« Březen 2021 »
POÚTSTČTSONE
1234567
891011121314
15161718192021
22232425262728
2930311234

17 kroků pro udržení bezpečnosti v cloudovém prostředí

3 min. čtení

Klíčem k ochraně cloudu je pochopení vrstev, ze kterých se celé prostředí skládá

Drtivá většina společností dnes v nějaké míře používá cloudové prostředí. Stále se ale setkáváme s názorem, že cloud je vnímán jako něco principiálně nebezpečného. Stejně jako oheň je i cloud dobrý sluha ale zlý pán. Drtivá většina všech úspěšných útoků na cloudová prostředí byla totiž umožněna jen nesprávným nasazením nebo chybnou konfigurací.

Klíčem k ochraně cloudu je pochopení vrstev, ze kterých se celé prostředí skládá. Tyto různé vrstvy – služby (services), identita (identity), hraniční aplikace (app edge), nástroje pro vyrovnávání zátěže (load balancer), výpočetní (compute) a úložiště (storage) – vytvářejí více potenciálních cílů. Každou tuto část cloudového prostředí je nutné zabezpečit proti potenciálním hrozbám.

Uzamkněte správu identit. 

Správa identit a přístupů určuje, ke kterým částem cloudového prostředí mají uživatelé přístup a co tam mohou dělat. Pokud může nekalý živel pomocí legitimních údajů získat přístup do systémů, je jejich kompromitace jen otázkou času. Základní preventivní kroky jsou následující:

  1. Vyžadujte bezpečná hesla. Použijte nejdelší heslo nebo přístupovou frázi povolenou systémem, nebo použijte složité heslo, které obsahuje kombinaci písmen, číslic a symbolů.
  2. Implementujte MFA všude. Mít silné heslo nestačí. Organizace potřebují více vrstev ochrany. Použití dalšího ověřovacího faktoru poskytuje další vrstvu ochrany pro přihlášení uživatelů. Kombinace silného hesla a MFA je mnohem efektivnější než vyžadovat změnu hesla v krátkých intervalech.
  3. Vytvořte role s nejmenšími oprávněními. Poskytněte uživatelům přístup pouze k nejmenšímu počtu účtů a systémů, které skutečně potřebují pro svou práci. To omezuje škody, které mohou být způsobeny, pokud dojde k chybě nebo v případě, že k účtu získá přístup nekalý živel.
  4. Zakažte neaktivní účty. Když zaměstnanci opustí organizaci, měl by být jejich přístup ke všem systémům a jejich přístupové klíče okamžitě deaktivovány. Neaktivní účty obvykle nejsou sledovány stejně jako aktivní a tak mohou být snadněji zneužity.
  5. Sledujte podezřelé chování uživatelů nebo prolomení pověření. Použijte technologie sledování v reálném čase, které využívá strojové učení a analýzu k identifikaci podezřelé uživatelské aktivity a odhalte možnou kompromitaci přihlašovacích údajů.

Zajistěte výpočetní vrstvu. 

Organizace by měly podniknout kroky k zabezpečení výpočetní vrstvy, aby byla zajištěna dostupnost systémů a dat, a zabránit nekalým živlům v používání jejich výpočetní síly k dalšímu šíření malwaru v rámci organizace a na internetu.

  1. Utáhněte operační systém. Odstraňte nepotřebné programy, které slouží pouze ke zvětšení plochy pro útok. Udržujte systémy neustále na posledních verzích Service Packů a bezpečnostních záplat.
  2. Průběžně kontrolujte nesprávné konfigurace a anomálie. Pomocí automatizovaných nástrojů můžete detekovat změny napříč prostředím i neobvyklé chování.
  3. Povolte zabezpečené přihlášení. Vydávejte klíče Secure Shell (SSH) přímo jednotlivcům. Tím udržíte ochranu i při přechodu přes nezabezpečené sítě.
  4. Implementujte pravidla pro příchozí a odchozí bránu firewall. Stanovte jasná pravidla o tom, co, kolik a kdo může odesílat, přijímat a přistupovat k příchozím i odchozím datům. Mnoho organizací se bojí nastavit odchozí pravidla, ale tím jen nahrávají útočníkům, kteří se pokoušejí ukrást (exfiltrovat) citlivá data a duševní vlastnictví. Je důležité zajistit, aby byla odchozí pravidla výslovně definována. Pravidla brány firewall musí být vytvořena na aplikační vrstvě, nikoli na transportní nebo síťové vrstvě (informace o IP a portech), aby se zabránilo útočníkům pronést informace prostřednictvím již otevřených portů (jako je DNS (Domain Name System) na portu 53).
  5. Používejte pouze důvěryhodné image. Vytvářejte image nebo šablony od nuly nebo je získejte z velmi důvěryhodných zdrojů, jako jsou AWS nebo Microsoft Azure. Nepoužívejte image ze Stack Overflow ani z náhodných diskusních fór a uživatelských komunit.

Zabezpečení úložiště.

Pokud útočníci získají přístup k úložné vrstvě, mohou potenciálně odstranit nebo zveřejnit celá objektová úložiště.

  1. Spravujte přístup k datům. Zásady správy identit a přístupu (IAM) a seznamy řízení přístupu (ACL) vám pomohou centralizovat kontrolu oprávnění k úložišti. Zásady zabezpečení umožňují organizacím povolit nebo zakázat oprávnění podle účtů, uživatelů nebo na základě určitých podmínek, jako je datum, adresa IP nebo to, zda byl požadavek přes zabezpečený (SSL) kanál.
  2. Klasifikujte dat. Automaticky klasifikujte data, abyste pochopili, kde a jaký typ dat je uložen. Zásady klasifikace dat by měly odpovídat zásadám zabezpečení a veškerá porušení by měla být označena nebo automaticky odstraněna.
  3. Šifrujte, šifrujte, šifrujte. Šifrujte data při přenosu i v klidu. Všimněte si, že metadata často nejsou šifrována, takže do metadat cloudového úložiště byste neměli ukládat citlivé informace.
  4. Povolte správu verzí a protokolování. Správa verzí umožňuje organizacím uchovávat, načítat a obnovovat data, pokud se něco pokazí. Když je správa verzí zapnutá, mohou podniky obnovit data ze starší verze, pokud hrozba nebo selhání aplikace způsobí ztrátu dat. Údržba protokolů přístupu poskytuje auditní stopu pro případ, že by se někdo nebo něco dostalo do vašeho systému.
  5. Nepovolujte práva na mazání (nebo pro mazání požadujte MFA). Organizace by měly ve své cloudové infrastruktuře nastavit role, které uživatelům neumožní smazat žádná data. Mnoho řešení cloudového úložiště umožňuje funkci, která vyžaduje MFA k odstranění jakékoli verze dat.
  6. Neustále kontrolujte nesprávné konfigurace a anomálie. Pomocí automatizovaných nástrojů detekujte nesprávně nakonfigurované nastavení úložiště a oprávnění a také neobvyklé chování při přístupu k souborům.

Chraňte své cloudové služby.

Poté, co jste zabezpečili perimetr a vynutili inteligentní zásady, se musíte zaměřit na zabezpečení specifické pro vaše služby v cloudu.

  1. Použijte řízení zdrojových kódů k zabezpečení verzí, přístupu k sestavení a instancím nasazení. Tím se zmenší povrchová plocha vašeho kódu a omezí se potenciál útoků v celé vaší síti.