyło naruszeń w ciągu ostatnich 12 miesięcy, przy czym 82% uznano za istotne. Dziś zdecydowana większość przedsiębiorstw jest uzależniona od stałego dostępu do sieci i przetwarzania informacji na bieżąco. To niesie ze sobą też negatywne konsekwencje w postaci większej podatności na ataki.

Infrastruktura oparta na chmurze wymaga innego podejścia i narzędzi bezpieczeństwa niż tradycyjne środowiska lokalne. „Przyśpieszona, wręcz gwałtowna adaptacja rozwiązań chmurowych stworzyła jedyną w swoim rodzaju okazję do weryfikacji podejścia do cyberbezpieczeństwa w organizacjach. Starsze systemy bezpieczeństwa już nie wystarczają. Organizacje potrzebują innego podejścia do kwestii ochrony danych i aplikacji. Rozwój pracy zdalnej sprawił, że muszą dziś mieć one kontrolę nie tylko nad swoim środowiskiem IT, ale także zewnętrznymi aplikacjami i urządzeniami, z których korzystają pracownicy. Aby rozpoznać zagrożenia, muszą wiedzieć, jakie obciążenia są przetwarzane nie tylko we własnym środowisku serwerowym, ale także we wszystkich punktach końcowych. W miarę jak wyrafinowanie atakujących rośnie i wynikające z tego zagrożenia stają się coraz bardziej powszechne, musimy wzmocnić środki bezpieczeństwa, wdrażając rozwiązania zbudowane z myślą o chmurowym świecie i rozproszonej infrastrukturze IT” – pisze w felietonie o bezpieczeństwie chmury Stanisław Bochnak z VMware. Na końcu przestrzega: „jeśli przeciwnicy chcą atakować na dużą skalę, to chmura jest miejscem, w którym można to robić. Krakerzy wykorzystują moment cyfrowej transformacji firm i jest pewne, że w ciągu najbliższych miesięcy będziemy świadkami jeszcze bardziej wyrafinowanych ataków na chmurę”.

> Bezpieczeństwo chmury AWS

Amazon Web Services w ramach rozbudowanego zestawu narzędzi w chmurze oferuje łącznie ponad 230 usług w zakresie bezpieczeństwa, zgodności i zarządzania. Zestaw ten ma pomagać w ochronie, wykorzystywaniu i udostępnianiu danych, umożliwiając klientom zarządzanie swoimi danymi, kontrolowanie sposobów ich używania oraz określanie, kto ma do nich dostęp i jak są szyfrowane.

„Nasza podstawowa infrastruktura została zbudowana w celu spełnienia wymagań bezpieczeństwa dla organów administracji wojskowej, globalnych banków i innych organizacji o wysokiej wrażliwości na poufność danych”, zapewnia Esteban Hernandez, AWS Security Specialist. AWS uzyskał wiele certyfikatów i akredytacji, wykazując zgodność z zewnętrznymi standardami bezpieczeństwa, takimi jak ISO 27017 (standard bezpieczeństwa opracowany dla dostawców usług chmurowych i użytkowników) czy ISO 27018 (standard dotyczący prywatności w usługach chmurowych).

CTO mogą korzystać z narzędzi takich jak AWS Config i z tagowania zasobów, aby dokładnie zobaczyć, z jakich zasobów chmurowych korzysta ich firma w danym momencie.

AWS zapewnia również szeroką gamę dokumentów dotyczących najlepszych praktyk, narzędzi do szyfrowania i przewodników, z których klienci mogą skorzystać, aby zapewnić środki bezpieczeństwa na poziomie aplikacji. Ponadto partnerzy AWS oferują setki narzędzi i funkcji, które pomagają klientom w zapewnieniu bezpieczeństwa, począwszy od bezpieczeństwa sieci, przez zarządzanie konfiguracją i kontrolę dostępu, po szyfrowanie danych.

> Budowanie efektywnej polityki bezpieczeństwa

Aby zapewnić bezpieczeństwo w chmurze, konieczne jest dostosowanie dotychczas używanych środków do dynamicznego i elastycznego charakteru wdrożeń opartych na chmurze. Zalecane jest wybieranie rozwiązań bezpieczeństwa natywnych dla chmury.

