Przedsiębiorstwa coraz śmielej lokują swoje zasoby w środowiskach cloud, w tym w chmurach publicznych. Trafiają tam również rozwiązania z zakresu bezpieczeństwa oferowane przez uznanych dostawców. Nasuwa się więc uzasadnione pytanie: jak popularyzacja chmury wpływa na zagadnienia związane z bezpieczeństwem? Dyskutowano o tym podczas konferencji „Advanced Threat Summit 2019”.
Kwestia bezpieczeństwa danych w chmurze publicznej stała się ostatnio jednym z najważniejszych zagadnień współczesnego IT. Analitycy Gartnera sugerują, że chmura obliczeniowa, obok automatyzacji, to obszar, wokół którego będą koncentrować się wydatki IT w najbliższych latach. Z raportu Cisco „2020 Global Networking Trends”, w którym firma powołuje się na dane Uptime Institute, wynika, że do 2021 r. 50% wszystkich obciążeń znajdzie się poza firmowym centrum danych. Jednocześnie 53% cyberataków będzie powodować straty przekraczające 500 tys. USD.
Pascal Geenens, EMEA Security Evangelist , Radware
W lipcu br. ujawniono, że w wyniku działania hakera wyciekły dane milionów osób. Sprawa, w której częścią winy obarczono inżyniera systemowego zatrudnionego przez AWS, wciąż nie została do końca wyjaśniona. Firmy oraz amerykański Departament Sprawiedliwości, a ostatnio nawet amerykański Kongres, spierają się, czy winę ponosi bank, który źle skonfigurował firewall, czy też w systemie zabezpieczeń AWS istniała luka oraz czy firma zrobiła wszystko, żeby ochronić swojego klienta.
Niezależnie od ostatecznego wyniku sporów historia Capital One i AWS pokazuje, że niezwykle istotne jest, żeby wszyscy zdawali sobie sprawę, że w chmurze publicznej obowiązuje model współdzielonej odpowiedzialności. Zgodnie z nim dostawca odpowiada tylko za niektóre warstwy rozwiązania – ochrona aplikacji i danych spoczywa na ich właścicielu.
Chris Hill, RVP Public Cloud & Strategic Partnerships International, Barracuda Networks
Dowodzą tego rozmaite raporty pokazujące, że przedsiębiorstwa mają spore zaległości w kwestii zabezpieczania chmury, i to niezależnie, czy mówimy o chmurze publicznej, prywatnej czy hybrydowej. Przykładowo z raportu „2019 Cloud Adoption” opracowanego przez Bitglass wynika, że zaledwie 34% firm wdrożyło mechanizmy pojedynczego logowania SSO (Single Sign-On). Powód? Organizacje mają zbyt wiele wykorzystywanych od lat aplikacji, które nie obsługują nowoczesnych protokołów tożsamości.
Podejście jednak się zmienia. Choć dotychczas uwaga ekspertów koncentrowała się głównie na kontroli dostępu do danych, to teraz, w miarę jak do chmury trafia coraz więcej krytycznych obciążeń biznesowych, spojrzenie na bezpieczeństwo się zmienia. Kluczowego znaczenia nabierają dzisiaj: szyfrowanie komunikacji, zaawansowana analityka, a także pozyskiwanie najnowszych informacji o ryzyku i zagrożeniach, czyli threat intelligence oraz możliwości błyskawicznego reagowania na incydenty.
Według Pascala Geenensa ochrona aplikacji biznesowych w chmurze staje się coraz trudniejszym, bardziej skomplikowanym wyzwaniem. W kontekście rosnącej liczby i złożoności rozproszonych usług oraz aplikacji bazujących na zewnętrznych i wewnętrznych API, a także coraz większej liczbie zautomatyzowanych, wyrafinowanych ataków potrzeba nowych rozwiązań ochrony aplikacji i interfejsów API, które bazują na analizie behawioralnej, algorytmach uczenia maszynowego wzbogaconych threat intelligence czasu rzeczywistego.
Michał Ostrowski, Regional Director Eastern Europe, FireEye
Jakub Teska, Dyrektor Działu Cyberbezpieczeństwa, Bank PKO BP
Maciej Lelusz, Prezes, Inleo
Piotr Kałuża, Presales Engineer, Flowmon Networks
Małgorzata Kurowska, Senior Associate, Maruta Wachta
Kwestia bezpieczeństwa danych w chmurze publicznej stała się ostatnio jednym z najważniejszych zagadnień współczesnego IT. Analitycy Gartnera sugerują, że chmura obliczeniowa, obok automatyzacji, to obszar, wokół którego będą koncentrować się wydatki IT w najbliższych latach. Z raportu Cisco „2020 Global Networking Trends”, w którym firma powołuje się na dane Uptime Institute, wynika, że do 2021 r. 50% wszystkich obciążeń znajdzie się poza firmowym centrum danych. Jednocześnie 53% cyberataków będzie powodować straty przekraczające 500 tys. USD.
