Ha már benne vagyunk, legalább ne tévedjünk el a felhőben

A felhő alapú számítástechnika előnyeiről ma már nehéz újat mondani. Az infrastrukturális vagy szoftveres erőforrások interneten keresztül való megosztása lehetővé teszi, hogy a felhasználók különféle eszközöket vegyenek igénybe akár az aktuális szükségleteik szerint, és ezekért a használattal arányosan fizessenek. Az egyre növekvő erőforrás-igény, a skálázhatóság vagy a megfelelő szolgáltatások kedvezőbb költségei mind a felhős modellek mellett szólhatnak, és a különféle publikus cloud computing megoldások ennek megfelelően az üzleti felhasználásban is nagyon gyorsan terjednek világszerte.

A trendnek az idei évet meghatározó világjárvány is újabb lökést adott: a távmunka és általában a rugalmasabb munkafolyamatokra való megnövekedett igény új vagy a korábbinál erősebb keresletet generál a cloud szegmensben. A tömeges átállás rövid idő alatt is éveknek megfelelő ugrást hozott a digitális szolgáltatások használatában, a szállítók forgalma pedig nem csak 2016 és 2019 között nőtt több mint a duplájára, de az előrejelzések szerint a lendület az idén sem törik meg.

A vitathatatlan előnyök mellett azonban ott vannak azok a biztonsági aggályok, amelyek még mindig visszafogják a cloud adaptációt az informatikai iparágban, legyen szó a hardverekről, a virtualizációról, a hálózati és adatbiztonságról, vagy mindezek kapcsán magukról a szolgáltatókról. Novemberi mellékletünkben ezeket a témákat járjuk körül, kezdve a legfontosabb problémák bemutatásával, amelyek még szembetűnőbbek, ahogy a távoli munkavégzés előretörése külön motivációt jelent a cloud infrastruktúrák ellen intézett támadásokhoz is.

A felhőben az adatok sem ugyanúgy viselkednek

Ezek osztályozásában jó kiindulási pont lehet a Cloud Security Alliance (CSA) korábbi értékelése, ami összesen három nagy csoportba sorolja a fenyegetéseket. Ezek az adatokkal kapcsolatos kockázatok, beleértve az adatlopásokat és adatvesztéseket; a hálózatokat érintő veszélyek, mint az alkalmazások eltérítése vagy a szolgáltatás-megtagadással járó támadások; végül a kifejezetten a cloud környezetre jellemző fenyegetések, így a nem biztonságos interfészek és API-ok, a felhőszolgáltatások rossz célokra való felhasználása, a megosztott technológiák kockázatai, az elhibázott szolgáltatási szerződések vagy akár a házon belüli rosszindulatú tevékenység.

Az adatokat közvetlenül érintő kockázatok mindjárt meghatározzák a felhőben kezelt információ teljes életciklusát, az adatok létrehozásától azok továbbításán, végrehajtásán és tárolásán át egészen azok törléséig. A cloud rendszerek legfontosabb kihívása tulajdonképpen az adatok biztonságának garantálása, és mivel ezekre a folyamatokra az ügyfeleknek soha nincs teljes rálátása, sok minden függ a megfelelő szolgáltató kiválasztásától, aki garantálhatja a platform biztonsági szempontból is mindig naprakész működését.

Az adatlopások értelemszerűen pénzügyileg és a hitelesség tekintetében is borzasztó károkat tudnak okozni az egyes üzleteknek, ami nem utolsósorban az ügyfelek elvesztésével járhat. Bár ilyesmi előfordulhat annak következtében is, hogy a támadók mondjuk ugyanabban a fizikai rendszerben megszerzik az irányítást egy virtuális gép fölött, az adatokat ezerféleképpen el lehet veszíteni az infrastrukturális vagy üzemeltetési hiányosságok, a rosszul megtervezett alkalmazások vagy a hitelesítés, az azonosítás és az audit ellenőrzések elégtelensége nyomán. Ilyen problémákkal ráadásul a legnagyobb globális szolgáltatók is szembesülnek, nem állítható tehát, hogy a márkanév önmagában bármire is garanciát jelentene.

És ez tényleg csak a jéghegy csúcsa volt

A hálózatok hatékony működése természetesen ugyanilyen meghatározó a felhőszolgáltatások szempontjából, ennek ellenére a hálózatbiztonságot nem mindenhol sorolják a prioritások közé a cloud rendszerek fejlesztésénél, amivel nyilvánvalóan újabb támadási vektorokat hoznak létre. Itt érdemes megemlékezni a hozzáférések vagy az alkalmazások eltérítéséről, ami a felhasználói azonosítók megszerzésével adatokhoz való hozzáférésre, sőt ezen túl bizonyos szolgáltatások irányításának átvételére is lehetőséget adhat. A szolgáltatás-megtagadással járó támadások viszont éppen a legitim hozzáférést akadályozzák meg a számítási kapacitás, a memória vagy a sávszélesség túlterhelésével, használhatatlanná téve a netes szolgáltatásokat és veszélybe sodorva az üzletfolytonosságot.

