Adoptia tehnologiilor cloud este un pas pe care orice organizatie va trebui sa il faca la un moment dat, indiferent de marime, numar de angajati sau domeniu de activitate. Aplicatiile gazduite intr-o alta era pe servere locale trec printr-un proces de „lift and shift” in urma caruia sunt adaptate pentru a functiona din cloud. Instantele virtuale hostate pe serverele on-premises sunt migrate si ele in cloud, precum si datele pe care le stocheaza. Organizatia trebuie sa se asigure ca resursele pe care le consuma in cloud sunt accesate de catre persoanele autorizate si ca sunt protejate in mod corespunzator.
1.Implementarea modelului de „shared responsibility”
Toti marii furnizori de servicii cloud, AWS, Azure si GCP, folosesc un model de responsabilitate comuna atunci cand vine vorba de securitate in cloud. Unele aspecte precum securitatea hardware-ului de dedesubt sunt gestionate de furnizor, iar altele sunt in sarcina clientului precum securitatea la nivel de aplicatie sau infrastructura.
Pentru medii cloud de tipul IaaS (Infrastructure as a Service), clientul este responsabil cu securitatea sistemului de operare pentru orice instanta pe care o foloseste aplicand cu regularitate patch-urile, configurand firewall-ul si activand mecanismele de aparare impotriva malware-ului. Tot clientul trebuie sa aiba in vedere si protejarea aplicatiilor prin implementarea unor WAF-uri (Web Application Firewall) si a unor sisteme de protectie impotriva atacurilor de tip DDoS.
In mediile de tip PaaS (Platform as a Service), securizarea masinii virtuale cade exclusiv in sarcina furnizorului de cloud. Totusi, clientul trebuie sa se ocupe de securizarea aplicatiei si a datelor folosite de aceasta.
In mediile de tip SaaS (Software as a Service), majoritatea masurilor de securitate sunt implementate de catre furnizor. Clientul va controla modul in care aplicatia este folosita si se va ocupa si de implementarea politicilor de acces pentru respectiva aplicatie.
2. Securizarea perimetrului
Intrucat retelele cloud sunt bazate pe tehnologii SDN exista o mai mare flexibilitate pentru a implementa o securitate pe mai multe nivele (security in depth):
- Segmentarea „workload-urile” in retele virtuale separate si permiterea doar a traficului strict necesar
- Restrictionarea traficului catre aplicatii folosind firewall-uri de retea sau de aplicatie
- Implementarea unui WAF care sa aiba in vedere vulnerabilitatile identificate de OWASP
- Implementarea unei strategii de protectie impotriva atacurilor de tip DDoS folosind mecanismele puse la dispozitie de furnizorul de cloud
- Folosirea unui firewall de perimetru, poate fi cel nativ oferit de furnizor sau unul tert, care sa inspecteze traficul inbound si outbound, sa filtreze dupa semnaturi de malware si sa previna intruziunile in retea
- Pentru retelele mai mari se poate folosi un sistem de tip IPS (intrusion prevention system) dedicat pentru a fortifica securitatea perimetrala
3. Managementul accesului
Accesul la resursele din cloud trebuie sa fie foarte bine controlat si trebuie sa urmeze principiul privilegiului minim: un utilizator va primi doar drepturile minim necesare pentru a-si putea indeplini sarcinile de zi cu zi si nimic in plus. Fiecare furnizor de cloud ofera clientilor tool-uri native de IAM (Identity and Access Management) sau clientii pot folosi mecanismele de integrare cu sisteme din on prem ca Active Directory, oferind o experienta Single Sign On pentru workload-urile gazduite in cloud. O politica IAM de acces trebuie sa specifice foarte clar cine are dreptul de a accesa o resursa, din ce locatie, la ce moment de timp si in ce mod.
4.Criptarea datelor
Atunci cand organizatia foloseste serviciile din cloud pentru stocarea datelor, datele se afla fizic intr-un mediu controlat de furnizorul de cloud. Astfel, securizarea datelor in tranzit si pe loc (at rest) este indeosebi de importanta. Criptarea datelor at rest este activata in mod implicit si se face cu chei de criptare gestionate de catre furnizor. Insa, daca se doreste, clientii vor putea sa isi aduca propriile chei de criptare si sa le gestioneze singuri folosind servicii de management din cloud (Key Management Service). Pentru securitatea datelor in miscare, obiectele de stocare vor trebui sa fie accesate folosind conexiuni criptate precum HTTPS/SSL.
5. Auditarea si monitorizarea mediului cloud pentru greseli in configuratie
Cele mai multe incidente de securitate din cloud au succes din cauza greselilor de configuratie: expunerea in Internet a unui serviciu pentru care accesul este nerestrictionat, acordarea de privilegii de read sau write de tip open pentru „bucket-uri” S3, etc. Implementarea functiilor logging si de monitorizare pentru serviciile folosite poate scoate in evidenta accesarile neautorizate si poate oferi sugestii cu privire la impunerea unur masuri aditionale de control. De asemenea, se pot implementa ACL-uri pentru a limita accesul la resurse si ar trebui avut in vedere principiul privilegiului minim. Monitorizarea resurselor poate ajuta organizatia in optimizarea costurilor platite catre furnizorul de cloud si in dimensionarea corecta a bazelor de date, a numarului de instante de calcul, in general a resurselor utilizate in cloud luna de luna.
De asemenea, evenimentele semnificative ar trebui sa trimita alerte pentru a putea notifica persoanele de interes si pentru a grabi viteza de reactie in caz de probleme de operare sau incidente de securitate
Auditarea periodica a infrastructurii folosita in cloud poate scoate la suprafata greseli in configurarea resurselor consumate de organizatie si poate propune masuri de corectie si de optimizare. Dendrio, ca integrator hibrid multicloud, va poate ajuta cu o evaluare a arhitecturii cloud pe care o utilizati si va poate face recomandari pentru a elimina eventualele vulnerabilitati identificate.
Mihai Dumitrascu, Sr Systems Engineer
