Zasady bezpieczeństwa przetwarzanych danych w chmurze
Najczęstszą przyczyną wycieków danych nie są błędy w oprogramowaniu czy działania hakerów, wina leży po stronie administratorów, którzy albo zapominają skonfigurować zabezpieczenia lub robią to niewłaściwie (czym ułatwiają zadanie włamywaczom).
By zminimalizować ryzyko warto stosować poniże zasady niezależnie od tego, czy korzystacie Państwo z Amazon Web Services, Microsoft Azure czy Google Cloud Platform.
Należy pamiętać, że większość przestępców wyszukują systemy podatne na ataki, źle skonfigurowane i dopiero wtedy atakują.
Wielu przedsiębiorców chętnie wdraża u siebie rozwiązania typu multi-cloud, czyli usługi chmurowe różnych dostawców, co sprawia, że ich systemy stają się coraz mniej przejrzyste i trudniejsze do zarządzania. To z kolei stwarza więcej okazji do popełnienia poważnego błędu w konfiguracji, z czego sami nie całkiem zdają sobie sprawę.
Aby zabezpieczyć przetwarzanie danych w chmurze warto stosować się do kilku podstawowych zasad:
- 1. Wiedza i odpowiedzialność
Bez względu na zastosowane rozwiązanie to przedsiębiorca jest wyłącznie odpowiedzialny za ich zabezpieczenie. To on ma pełną kontrolę nad infrastrukturą – oprogramowaniem, konfiguracją danych i aplikacji, kontrolą dostępu czy uwierzytelnieniem. Przedsiębiorca musi zadbać o wdrożenie i stosowanie odpowiednio wysokiego poziomu zabezpieczenia danych.
- 2. Kontrola dostępu
Jednym z większych problemów występujących w zastosowaniu usług chmurowych jest przypadkowe udostępnienie zasobów przedsiębiorstwa publicznie. Warto rozważyć możliwość zastosowania narzędzi pozwalających na przeprowadzenie szybkiego audytu i sprawdzenie co dokładnie (i komu) zostało udostępnione. Innym błędem jest umożliwianie nawiązywania połączeń SSH bezpośrednio z internetu – co umożliwia nieautoryzowanym użytkownikom drogę do szukania i wykorzystywania luk i błędów w konfiguracji usługi chmurowej.
- 3. Szyfrowanie danych
Poważnym zaniedbaniem administratorów jest przechowywanie w chmurze nieszyfrowanych danych. Stosowanie szyfrowania chroni dane przed odczytaniem – nawet gdy dojdzie do wycieku lub kradzieży. Dobrą praktyką jest staranie się zachować pełną kontrolę nad kluczami szyfrującymi, aczkolwiek nie zawsze jest to możliwe, niekiedy niezbędne jest przecież udostępnienie ich np. partnerom biznesowym.
- 4. Ochrona danych logowania
Na przedsiębiorcy spoczywa obowiązek dbania o zapewnienie odpowiednio wysokiego poziomy bezpieczeństwa danych logowania. Dla każdej aplikacji, zasobu, czy usługi należy tworzyć oddzielne, unikalne i odpowiednio silne hasła, a także pamiętać o ich regularnym zmienianiu. Dzięki temu nawet jeśli dojdzie do wycieku, czy kradzieży danych, to jest duża szansa, że włamywacze przejmą nieaktualne hasło. Ważne jest również, by precyzyjnie przydzielać uprawnienia i dawać użytkownikom dostęp tylko do tych zasobów, do których powinni go mieć. Należy też regularnie sprawdzać, czy w systemie istnieją nieaktywne konta użytkowników – a jeśli tak, usuwać je.
- 5. Wielopoziomowe uwierzytelnienie
Warto korzystać z uwierzytelniania wielopoziomowego który, znacznie wzmacnia standardowe zabezpieczenie z wykorzystaniem loginu i hasła. Popularnym rodzajem uwierzytelniania wielopoziomowego jest weryfikacja dwuetapowa, złożona z dwóch etapów: wpisania poprawnego identyfikatora użytkownika i hasła uwierzytelniającego, a następnie podanie kodu, do którego dostęp posiada tylko właściwy posiadacz konta w określonym serwisie.
- 6. Przejrzystość
Dobrą praktyką jest wykorzystywanie narzędzi do identyfikowania potencjalnych prób ataku, podejrzanych zachowań, błędów i innych anomalii. Dostawcy najpopularniejszych platform chmurowych oferują narzędzia, pozwalające na aktywowanie bezpiecznego logowania, a także monitorowanie wszelkich nieudanych/podejrzanych prób logowania.
- 7. „Shift-left” w bezpieczeństwie
Warto planować wdrażanie funkcji związanych z bezpieczeństwem już na bardzo wczesnym etapie tworzenia czy implementowania innowacyjnego rozwiązania w przedsiębiorstwie – czyli stosować podejście „shift-left”. Najczęściej jednak najpierw przedsiębiorca wdraża jakieś rozwiązanie, a dopiero później dodaje do niego funkcje i narzędzia zabezpieczające – co z punktu widzenia ekonomii jest mnie opłacalne.