Pascal Geenens, EMEA Security Evangelist , Radware
Z pewnością do wzrostu zainteresowania bezpieczeństwem chmury przyczynia się postępująca migracja aplikacji i danych do środowisk publicznych. Jednak tym, co najbardziej napędza dyskusje, są spektakularne wycieki lub włamania do systemów zlokalizowanych w chmurze. Dobrym przykładem jest historia Capital One, jednego z największych amerykańskich banków, który stał się ofiarą ataku na serwer hostowany przez AWS. Wspomniał o tym w swoim wystąpieniu Pascal Geenens, EMEA Security Evangelist w Radware, który opowiadał o zabezpieczaniu aplikacji biznesowych w chmurze.
Tym, co najbardziej napędza dyskusje, są spektakularne wycieki lub włamania do systemów zlokalizowanych w chmurze. Przykładem jest historia Capital One, jednego z największych amerykańskich banków, który stał się ofiarą ataku na serwer hostowany przez AWS.
Nowe podejście Dostawcy chmury zdają sobie doskonale sprawę, że ich przychody zależą od tego, czy zyskają i utrzymają zaufanie klientów. Dlatego zabezpieczenie własnej infrastruktury i oferowanych usług jest dla nich kluczowe. I nie są to jedynie słowa, za którymi nie idą czyny: dostawcy dokonują znaczących inwestycji w tym obszarze. Dużo większe problemy pojawiają się po stronie, za którą odpowiedzialni powinni być użytkownicy.
Chris Hill, RVP Public Cloud & Strategic Partnerships International, Barracuda Networks
Chris Hill, RVP Public Cloud & Strategic Partnerships International w Barracuda Networks, który mówił podczas swojego wystąpienia o bezpieczeństwie w kontekście globalnej akceptacji dla chmury, zwracał uwagę, że według Gartnera powodem 80% wycieków danych i włamań do chmury w 2020 r. będą: niewłaściwa konfiguracja, błędnie przypisane uprawnienia oraz zagrożenia wewnętrzne, a nie podatności w systemach dostawców.
„Trzy największe zagrożenia publicznej chmury nie wynikają z braku funkcjonalności po stronie dostawców. To my, ludzie, za nie odpowiadamy: od błędnych konfiguracji, przez przypadkowy dostęp, po nieznajomość narzędzi umożliwiających kontrolę dostępu” – tłumaczył Chris Hill.
Według Gartnera powodem 80% wycieków danych i włamań do chmury w 2020 roku będą: niewłaściwa konfiguracja, błędnie przypisane uprawnienia oraz zagrożenia wewnętrzne, a nie podatności w systemach dostawców.
Chmura tak, ale nie zawsze Korzyści płynące z wykorzystania rozwiązań chmurowych sprawiają, że stały się one dzisiaj praktycznie nieodzownym elementem inicjatyw technologicznych i biznesowych. Czy to oznacza, że już wkrótce firmy będą się tłumaczyć, dlaczego nie korzystają z usług cloud? Tak został sformułowany temat dyskusja panelowej, w której dwa zespoły ekspertów spierały się o to, czy w perspektywie kilku najbliższych lat trzeba będzie mieć dobry powód, żeby dane przechowywać we własnych środowiskach IT, zamiast robić to w chmurze.
Odpowiedź oczywiście nie jest prosta. Jest uwarunkowana kwestiami ekonomicznymi, wynikami analizy ryzyka, oceną szans i zagrożeń, a także regulacjami prawnymi i możliwościami zapewnienia zgodności z nimi. Michał Ostrowski, Regional Director Eastern Europe w FireEye, zwracał uwagę, że bardzo często porównując koszty chmury i rozwiązań on-premise, koncentrujemy się wyłącznie na sprzęcie. Tymczasem trzeba spojrzeć na całkowity koszt posiadania i wziąć pod uwagę również koszty oprogramowania, dodatkowych usług, energii elektrycznej czy szkolenia i utrzymania specjalistów.
Należy uwzględnić cały cykl życia produktów. Rozwiązania bezpieczeństwa, podobnie jak pralki czy lodówki, spełniają wszystkie wymagania przez coraz krótszy czas. Po trzech latach warto rozglądać się po rynku za nowymi, a po pięciu latach trzeba je zmienić. Do tego dochodzi koszt wdrożenia oraz utrzymania kolejnych rozwiązań. Zwłaszcza w przypadku rozproszonej infrastruktury. Cyberbezpieczeństwo to nie tylko sprzęt i oprogramowanie, ale i warstwa awarness, która także generuje koszty. Chmura od tego uwalnia – argumentował na rzecz chmury Michał Ostrowski.