A harmadik csoportnak, a kifejezetten a cloud környezetre jellemző fenyegetéseknek különös jelentőséget ad, hogy az ügyfelek jelentős része is még mindig magát a cloud szolgáltatót tartja az egyik legjelentősebb kockázati tényezőnek. Egy nemrég idézett felmérésből eközben az is kiderül, hogy sok helyen értelmezik félre a felhős adatok és munkafolyamatok megfelelő biztosításának a jelentőségét, vagyis azt a megosztott felelősséget, amelynek értelmében az ügyféloldalon is körültekintőbben kellene menedzselni és monitorozni a cloud környezeteket. Ehhez kapcsolódik, hogy a több szállító publikus cloud szolgáltatásait is igénybe vevő (multi-cloud) ügyfelekből nem csak egyre több van, de ők maguk is több biztonsági incidensről számolnak be, mint az egyetlen szolgáltatóval dolgozó vállalatok.

Az összes közül talán ez a leginkább összetett problémakör, mivel ide tartoznak a felhőspecifikus fenyegetettségek. A nem biztonságos felületek és API-ok, illetve a megosztott technológiákból eredő kockázatok talán a leginkább kézenfekvő pontok, amelyekben a megfelelő protokolloktól és szabványoktól vagy a megbízható gyakorlatoktól eltérő elemek kiszámíthatatlan, akár ismeretlen kockázati profilokat generálnak. A cloud rendszerek biztonsága így az IaaS, PaaS vagy SaaS API-ok megfelelő működésén és a különféle komponensek (CPU-k, GPU-k stb.) ilyen irányú megfelelőségén is múlik.

Lényegében minden és mindenki veszélyes

Egy másik szempont az ügyfelek informáltsága a cloud szolgáltatások igénybevételével kapcsolatban, amelynek a felhő korlátlan lehetőségei mellett az adott megoldások kockázati tényezőire is ki kellene terjednie. Nyilvánvaló, hogy az esetenként igen komplex felhős architektúrákra nem feltétlenül alkalmazhatók az egyes szervezetek már meglévő biztonsági szabályai, mint ahogy az előbbiekre jellemző belső biztonsági eljárásokkal, adattárolási és -hozzáférési módokkal, naplózással vagy a megfelelő auditokkal sem árt tisztában lenniük, mielőtt szolgáltatásokat rendelnek maguknak.

Érdemes megemlíteni a felhőszolgáltatások olyan rosszhiszemű felhasználását is, amiért maguk az ügyfelek a felelősek. Ide sorolható minden illegális, etikátlan vagy csak a szolgáltatóval kötött szerződést sértő gyakorlat, ami annak ellenére sem példa nélküli, hogy az utóbbi években sok intézkedést vezettek be a megakadályozására. Bár az ilyesmi legelsősorban a szolgáltatók problémája, azonban könnyen a szabálykövető ügyfelek problémájává is válhat: ha valamilyen okból nem képesek időben fellépni például a saját infrastruktúrájáról indított spamküldő kampányok ellen, az könnyen az összes hálózati cím feketelistázásához vezethet, így a többi megrendelőnek sem mindegy, hogy ebben a tekintetben mennyire felkészült a szolgáltatója.

Végül ott van a házon belüli felhasználói tevékenység, ami látszólag nem felhős téma, mégis magában hordoz a kifejezetten a felhőben érvényesülő fenyegetéseket. Bár nagyon fontos a munkavállalók oktatása a biztonságos gyakorlatok vagy a rosszindulatú próbálkozások azonosítására és elkerülésére, az emberi tényező szerepe ennél messzebbre mutat: a nyáron mi is idéztük a The Wall Street Journal felmérését, amely szerint a világjárvány nyomán kialakult helyzetben már a kiberbiztonsági szakemberek 67 százaléka értékeli jelentős kockázatnak a saját alkalmazottak rosszhiszemű viselkedését.

Ahogy ma már rendszeresen olvasható a különböző figyelmeztetésekben, a távoli felhasználók sokszor sebezhetőbbek a kibertámadásokkal szemben is, veszélyeztetve magukat a céges rendszereket, a megváltozott körülmények között pedig át is értékelődött bizonyos területek jelentősége, vagyis eddig nem kézenfekvő célpontok is magukra vonták a támadók figyelmét. Mindezek alapján már a biztonság is inkább üzleti prioritás, mint üzemeltetési kérdés, eközben viszont az üzleti kritikus munkaterhelés mind nagyobb része költözik a felhőbe, és egyre több olyan terület alakul ki, amire az IT-nak sincs érdemi rálátása.

Forrás: bitport.hu