Prevence

7 chyb, kterých se dopouštíte v zabezpečení cloudu a jak postupovat lépe

10 min. čtení

Odstraňte následující chyby a nedostatky a vaše organizace může udělat obrovský krok k optimalizaci využívání cloudu, aniž by ohrozila zabezpečení svých dat.

Cloud computing je zásadní součástí dnešního digitálního prostředí. IT infrastruktura, platformy a software jsou dnes častěji poskytovány jako služba (odtud zkratky IaaS, PaaS a SaaS) než v tradiční lokální konfiguraci. A to představuje obrovskou výhodu zejména pro malé a střední podniky (SMB).

Cloud poskytuje příležitost vyrovnat se větším konkurentům, umožňuje větší podnikatelskou agilitu a rychlé rozšiřování, aniž by to přivedlo vaši společnost k bankrotu. Možná i proto celosvětově 53 % malých a středních podniků dotazovaných v nedávné zprávě uvedlo, že ročně utratí za cloud více než 1,2 milionu dolarů (loni to bylo 38 %).

S digitální transformací však přichází také riziko. Bezpečnost (72 %) a dodržování předpisů (71 %) jsou druhou a třetí nejčastěji uváděnou hlavní výzvou v oblasti cloudu pro tyto respondenty z řad SMB. Prvním krokem k řešení těchto výzev je pochopení hlavních chyb, kterých se menší podniky při nasazování cloudových služeb dopouštějí.

Typické chyby v zabezpečení cloudu

Ujasněme si, že následující chyby nedělají jen malé a střední podniky. I ty největší a nejlépe vybavené organizace se někdy proviní tím, že zapomenou na základní věci. Odstraněním těchto nedostatků však může vaše firma udělat obrovský krok směrem k optimalizaci využívání cloudu, aniž by se vystavila potenciálně vážnému finančnímu riziku nebo riziku ztráty dobré pověsti.

1. Žádné vícefázové ověřování (MFA)

Statická hesla jsou ze své podstaty nezabezpečená, a ne každá firma má nastavenou rozumnou politiku tvorby hesel. Hesla lze odcizit různými způsoby, například pomocí phishingu, útoků hrubou silou nebo jednoduše hádáním, proto byste měli přidat další vrstvu ověřování. MFA navíc útočníkům ztíží přístup k účtům v SaaS, IaaS nebo PaaS aplikacích, čím se zmírní riziko útoku ransomwarem, krádeže dat a dalších možných následků. Další možností je přejít, pokud je to možné, na alternativní metody ověřování, jako je například ověřování bez hesla.

2. Přílišná důvěra v poskytovatele cloudu (CSP)

Mnoho vedoucích IT pracovníků se domnívá, že efektivní investice do cloudu znamená svěřit vše důvěryhodné třetí straně. To je pravda jen zčásti. Ve skutečnosti existuje model sdílené odpovědnosti za zabezpečení cloudu, který je rozdělen mezi poskytovatele a zákazníka. O co se musíte postarat, závisí na typu cloudové služby (SaaS, IaaS nebo PaaS) a na poskytovateli cloudových služeb (CSP). I když většina odpovědnosti leží na poskytovateli (např. u SaaS), může se vyplatit investovat do dalších kontrolních mechanismů třetích stran.

3. Nezajištění záloh

V souladu s výše uvedeným nikdy nepředpokládejte, že vám poskytovatel cloudu (např. u služeb sdílení/ukládání souborů) kryje záda. Vždy se vyplatí plánovat pro nejhorší možný scénář, kterým bude s největší pravděpodobností selhání systému nebo kybernetický útok. Nejde jen o ztrátu dat, která bude mít dopad na vaši organizaci, ale také o výpadky a zásahy do kontinuity činností, které mohou po incidentu následovat.

