Cine, ce securizeaza in cloud?

Securitatea cibernetica este un aspect deosebit de important in toate domeniile din IT. Inginerii de retea trebuie sa asigure o infrastructura sigura care sa deserveasca utilizatorii, iar programatorii si dezvoltatorii de aplicatii si software trebuie sa scrie un cod care este sigur, fara bug-uri si lipsit de vulnerabilitati. Pana nu demult, infrastructura si aplicatiile erau folosite ambele on-premises, de exemplu din locatia in care compania isi desfasura activitatea. Insa, o buna parte din resurse, infrastructura si aplicatii au fost migrate sau sunt in curs de migrare in cloud. Se pune intrebarea: cine este responsabil de securitatea acestora?

De regula, cand vine vorba de securitate, orice profesionist o sa se refere la conceptul de securitate pe mai multe nivele (“defense in depth”). Sa ne gandim care ar putea nivelele de securitate pe care le-am putea implementa pentru a proteja un laptop conectat la reteaua organizatiei:

  • securitatea fizica: turnicheti la intrarea in cladire, cartela de acces, personal de securitate
  • conexiunea la retea: autentificare atat pentru conexiunea wireless, cat si pentru cea cablata
  • sistemul de operare: dezactivarea serviciilor nefolosite, upgrade-uri si patch-uri la zi, fara “bloatware”
  • aplicatiile folosite: updatate si patch-uite la zi
  • datele pastrate pe laptop sau transferate: folosirea canalelor sigure de comunicare si a autentificarii si criptarii, backup-uri periodice
  • utilizator: folosirea principiului de privilegiu minim, autentificare pe laptop, training pentru insusirea elementelor de baza de securitate

Pentru administratorii de sistem, cel mai usor mod de a se proteja de un utilizator este cel al privilegiului minim. Utilizatorul va avea atatea permisiuni cat ii sunt necesare strict pentru a-si indeplini activitatea de zi cu zi, nimic in plus. De exemplu, utilizatorul nu are drepturi de administrator pe sistem, nu poate accesa folderul Program Files din Windows sau nu poate da comanda rm -r din radacina Linux-ului. Astfel, sistemul este protejat de greselile neintentionate sau intentionate ale angajatului.

Avand o aparare organizata pe mai multe randuri, organizatia este mai bine protejata de un eventual atac cibernetic.

Anumite aspecte se pastreaza si atunci cand este vorba de securitatea resurselor gazduite in cloud. Training-ul utilizatorilor ramane esential, la fel si criptarea datelor si patching-ul sistemelor de operare, fie de tip desktop sau server. Resursele din cloud trebuie sa fie accesate remote, ceea ce implica folosirea internetului, care prin definitie este o retea publica si deci nesigura. De aceea, managementul resurselor din cloud trebuie facut in mod securizat. De obicei, sunt folosite conexiuni SSH sau HTTPS, care asigura confidentialitatea datelor transmise. Implementarea MFA-ului pentru validarea identitatii utilizatorului este si ea critica si oriunde este posibil ar trebui activata. Anumite nivele de securitate sunt trecute strict sub responsabilitatea furnizorului de cloud, cum ar fi:

  • securitatea fizica a centrului de date
  • asigurarea de elemente redundante: alimentare electrica, racire, legatura la Internet
  • inlocuirea hardware-ului defect

Shared security

Pentru securitatea cloud-ului Amazon Web Services a definit conceptul de “shared security”, care in esenta spune ca atat furnizorul de cloud, cat si clientul sunt responsabili pentru securitatea cloud-ului. Mai exact:

  • AWS este reponsabil de securitatea cloud-ului, mai exact de securitatea hardware-ului, a software-ului si a aplicatiilor puse la dispozitia clientului.
  • clientul este responsabil de ce “pune” in cloud, mai exact de datele stocate in infrastructura de cloud a furnizorului, de datele transmise intre organizatie si furnizorul de cloud si de modul de acces la resursele din cloud.

De exemplu, pentru o aplicatie de tip SaaS cum ar fi Microsoft 365 sau Google Workspace, furnizorul acesteia este responsabil de toate nivele de securitate, mai putin de modul in care utilizatorul foloseste acea aplicatie. Organizatia trebuie sa se asigure ca utilizatorul nu partajeaza documente cu persoane necunoscute.confidentiale cu persoane necunoscute sau  prin link-uri publice care pot fi indexate de motoarele de cautare.

Cand vine vorba de un serviciu de tip IaaS, furnizorul de cloud este responsabil doar cu securitatea server-ului fizic pe care se afla instanta clientului si evident, cu securitatea centrului de date in care se afla acel server. Insa este responsabilitatea clientului de a configura sistemul de operare conform celor mai bune practici de securitate si de a-l mentine la zi cu toate patch-urile instalate.

Inginerii Dendrio va pot ajuta sa analizati si sa aplicati cu succesul modelul de “shared security”, astfel incat organizatia dumneavoastra sa beneficieze de cele mai bune masuri de protectie si sa respecte regulamentele si criteriile de conformitate potrivite industriei in care va desfasurati activitatea.

Mihai Dumitrascu, Sr Systems Engineer

Meniu