Felhőszolgáltatás és biztonság

András múlt heti blogposztjában ígéretet tett, hogy néhány héten keresztül arról lesz szó,
mit nyerhet egy cég a felhő alapú szolgáltatások igénybe vételével a digitális átállás terén.

Ez a témakört az informatikai biztonság kérdésével kezdjük, mert: 

  • A múlt héten említett kutatás alapján a szervezetek az informatikai biztonsági ismereteket tekintik a legfontosabbnak a digitális képességek közül (68%-os említéssel)
  • Mert ez a kedvenc témaköröm – 2001-ben dolgoztam először informatikai biztonsági termék-portfólióval, azóta is nagy szerelem és mellesleg én vagyok a cégnél az Információbiztonsági felelős.
  • Ez a legtöbb vitát – pro- és kontra érvet – kiváltó terület, ha arról van szó, hogy menjünk-e a felhőbe, vagy ne menjünk.

 

Mivel nem szeretném két posztba darabolni ezt a témát, ezért ez most egy kicsit hosszabb lesz.

A felhő kockázat – a felhő lehetőség

Attól a kérdéstől kiindulva, hogy „biztonságos-e a céges adataimat a Dropboxban tárolni?” egészen odáig, hogy mondjuk pénzügyi szolgáltatóként igénybe vegyen-e egy cég felhő alapú szoftvermegoldást ez a téma nagyon sokakat foglalkoztat. Vannak egyértelmű tagadók: „a legnagyobb biztonsági kockázat, ha az adataidat felhőbe teszed, onnan egészen biztosan ellopják majd”, és vannak hurrá-optimisták: „a felhőszolgáltatóknak van pénze azokra a biztonsági megoldásokra, amikre az egyes cégeknek nincs, így gondoskodnak arról, hogy az adatok biztonságban legyenek”.

Én magam részéről a köztes álláspontot támogatom: „A vállalati adatok megfelelő védelméhez biztonságos szolgáltató, ugyanakkor felelős felhasználói magatartás is szükséges.”

Állítom, hogy céged adatai szempontjából nagyobb biztonsági kockázatot jelentenek azok a titkosítás nélküli adathordozók (pendrive-ok, laptopok, tabletek), amiken munkatársaid 80 %-a hordozza a céges adatokat: a metrón, meg a randira, meg haza. Igen, egy friss felmérés szerint 10-ből 8 alkalmazott titkosítatlan pendrive-okat használ munkája során. Ráadásul 87 százalékuk nem is értesíti munkáltatóját arról, ha elveszít egy céges adatokat (is) tartalmazó USB-kulcsot.

Ugyanakkor nagyon-nagyon aggasztónak tartom, hogy egy másik – európai – felmérés szerint a vállalkozások 35%-a elismerte, hogy bizonytalan adataik helyét illetően, miszerint vállalati szerveren találhatóak vagy egy felhő-szolgáltató tárolja azokat. Egyetértek abban, hogy sokan a működési megtakarítások és a költségek csökkenése ellenére sem fordítanak kellő figyelmet és pénzt a biztonságra, és átgondolt stratégia nélkül használják a felhő alapú szolgáltatásokat.

Mint IBF, kiemelten fontosnak tartom, hogy minden vállalkozás megtalálja annak a módját, hogy a felhőben tárolt adataikat és azok biztonságát kontrollálni tudja. Sőt hangsúlyozom: minden adatnak védettnek kell lenni, függetlenül tárolási helyüktől.

Az informatikai biztonság nagyon összetett terület, így egy megfelelően kiválasztott és biztonságosnak ítélt (netán tanúsított) felhő-szolgáltatóval sokat nyerhetünk ezen a területen, de nem árt, ha figyelembe veszünk néhány szempontot és megteszünk néhány olyan lépést, amit csak vállalaton belül lehet megtenni. Ezekre vonatkozóan gyűjtöttem most össze néhány – szerintem – hasznos tanácsot:

Mennyire megbízható a felhő?

Bár a felhő a hagyományos IT-megoldások biztonságos alternatívája, érdemes alaposan meggyőződni a kiválasztott szolgáltató jogi és biztonsági hátteréről. Néhány felhő-megoldás kifejezetten csábító célpont lehet a hackerek számára. Ugyanakkor a méretgazdaságosságnak köszönhetően a felhő alapú szolgáltatások esetében sokszor olyan biztonsági rendszer áll rendelkezésre, amit kisebb vállalkozások nagy valószínűséggel nem tudnának fenntartani.

Hogyan találhatok jó felhőszolgáltatót?

Ahhoz, hogy biztosan a legjobb szolgáltatót válaszd ki, tegyél fel kérdéseket, kérj referenciát és mindenképpen ragaszkodj az „átvilágításhoz”. Tájékoztatást kell kapnod a használt technológiáról és annak felépítéséről, a biztonsági és helyreállító mechanizmusokról és a szolgáltató rendelkezésre álló biztosítékairól. Tisztában kell lenned azzal, hogy milyen támogatást (supportot) kapsz a felhőszolgáltatást nyújtó szolgáltatótól, és milyen garanciális feltételeket. Nem mellesleg a szerződést alaposan át kell tanulmányozni, különös tekintettel a szolgáltató felelősségére és az általa nyújtott szolgáltatásokra vonatkozóan. Érdeklődj, hogy a szolgáltató estleg milyen független szervezet által végzett tanúsítványokkal rendelkezik ezen a területen.