4. Neprovádění pravidelného záplatování

Pokud neprovádíte pravidelné záplatování, vystavujete své cloudové systémy riziku zneužití zranitelností. To by následně mohlo vést k infekci malwarem, úniku dat a dalším problémům. Správa záplat je základním osvědčeným postupem v oblasti zabezpečení, který je stejně důležitý v cloudu jako v lokálním prostředí.

ESET Vulnerability & Patch Management

 Získejte přehled o aktuálním stavu zranitelností a záplat ve vaší organizaci. ESET řešení pro správu zranitelností a záplat disponuje plně automatizovanou i manuální správou záplat pro všechna koncová zařízení. 

CHci Vědět více

5. Chybná konfigurace cloudu

Poskytovatelé služeb cloud computingu jsou sice inovativní, ale obrovské množství nových funkcí a možností, které zavádějí v reakci na zpětnou vazbu zákazníků, může pro mnoho malých a středních firem vytvořit neuvěřitelně složité cloudové prostředí. Je pak mnohem těžší zjistit, jaká konfigurace je nejbezpečnější. Mezi časté chyby patří konfigurace cloudového úložiště tak, aby k němu měla přístup jakákoli třetí strana, a neblokování otevřených portů.

6. Nemonitorování cloudového provozu

Dnes už nejde o to “jestli“, ale „kdy“ dojde k narušení vašeho cloudu (IaaS/PaaS). Proto je velmi důležitá rychlá detekce a reakce, pokud chcete útok včas odhalit a zastavit ho dříve, než ovlivní vaši organizaci. Z toho vyplývá nutnost nepřetržitého monitorování.

7. Selhání při šifrování důležitých dat

Žádné prostředí není stoprocentně odolné proti narušení. Co se tedy stane, pokud se útočníkům podaří dostat k vašim nejcitlivějším interním datům nebo vysoce regulovaným osobním údajům zaměstnanců/zákazníků? Šifrováním v klidu a při přenosu zajistíte, že data nebude možné použít, i když se dostanou do nesprávných rukou.

Jak správně zabezpečit cloud?

Prvním krokem k řešení bezpečnostních rizik v cloudu je pochopit, kde leží vaše odpovědnost a které oblasti bude řešit poskytovatel cloudových služeb. Poté je třeba posoudit, zda důvěřujete nativním bezpečnostním kontrolám CSP v cloudu, nebo je chcete rozšířit o další produkty třetích stran. Zvažte následující:

  • Investujte do bezpečnostních řešení třetích stran, abyste zvýšili zabezpečení cloudu a ochranu svých e-mailových aplikací, úložišť a aplikací pro spolupráci nad rámec bezpečnostních funkcí zabudovaných do cloudových služeb nabízených poskytovateli cloudu.
  • Přidejte nástroje pro rozšířenou nebo řízenou detekci a reakci (XDR/MDR), které umožní rychlou reakci na incidenty a zamezí narušení bezpečnosti.
  • Zaveďte program průběžného záplatování založený na riziku a postavený na důkladné správě prostředků (tj. vědět, jaké prostředky v cloudu máte, a pak zajistit jejich neustálou aktuálnost).
  • Šifrujte data v klidu (na úrovni databáze) a při přenosu, abyste zajistili jejich ochranu i v případě, že se k nim dostanou kyberzločinci. To bude také vyžadovat účinné a průběžné zjišťování dat a jejich klasifikaci.
  • Definujte jasnou politiku řízení přístupu, vyžadujte silná hesla, MFA, zásady nejnižších oprávnění a seznamy zakázaných/povolených přístupů pro konkrétní IP adresy.
  • Zvažte přijetí přístupu nulové důvěry, který bude zahrnovat výše uvedené prvky (MFA, XDR, šifrování) spolu se segmentací sítě a dalšími kontrolními prvky.

Mnoho z výše uvedených opatření patří obecně mezi osvědčené postupy také v lokálním prostředí, lišit se budou jen detaily. Nejdůležitější je pamatovat na to, že za bezpečnost cloudu není zodpovědný pouze poskytovatel.