Securitatea in cloud este o zona din securitatea cibernetica dedicata protejarii resurselor din cloud-ul folosit de o organizatie. Securitatea in cloud este un efort comun facut atat de furnizorul de cloud, cat si de clientii care folosesc cloud-ul in in organizatiile lor, indiferent ca este vorba de SMB-uri sau de corporatii mari. Furnizorii de cloud gazdueisc servicii si aplicatii pe serverele lor si le fac accesibile din Internet prin conexiuni directe si always-on. Furnizorii de cloud isi bazeaza business-ul pe increderea clientilor pe care acestia o au in ei. De aceea, masurile de securitate implementate de furnizori sunt dintre cele mai stricte. Dar securitatea in cloud este o responsabilitate care apartine si clientului.
Cum poate o organizatie sa isi securizeze datele din cloud?
Criptarea este una dintre cele mai populare si mai la indemana metode de a securiza datele din cloud. Datele pot fi in miscare sau in stationare. Riscul ca datele sa fie interceptate este atunci cand datele sunt in miscare, de exemplu cand se face un upload sau un backup. Criptarea end to end ofera confidentialitate datelor in cazul in care acestea sunt interceptate de un atacator. Credentialele de acces la resursele din cloud sunt informatii critice care si ele trebuie pastrare intr-un mod securizat. Datele pot fi criptate inainte ca ele sa ajunga in cloud sau se poate folosi un serviciu de criptare oferit de furnizor. Managementul cheilor de criptare este un aspect crucial pentru securitatea in cloud. Cheile trebuie sa aiba backup si trebuie sa fie rotite periodic pentru a limita fereastra de timp in care un atacator ar reusi sa aiba acces la date daca a reusit sa obtina cheile corecte de criptare.
Configuratia corecta a serviciilor din cloud este deosbit de importanta. Cele mai multe brese de securitate, peste 90%, au fost posibili din cauza erorilor de configuratie. Prin eliminarea lor scade semnificativ gradul de risc la care este expusa organizatia. Cateva principii de baza se refera la:
- schimbarea credentialelor de acces implicite la resurse
- folosirea unui user non-admin / non-root pentru task-urile obisnuite
- dezactivarea accesului prin SSH la o instanta folosind contul “root”
- restrictionarea accesului din Internet la un bucket (un bucket este un obiect similar cu un folder care stocheaza fisiere)
- folosirea masurilor de securitate puse la dispozitie de furnizorul de cloud
Practicile standard de securitate cibernetica trebuie aplicate si in mediul cloud si nu trebuie ignorate. Printre acestea se numara:
- folosirea unui manager de parole – astfel obtinem capabilitatea de a avea parole diferite pentru toate conturile si serviciile din cloud fara a fi necesara amintirea lor pe dinafara. Pentru managerul de parole trebuie aleasa o parola primara deosebit de puternica.
- folosirea parolelor puternice sau, mai bine, a frazelor de acces (passphrase) care folosesc o entropie ridicata ce face ghicirea sau atacurile de tip “brute force” inutile
- activarea functiei de MFA pe orice serviciu si aplicatie care suporta autentificarea cu un al doilea factor: pin pe sms, notificare push sau cheie fizica; desi incetineste viteza de acces la cont, siguranta este pe primul plan
- protejarea tuturor dispozitivelor, inclusiv a telefoanelor smart si a tabletelor, mai ales in scenarii de telemunca, cu solutii antivirus/antimalware – daca datele din cloud sunt sincronizate cu mai multe dispozitive, oricare dintre acestea poate fi compromis si poate oferi acces atacatorului la informatii
- atentie la privilegiile de acces pentru fisiere. Desi partajarea unui folder sau a unui fisier, folosind de exemplu Google Drive, este o metoda simpla si la indemana de a oferi acces unui client sau partener, acest lucru poate duce la probleme de securitate cum ar fi ca doi clienti diferiti sa aiba acces la folderele si fisierele celuilalt. Managementul permisiunilor la resurse este un subiect delicat si trebuie tratat cu maxima de seriozitate.
- implementarea unei politici de IAM – Identity and Access Management. Printr-o astfel se politica se pot defini nivele de autorizare diferite pentru useri diferiti cu o foarte buna granularitate pe fiecare resursa, serviciu sau instanta virtuala.
Cloud-ul este o tehnologie din ce in ce mai mult folosita de organizatii pentru a-si dezvolta business-ul si de a carui securitate depinde intreaga activitate a organizatiei. Pe langa masurile de securitate luate de furnizorul de cloud, si organizatia trebuie sa se asigure ca a facut tot ce ii sta in putinta pentru a-si securiza datele din cloud. Daca doresti o evaluare si o imbunatatire a posturii de securitate a mediului tau cloud, Dendrio, ca integrator de servcii multicloud, iti poate fi alaturi.
Mihai Dumitrascu, Sr Systems Engineer