A legfontosabb biztonsági intézkedések

A legjobb és legbiztonságosabb felhő alapú szolgáltatások is feleslegessé válhatnak, ha a felhasználók könnyen kitalálható jelszavakat alkalmaznak, sőt ezeket olyan helyeken is használják, ahol korábban már történt biztonsági incidens. Fontos, hogy legyen kialakított stratégiánk, eljárásrendünk és „kényszerítő eszközeink” a felhasználók azonosítása területén.

Az sem mindegy, hogy ki és milyen adatokhoz férhet hozzá. Ha hozzáférést adunk minden dolgozónknak, családtagunknak, vagy barátunknak a bizalmas adatokhoz, akkor ezek máshol is kiszivároghatnak, így a biztonságos felhőszolgáltatás könnyen feleslegessé válhat. A megfelelő jogosultság kezelés és az esetleges adatszivárgások elleni védelem szintén olyan feladat, amit – felhőtől függetlenül – házon belül kell megvalósítani.

Új alkalmazások, új védelmek

Mielőtt átköltöztetnék adatainkat a felhőbe, gondolkodjunk el új biztonsági technológiák alkalmazásán. A felhő alkalmazások elérésének biztosítására érdemes kidolgozni egy részletes adatelérési tervet. Rendeljük különböző pozíciókhoz, munkakörökhöz, szerepkörökhöz vagy projektekhez a hozzáférési engedélyeket. A Cloud Security Alliance szerint a fiókfeltörés változatlanul az egyik legnépszerűbb támadási fajta. Ez ellen védelmet nyújthat többek között a kétfaktoros azonosítás.

Fejlődjünk a felhővel

A felhő egy dinamikus rendszer, ami folyamatosan igényli a biztonsági felülvizsgálatot. Derítsük ki, hogy a megosztott biztonsági modellekben hol vannak a szolgáltatással járó határok. Fontos tisztában lennünk azzal is, hogy mi a szolgáltató felelőssége, és mi a miénk.

A titkosítás előnyei

A titkosítás az egyik legjobb szövetségesünk, és nem lenne szabad opcionálisnak lennie, ha fájlok mozgatásáról, tárolásáról van szó. Megvédheti a vállalkozásunk digitális értékeit, és megmentheti a céget egy esetlegesen felmerülő bírságtól is. Kérdezzük meg a cloud szolgáltatót a titkosítási lehetőségekről, és hogy miként alkalmazza a titkosítási technológiákat a tárolt, a használatban lévő, illetve a mozgásban lévő adatok esetében.

A virtualizáció előnyei és hátrányai

A felhőbe történő költözésnél az egyik legnagyobb problémát a multi-tennant tartományok, illetve a virtuális gépek közötti biztonság és adatforgalom kezelése jelenti. A fizikai biztonsági eszközök önmagában nem alkalmasak a felhőben tárolt adatok védelmére. Ezzel szemben a logikai és virutális biztonsági eszközöket speciálisan arra fejlesztik, hogy megfeleljenek a virtualizált környezetek sajátosságainak is.

Legyünk tisztában az árnyékinformatikával

Egyre gyakrabban hallani arról, hogy milyen gyorsan növekszik a a nem engedélyezett alkalmazások és felhő alapú szolgáltatások használata egy-egy cégen belül. Ezek nem állnak központi irányítás és ellenőrzés alatt, így számos kockázatot hordoznak. Megeshet, hogy egy alkalmazott megnyit egy fájlt az okostelefonján, amiről a telefon készít egy másolatot, amit egy rutin biztonsági mentés során elküld egy általunk nem engedélyezett online tárhelyre, így a titkos adatok máris egy nem biztonságos helyen kötnek ki. Az árnyékinformatika használatának megtiltása azonban nem jelent teljes körű megoldást a problémára, és nem fogja megállítani annak terjedését. Ehelyett sokkal kifizetődőbb oktatni a felhasználókat, és technológia segítségével kezelni a helyzetet. A titkosítás, illetve a hálózati, a biztonsági és a felügyeleti eszközök mindebben fontos szerepet kaphatnak.

Stratégia, szabályozás, végrehajtás

A vállalkozások 70%-ának nincs terve a biztonsági események kezelésére, amelyek érinthetik akár partnereiket, ügyfeleiket, munkavállalóikat is. A vállalkozás információbiztonsági szemléletének erősítése, ehhez stratégia, szabályozók és védelmi rendszerek/képességek kialakítása nagyon fontos szempont. Ha találunk egy megfelelő felhőszolgáltatót, akinek ezen  képességeiről meggyőződünk, akkor ez növelheti biztonsági szintünket és segítheti néhány kockázati faktor csökkentését. Ugyanennek az ellenkezője is igaz lehet persze, ha nincs stratégiánk vagy nem körültekintően választunk.

Judit

Apróbetűs rész

Az Opennetworks az Eht. (2003. Évi C. törvény – az elektronikus hírközlésről) hatálya alá eső telekommunikációs szolgáltató, szigorú szabályozás alá esik, szolgáltatásaihoz kapcsolódóan meg kell felelnie “Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény – különösen annak 3. § (2) bekezdése –, illetve a törvény végrehajtására kiadott 41/2015. BM rendelet” vonatkozó rendelkezéseinek. Erre vonatkozóan évente független tanúsító által végzett  auditot is kell végeztetnünk. Természetesen ehhez kapcsolódóan rendelkezünk a megfelelő szabályzati háttérrel, biztonsági folyamatokkal, fizikai és logikai védelmi eszközökkel és tanúsítvánnyal is.

Ha részletesebben érdekelne a téma, látogasd rendszeresen a CSA  (Cloud Security Alliance) oldalát.

https://cloudsecurityalliance.org

0

Szólj hozzá