Vše o cloudové bezpečnosti a 5 zásad zabezpečení dat
Bezpečnost cloudu je pro většinu uživatelů jedním z nejdůležitějších parametrů. Podle posledních výzkumů se 91 procent firem využívajících cloudové služby obává právě problémů se zabezpečením dat. Na tom, jak dobře dokáže poskytovatel data svých zákazníků chránit, potom závisí úspěch jeho služby. Petr Hrabec, Senior Security Consultant v TietoEVRY, odpovídá na otázky ohledně nových výzev stojících před bezpečností. Pohled na bezpečnost pak o geopolitický rozměr doplňuje Petr Loužecký, šéf cloudových služeb ve společnosti Algotech.
TietoEVRY je původně finská IT společnost, která je aktivní ve více než 90 zemích, kde zaměstnává přes 24 000 specialistů. Na českém trhu její pobočka působí přes 12 let a zaměřuje se na digitalizaci firem a poskytování cloudových služeb. Kyberbezpečnost má v TietoEVRY na starosti Petr Hrabec, který se zaměřuje především na databázové produkty firmy SAP.
Jakou důležitost má bezpečnost při výběru cloudového poskytovatele?
Ze společností, které cloud využívají, se 91 procent obává problémů se zabezpečením dat. Firmy ale kromě obav z bezpečnosti vidí v cloudu značné finanční výhody, což vyvíjí tlak na bezpečnostní týmy, které musí držet krok s tím, jak se cloudové služby začínají prosazovat a roste jejich popularita. Pro celé IT je největší výzvou změna v přístupech k zabezpečení, kterou nasazení cloudu a vývoj nativního cloudového softwaru vyžaduje. Kdo nutnost této změny nepochopí, dost možná ohrožuje svá data či obchodní procesy.
Jaké jsou základní zásady, kterými se při zavádění cloudu řídit?
Pokusím se stručně popsat úplně základní zásady, kterými se řídíme v TietoEVRY, ale platné jsou univerzálně pro všechny.
1. Systém správy a řízení rizik
Naprosto nezbytným krokem je zavést systém zacílený na řízení rizik spojených s IT infrastrukturou. V TietoEVRY používáme centrální nástroj pro monitoring, který přehledně spravuje rizika napříč celou firmou, nejen v cloudu.
2. Správná konfigurace cloudových platforem
Při konfiguraci cloudových platforem může dojít k lidské chybě, která kompromituje bezpečnost celé infrastruktury. K minimalizaci možnosti vzniku takové chyby je vhodné používat uznávané standardy, benchmarky a automatizované konfigurační nástroje.
3. Řízení přístupů v informačních systémech
Často skloňovaným pojmem ve vztahu k bezpečnosti cloudu je granulární přístup. Vždy by měl být přístup k produkčním i testovacím prostředím kontrolován příslušným IDM (identity management) nástrojem s několika úrovněmi schvalování a následnými kontrolami již přidělených práv.
4. Zabezpečení rozhraní a API
Často podceňovanou oblastí jsou API. Všechna rozhraní musí být detailně zmapována a zabezpečena s využitím například autentizace či šifrování.
5. Rozdělení odpovědnosti
Důležité je správné chápání rozdělení odpovědnosti mezi zákazníkem a MSP, tedy Managed Service Providerem, což je jednoduše subjekt, kterému firma outsourcuje správu své IT infrastruktury. Vhodným nástrojem je matice odpovědnosti, tzv. RACI matrix, která by měla být vždy součástí základní dokumentace, a to u všech řešení typu IaaS (infrastructure as a service) a PaaS (platform as a service).
Jakou úroveň zabezpečení poskytuje TietoEVRY cloud?
To, že cloudové produkty TietoEVRY poskytují vysokou úroveň zabezpečení, nejlépe ilustrují udělené certifikáty jako ISO 27001, ISAE 3402 a 3000, PCI DSS a CSA STAR. Naše zabezpečení tedy dosahuje podobné úrovně jako globálně známé cloudy AWS či Azure. Audity vedoucí k získání těchto certifikátů u nás probíhají takřka denně.
