Ha már benne vagyunk, legalább ne tévedjünk el a felhőben
A felhÅ‘ alapú számÃtástechnika elÅ‘nyeirÅ‘l ma már nehéz újat mondani. Az infrastrukturális vagy szoftveres erÅ‘források interneten keresztül való megosztása lehetÅ‘vé teszi, hogy a felhasználók különféle eszközöket vegyenek igénybe akár az aktuális szükségleteik szerint, és ezekért a használattal arányosan fizessenek. Az egyre növekvÅ‘ erÅ‘forrás-igény, a skálázhatóság vagy a megfelelÅ‘ szolgáltatások kedvezÅ‘bb költségei mind a felhÅ‘s modellek mellett szólhatnak, és a különféle publikus cloud computing megoldások ennek megfelelÅ‘en az üzleti felhasználásban is nagyon gyorsan terjednek világszerte.
A trendnek az idei évet meghatározó világjárvány is újabb lökést adott: a távmunka és általában a rugalmasabb munkafolyamatokra való megnövekedett igény új vagy a korábbinál erÅ‘sebb keresletet generál a cloud szegmensben. A tömeges átállás rövid idÅ‘ alatt is éveknek megfelelÅ‘ ugrást hozott a digitális szolgáltatások használatában, a szállÃtók forgalma pedig nem csak 2016 és 2019 között nÅ‘tt több mint a duplájára, de az elÅ‘rejelzések szerint a lendület az idén sem törik meg.
A vitathatatlan előnyök mellett azonban ott vannak azok a biztonsági aggályok, amelyek még mindig visszafogják a cloud adaptációt az informatikai iparágban, legyen szó a hardverekről, a virtualizációról, a hálózati és adatbiztonságról, vagy mindezek kapcsán magukról a szolgáltatókról. Novemberi mellékletünkben ezeket a témákat járjuk körül, kezdve a legfontosabb problémák bemutatásával, amelyek még szembetűnőbbek, ahogy a távoli munkavégzés előretörése külön motivációt jelent a cloud infrastruktúrák ellen intézett támadásokhoz is.
A felhőben az adatok sem ugyanúgy viselkednek
Ezek osztályozásában jó kiindulási pont lehet a Cloud Security Alliance (CSA) korábbi értékelése, ami összesen három nagy csoportba sorolja a fenyegetéseket. Ezek az adatokkal kapcsolatos kockázatok, beleértve az adatlopásokat és adatvesztéseket; a hálózatokat érintÅ‘ veszélyek, mint az alkalmazások eltérÃtése vagy a szolgáltatás-megtagadással járó támadások; végül a kifejezetten a cloud környezetre jellemzÅ‘ fenyegetések, Ãgy a nem biztonságos interfészek és API-ok, a felhÅ‘szolgáltatások rossz célokra való felhasználása, a megosztott technológiák kockázatai, az elhibázott szolgáltatási szerzÅ‘dések vagy akár a házon belüli rosszindulatú tevékenység.
Az adatokat közvetlenül érintÅ‘ kockázatok mindjárt meghatározzák a felhÅ‘ben kezelt információ teljes életciklusát, az adatok létrehozásától azok továbbÃtásán, végrehajtásán és tárolásán át egészen azok törléséig. A cloud rendszerek legfontosabb kihÃvása tulajdonképpen az adatok biztonságának garantálása, és mivel ezekre a folyamatokra az ügyfeleknek soha nincs teljes rálátása, sok minden függ a megfelelÅ‘ szolgáltató kiválasztásától, aki garantálhatja a platform biztonsági szempontból is mindig naprakész működését.
Az adatlopások értelemszerűen pénzügyileg és a hitelesség tekintetében is borzasztó károkat tudnak okozni az egyes üzleteknek, ami nem utolsósorban az ügyfelek elvesztésével járhat. Bár ilyesmi elÅ‘fordulhat annak következtében is, hogy a támadók mondjuk ugyanabban a fizikai rendszerben megszerzik az irányÃtást egy virtuális gép fölött, az adatokat ezerféleképpen el lehet veszÃteni az infrastrukturális vagy üzemeltetési hiányosságok, a rosszul megtervezett alkalmazások vagy a hitelesÃtés, az azonosÃtás és az audit ellenÅ‘rzések elégtelensége nyomán. Ilyen problémákkal ráadásul a legnagyobb globális szolgáltatók is szembesülnek, nem állÃtható tehát, hogy a márkanév önmagában bármire is garanciát jelentene.
És ez tényleg csak a jéghegy csúcsa volt
A hálózatok hatékony működése természetesen ugyanilyen meghatározó a felhÅ‘szolgáltatások szempontjából, ennek ellenére a hálózatbiztonságot nem mindenhol sorolják a prioritások közé a cloud rendszerek fejlesztésénél, amivel nyilvánvalóan újabb támadási vektorokat hoznak létre. Itt érdemes megemlékezni a hozzáférések vagy az alkalmazások eltérÃtésérÅ‘l, ami a felhasználói azonosÃtók megszerzésével adatokhoz való hozzáférésre, sÅ‘t ezen túl bizonyos szolgáltatások irányÃtásának átvételére is lehetÅ‘séget adhat. A szolgáltatás-megtagadással járó támadások viszont éppen a legitim hozzáférést akadályozzák meg a számÃtási kapacitás, a memória vagy a sávszélesség túlterhelésével, használhatatlanná téve a netes szolgáltatásokat és veszélybe sodorva az üzletfolytonosságot.