Michał Ostrowski, Regional Director Eastern Europe, FireEye
Jakub Teska, Dyrektor Działu Cyberbezpieczeństwa, Bank PKO BP
Niemniej nie wszystko jest takie proste. Podejście lift and shift w stosunku do istniejących systemów w dużych organizacjach jest praktycznie niemożliwe – zwracał uwagę Jakub Teska, dyrektor Działu Cyberbezpieczeństwa w Banku PKO BP. Co więcej, często jest tak, że ze względu na niewłaściwą implementację rachunki za usługi chmurowe są znacznie wyższe, niż początkowo zakładano. Błędy deweloperów, którzy przez niedopatrzenie zaalokują zasoby, mogą być bardzo kosztowne. Dlatego wydaje się, że jeśli chodzi o koszty i samą inicjatywę migracji do chmury, tak długo nie trzeba będzie się z tego tłumaczyć, jak długo nie będzie do tego zobowiązywać prawo oraz jak długo kalkulacje jednoznacznie nie udowodnią, że chmura zapewnia oszczędności – argumentowali przeciwnicy dyskutowanej tezy.
Ostatecznie chyba wszyscy zgodzili się, że co prawda nikt nie będzie musiał się tłumaczyć z przechowywania i przetwarzania danych lokalnie, to migracja do chmury – nie tylko publicznej – będzie trwała. Nie wszystko się da przenieść, nie wszystko też trzeba przenosić do chmury. Dominujące będzie podejście hybrydowe. Przy tym sukces każdej inicjatywy zależy od dobrego przygotowania i zaplanowania.
Decyzja o migracji do chmury zależy od wielu czynników. Jest uwarunkowana kwestiami ekonomicznymi, wynikami analizy ryzyka, oceną szans i zagrożeń, a także regulacjami prawnymi oraz możliwościami zapewnienia zgodności z nimi.
Narzędzia i plany awaryjne
Maciej Lelusz, Prezes, Inleo
W tym kontekście istotne jest przygotowanie sobie drogi powrotu, o czym mówił podczas swojego wystąpienia Maciej Lelusz, prezes firmy Inleo. Przekonywał on, że zwykle na początku myślimy, że wiemy wszystko, później myślimy, że jesteśmy ekspertami, a jeszcze później znowu wiemy, że nic nie wiemy. Choć na początku projektu przenoszenia się do chmury będzie nam się wydawało, że jest on bardzo prosty, to może się okazać, że im dalej będziemy posuwać się w jego realizacji, tym więcej będzie pojawiać się problemów. Migracja do chmury to zawsze podróż. Wyruszając w nią, trzeba opracować plan B do wykorzystania w sytuacji, kiedy trzeba będzie wrócić do środowiska on-premise.
Maciej Lelusz podkreślał także, że sukces migracji zależy od współpracy z interesariuszami w organizacji i otwartości na nowe narzędzia. „Musimy tak budować politykę współpracy, żeby wejść do środka zespołów biznesowych. Przy tym ważne jest, żeby rozmawiać szczerze. Wreszcie trzeba szukać nowych narzędzi. Nie zrobimy migracji za pomocą starych technologii” – przekonywał Maciej Lelusz.
Na konieczność zastosowania nowych narzędzi zwracał także uwagę Piotr Kałuża, Presales Engineer w firmie Flowmon Networks. Ze względu na ograniczony dostęp do infrastruktury chmury jej monitorowanie jest dużo bardziej skomplikowane niż monitorowanie lokalnych zasobów sieciowych. „Celem monitorowania chmury jest poznanie prawdziwej natury ruchu. Różni się ona od tego, co jest w środowiskach on-premise. Zyskujemy szczegółowe statystyki o tym, kto, co i jak długo przechowywał w chmurze z możliwością wejścia w poszczególne przepływy” – mówił Piotr Kałuża, opowiadając o monitorowaniu środowiska chmury publicznej.
Piotr Kałuża, Presales Engineer, Flowmon Networks
Małgorzata Kurowska, Senior Associate, Maruta Wachta
Niezależnie od technologii warto spojrzeć na kwestie ochrony danych w chmurze również od strony prawnej. O typowych przypadkach i kluczowych trudnościach w redagowaniu i negocjowaniu postanowień umownych dotyczących bezpieczeństwa danych osobowych i nieosobowych w kontekście usług chmurowych opowiadała Małgorzata Kurowska, Senior Associate w kancelarii Maruta Wachta.
Kluczowe problemy kontraktowe dotyczą bowiem nie tylko lokalizacji danych. Skupiają się również wokół zarządzania podwykonawcami, przetwarzania danych osobowych, zakresu i zasad odpowiedzialności, a także prawa właściwego i jurysdykcji. Mówiąc o bezpieczeństwie danych, nie można więc pominąć zagadnienia: jakie umowy pisać, a jakie podpisywać.