S přechodem firem do remote módu, kdy se zaměstnanci připojují převážně z domu, se mnohé pro bezpečnost IT změnilo. Zkusil byste situaci
více přiblížit?
Hybridní cloud IaaS na VMware snižuje také složitost implementace různých výpočetních řešení napříč organizací, a to při zachování různých úrovní služeb, nákladů, cen a standardů zabezpečení. Veškeré cloudy tak lze snadno nastavit a spravovat skrze jeden webový portál.
Jaké jsou důvody pro tuto změnu v přístupu?
S přechodem do cloudu a s růstem většiny firem násobně vzrostl také objem přenášených dat, především těch telemetrických. Je proto potřeba analyzovat a detekovat v nich hrozby novými způsoby, jelikož platformy pro detekci hrozeb poměrně rychle zastarávají a způsob, kterým SOC tradičně hrozby analyzovalo, jednoduše nestačí. Jeho úkolem bylo generovat výstrahy, ale to se stalo minulostí, když tuto roli převzaly další bezpečností systémy jako EDR, NDFW nebo UEBA. Hlavní rolí SOC se tak stává proaktivní zajišťování bezpečnosti, nikoliv reaktivní detekce hrozeb a útoků.
Nezapomeňte na geopolitiku
U vytváření cloudové infrastruktury by firmy ale kromě samotných mechanismů kyberbezpečnosti měly myslet i na geopolitiku. Proč? Data, která jsou uložena v datacentru na území jiného státu, podléhají různým legislativním povinnostem, což firmy zajímá především v souvislosti s GDPR a ochranou osobních údajů.
„Všechny společnosti podnikající na území Evropské unie, nebo které spravují osobní údaje občanů EU, musí dodržovat legislativu známou pod zkratkou GDPR. Z pohledu dokumentace a správy povinností je snazší využívat cloudové služby, které jsou na území EU,“ vysvětluje Petr Loužecký z Algotechu.
Nejde však jen o osobní údaje, důležitým aspektem v rozhodování by měla být i dostupnost podpory. Velká část společností dává přednost poskytovatelům cloudových služeb, s jejichž podporou mohou komunikovat v rodném jazyce. A rozhodnutí by samozřejmě měla ovlivňovat i geografická vzdálenost, kdy fyzická vzdálenost klienta od cloudu výrazně ovlivňuje rychlost a odezvu služeb.
Pro firmy má výběr země, kde budou jejich data uložena, i jiný rozměr, kterým je důvěra ve stabilitu daných států a v jejich roli v zajišťování férového podnikatelského prostředí. „Z výsledků našeho průzkumu geopolitických vlivů ve spolupráci se STEN/MARK jednoznačně vyplynulo, že nejvíce se firmy obávají uložení dat v Číně a Rusku. Ani USA už vzhledem ke změně úmluv nelze považovat za rovnocenný ekvivalent Evropy. Proto se většina firem přiklání k využívání cloudových služeb v rámci EU, kde oceňují výhody lokálních firem,“ popisuje preference zákazníků Loužecký.
Algotech je v tomto smyslu lokální firmou se třemi datacentry v Česku – to hlavní je umístěné v Libčicích nad Vltavou – která přesně tyto výhody svým zákazníkům nabízí. Na rozdíl od globálních hráčů typu AWS nebo Azure se nespecializuje na masové veřejné služby, naopak se soustředí především na individuální řešení, u kterých má přehled o tom, co a jak jejich zákazníci využívají za služby.
Díky tomu Algotech může nastavit bezpečností opatření na míru provozu daného zákazníka. „Takto dokážeme chránit i klientovy aplikace nebo systémy, které běží na virtuálních serverech nebo ve virtuálním datovém centru,“ popisuje důležitou výhodu individuálního přístupu Algotechu k zákazníkům Loužecký.