A harmadik csoportnak, a kifejezetten a cloud környezetre jellemzÅ‘ fenyegetéseknek különös jelentÅ‘séget ad, hogy az ügyfelek jelentÅ‘s része is még mindig magát a cloud szolgáltatót tartja az egyik legjelentÅ‘sebb kockázati tényezÅ‘nek. Egy nemrég idézett felmérésbÅ‘l eközben az is kiderül, hogy sok helyen értelmezik félre a felhÅ‘s adatok és munkafolyamatok megfelelÅ‘ biztosÃtásának a jelentÅ‘ségét, vagyis azt a megosztott felelÅ‘sséget, amelynek értelmében az ügyféloldalon is körültekintÅ‘bben kellene menedzselni és monitorozni a cloud környezeteket. Ehhez kapcsolódik, hogy a több szállÃtó publikus cloud szolgáltatásait is igénybe vevÅ‘ (multi-cloud) ügyfelekbÅ‘l nem csak egyre több van, de Å‘k maguk is több biztonsági incidensrÅ‘l számolnak be, mint az egyetlen szolgáltatóval dolgozó vállalatok.
Az összes közül talán ez a leginkább összetett problémakör, mivel ide tartoznak a felhÅ‘specifikus fenyegetettségek. A nem biztonságos felületek és API-ok, illetve a megosztott technológiákból eredÅ‘ kockázatok talán a leginkább kézenfekvÅ‘ pontok, amelyekben a megfelelÅ‘ protokolloktól és szabványoktól vagy a megbÃzható gyakorlatoktól eltérÅ‘ elemek kiszámÃthatatlan, akár ismeretlen kockázati profilokat generálnak. A cloud rendszerek biztonsága Ãgy az IaaS, PaaS vagy SaaS API-ok megfelelÅ‘ működésén és a különféle komponensek (CPU-k, GPU-k stb.) ilyen irányú megfelelÅ‘ségén is múlik.
Lényegében minden és mindenki veszélyes
Egy másik szempont az ügyfelek informáltsága a cloud szolgáltatások igénybevételével kapcsolatban, amelynek a felhő korlátlan lehetőségei mellett az adott megoldások kockázati tényezőire is ki kellene terjednie. Nyilvánvaló, hogy az esetenként igen komplex felhős architektúrákra nem feltétlenül alkalmazhatók az egyes szervezetek már meglévő biztonsági szabályai, mint ahogy az előbbiekre jellemző belső biztonsági eljárásokkal, adattárolási és -hozzáférési módokkal, naplózással vagy a megfelelő auditokkal sem árt tisztában lenniük, mielőtt szolgáltatásokat rendelnek maguknak.
Érdemes megemlÃteni a felhÅ‘szolgáltatások olyan rosszhiszemű felhasználását is, amiért maguk az ügyfelek a felelÅ‘sek. Ide sorolható minden illegális, etikátlan vagy csak a szolgáltatóval kötött szerzÅ‘dést sértÅ‘ gyakorlat, ami annak ellenére sem példa nélküli, hogy az utóbbi években sok intézkedést vezettek be a megakadályozására. Bár az ilyesmi legelsÅ‘sorban a szolgáltatók problémája, azonban könnyen a szabálykövetÅ‘ ügyfelek problémájává is válhat: ha valamilyen okból nem képesek idÅ‘ben fellépni például a saját infrastruktúrájáról indÃtott spamküldÅ‘ kampányok ellen, az könnyen az összes hálózati cÃm feketelistázásához vezethet, Ãgy a többi megrendelÅ‘nek sem mindegy, hogy ebben a tekintetben mennyire felkészült a szolgáltatója.
Végül ott van a házon belüli felhasználói tevékenység, ami látszólag nem felhÅ‘s téma, mégis magában hordoz a kifejezetten a felhÅ‘ben érvényesülÅ‘ fenyegetéseket. Bár nagyon fontos a munkavállalók oktatása a biztonságos gyakorlatok vagy a rosszindulatú próbálkozások azonosÃtására és elkerülésére, az emberi tényezÅ‘ szerepe ennél messzebbre mutat: a nyáron mi is idéztük a The Wall Street Journal felmérését, amely szerint a világjárvány nyomán kialakult helyzetben már a kiberbiztonsági szakemberek 67 százaléka értékeli jelentÅ‘s kockázatnak a saját alkalmazottak rosszhiszemű viselkedését.
Ahogy ma már rendszeresen olvasható a különböző figyelmeztetésekben, a távoli felhasználók sokszor sebezhetőbbek a kibertámadásokkal szemben is, veszélyeztetve magukat a céges rendszereket, a megváltozott körülmények között pedig át is értékelődött bizonyos területek jelentősége, vagyis eddig nem kézenfekvő célpontok is magukra vonták a támadók figyelmét. Mindezek alapján már a biztonság is inkább üzleti prioritás, mint üzemeltetési kérdés, eközben viszont az üzleti kritikus munkaterhelés mind nagyobb része költözik a felhőbe, és egyre több olyan terület alakul ki, amire az IT-nak sincs érdemi rálátása.
Forrás: bitport.hu