Pierwszym krokiem w poprawie bezpieczeństwa chmury jest zidentyfikowanie istniejących luk w zabezpieczeniach, które mogą narazić ją na zakończony sukcesem atak. Ta samodzielna ocena powinna obejmować: pełny raport dotyczący bezpieczeństwa uwzględniający ponad 100 wymagań kontrolnych, sprawdzenie błędów w konfiguracji bezpieczeństwa w ramach wdrożenia AWS, pełną inwentaryzację zasobów AWS oraz listę działań, które należy podjąć według przyjętych priorytetów w celu naprawy wszelkich zidentyfikowanych problemów.

> Najnowsze usługi AWS dotyczące cyberbezpieczeństwa

Jak zaznacza cytowany już Esteban Hernandez: „oferta bezpieczeństwa AWS jest stale ulepszana. 90% usług powstaje na podstawie priorytetów wskazywanych przez klientów, a 10% to nasze własne innowacje dla klientów. AWS w swoich rozwiązaniach wykorzystuje sztuczną inteligencję i uczenie maszynowe. Dobrym tego przykładem jest Amazon GuardDuty – zarządzana usługa wykrywania zagrożeń identyfikująca podejrzanych atakujących za pomocą zintegrowanych kanałów analizy zagrożeń. Wykorzystuje ona uczenie maszynowe do wykrywania anomalii na podstawie aktywności kont i obciążeń, w tym wzorce dostępu do danych w S3. Innym przykładem jest usługa Amazon Macie, która wykorzystuje uczenie maszynowe i dopasowywanie wzorców do rozpoznawania poufnych danych, takich jak informacje umożliwiające identyfikację danych osobowych”.

Kolejną z nowości jest też AWS Nitro Systems – usługa, która zapewnia automatyczną metodę wykrywania, identyfikowania i klasyfikowania danych na koncie AWS, pozwala też klientom wdrażać poufne przypadki użycia komputerów, w tym w szczególności tworzenie zaufanych komponentów do przetwarzania poufnych informacji za pomocą AWS Nitro Enclaves.

„AWS zarządza i kontroluje komponenty od systemu operacyjnego hosta i warstwy wirtualizacji aż po fizyczne bezpieczeństwo obiektów, w których działają usługi, a klienci AWS mogą skupić się na tworzeniu bezpiecznych aplikacji”, podkreśla Hernandez.

Podsumujmy zatem. Aby poprawić bezpieczeństwo w chmurze, Amazon zaleca:

• Używanie uwierzytelniania wieloskładnikowego – to najlepszy sposób ochrony kont przed nieodpowiednim dostępem.
• Posiadanie celowych zasad dotyczących danych – właściwa klasyfikacja danych ma kluczowe znaczenie dla ich bezpieczeństwa.
• Niezapisywanie poufnych danych, takich jak klucze bezpieczeństwa w kodzie aplikacji – natomiast używanie usług takich jak menedżer AWS Secrets do ochrony i rotacji poufnych danych. Jeszcze lepiej używać tymczasowych poświadczeń tam, gdzie to możliwe.
• Monitoring aktywności użytkowników – rejestrowanie i monitorowanie to ważne elementy solidnego planu bezpieczeństwa, np. z wykorzystaniem AWS CloudTrail. Możliwość badania nieoczekiwanych zmian w środowisku lub wykonywania analiz w celu iteracji stanu bezpieczeństwa zależy od dostępu do danych.
• Podejmowanie działania z wykorzystaniem GuardDuty – rozwiązania, które zapewnia w chmurze wgląd w zasoby i pozwala wykrywać zagrożenia w odpowiednim czasie.

> Najlepsze praktyki AWS

Główne platformy chmurowe, takie jak Amazon Web Services, umożliwiają organizacjom korzystanie ze skalowalnej i elastycznej infrastruktury obliczeniowej znacznie taniej, niż kosztowałoby podobne wdrożenie (zwłaszcza te większe) we własnym zakresie. Jednak gdy część organizacji szybko decyduje się na wdrażanie i korzystanie z zalet infrastruktury opartej na chmurze, jej bezpieczeństwo często pozostaje w tyle, co prowadzi do naruszeń danych w chmurze i innych incydentów związanych z bezpieczeństwem w chmurze. Dlatego eksperci firmy Checkpoint specjalizującej się w rozwiązaniach do ochrony środowisk teleinformatycznych przygotowali zestaw najlepszych praktyk dotyczących cyberbezpieczeństwa w chmurowych środowiskach AWS i chmury publicznej, zawierający najnowsze wskazówki dotyczące zabezpieczania chmury AWS.

[...]

Autor współpracuje z pismami oraz serwisami internetowymi poświęconymi technologiom teleinformatycznym, prowadzi autorski blog B2B ICT.