Bezpieczeństwo, a środowisko chmury - jak to skleić?

W jaki sposób połączyć pojęcia bezpieczeństwa IT ze środowiskiem chmury - często słyszymy o naruszeniu bezpieczeństwa cybernetycznego - jeszcze niedawno słyszeliśmy historię o włamaniu do japońskiego systemu emerytalnego. Jak temu zapobiec, jeśli chmura jest naprawdę przyszłością?
Chmura jest modelem, który przerażał ludzi zajmujących się bezpieczeństwem. Czasy się jednak zmieniły i dziś bezpieczeństwo w chmurze jest akceptowanym podejściem - mówi David Holmes z F5 Networks.
 

david holmes f5Jednym z powodów takiego stanu rzeczy, ze względu na niedobór ludzi zajmujących się bezpieczeństwem, jest zbieranie przez chmurę specjalistów od bezpieczeństwa, a następnie agregowanie ich doświadczenia przez klientów rozwiązań chmurowych. Przykładowo, Google i Amazon mają solidne zespoły do spraw bezpieczeństwa, zbudowane na bazie „klastrów doświadczenia” na Zachodnim Wybrzeżu.

Drugim aspektem bezpieczeństwa chmury jest fakt, że większość przedsiębiorstw nie umieszcza swoich „systemów zastanych” w chmurze. Wiele z nich zostało zaprojektowanych bez internetu i posiada zakamarki, które niezwykle ciężko zabezpieczyć. Z tego powodu to nowe systemy raczej są wdrażane w chmurze. Współczesne systemy rozumieją zagrożenia, które są cały czas badane i publikowane. Tak, istnieją luki w zabezpieczeniach, jednak jeżeli zdarzy się taki atak to jest on publikowany bardzo szybko, dostaje interesujący logotyp i ciekawą nazwę jak VENOM czy POODLE czy GHOST.

Gdy zaakceptujemy fakt, że bezpieczeństwo chmury jest ważnym elementem, w jaki sposób możemy ją wykorzystać do skorygowania własnych firmowych deficytów w tym zakresie? Po pierwsze – rozważ:
  • Dokonywanie testów penetracyjnych chmury: Gdy ludzie myślą o Europie Wschodniej, to myślą o hakerach. To prawda, że w Europie jest wielu hakerów, jednakże wiele z tych krajów jest przyjaznych wolnemu rynkowi, a ja sam znam kilka firm, które stawiają na testy penetracyjne chmury w Rumunii. W Stanach Zjednoczonych, Whitehat Security dokonuje DAST (Dynamiczne Testy Analizy Oprogramowania) za pośrednictwem chmury. Każda luka w zabezpieczeniu jest sprawdzana podwójnie aby ręcznie oddzielić prawdziwe zagrożenia od fałszywych.

  • Popularnością cieszą się teraz również programy Bug Bounty. Wiedziałeś, że HackerOne może outsourcować zarządzanie takim programem? Mogą również działać jako obiektywna strona trzecia dzięki czemu twoja firma i badacze/hakerzy będą mogli się dogadać bez konfliktów.
Należy również wziąć pod uwagę fakt, że możemy wybrać certyfikaty i poziom bezpieczeństwa spośród dostawców chmury.

W Stanach Zjednoczonych istnieje kilka firm zajmujących się chmurą, które swoją ofertę kierują do branży finansowej ze względu na większe wymagania dotyczące bezpieczeństwa. FireHost jest jedną z nich. Możesz jeszcze rozejrzeć się dookoła patrząc na poszczególne poziomy bezpieczeństwa oferowane przez poszczególne chmury. Możesz domagać się, aby twoje aplikacje działały na dedykowanych urządzeniach w konkretnej chmurze. Firmy te specjalizują się w utrzymaniu zgodności aplikacji w części w której działają w chmurze. Szybsza certyfikacja oznacza mniej papierkowej roboty.

Firewalle aplikacji webowych to najbardziej zaawansowane narzędzia do zabezpieczenia aplikacji. Te wyrafinowane narzędzia są stworzone tak, aby zapobiegać hackowaniu aplikacji i naruszeniom bezpieczeństwa danych, takich jak wstrzykiwanie SQL-a czy ataki brute force skierowane na strony logowania. Jednakże, działanie tych narzędzi wymaga wyszkolonej kadry i właśnie Ci eksperci są najrzadszym zasobem. Firmy kierują się ku WAF-in-the-cloud (Web Application FIrewalls in the cloud) aby rozwiązać ten problem. Firmy zajmujące się bezpieczeństwem mogą agregować administratorów WAF i amortyzować ich doświadczenie na setki firm.

To tylko kilka przykładów – testy penetracyjne, Bug Bounties, certyfikacja zgodności i bezpieczeństwa aplikacji, pozwalają nam wykorzystać funkcje bezpieczeństwa chmury i oferowane poziomy bezpieczeństwa przez dostawców usług chmurowych. Jeżeli twoja organizacja ma problemy w wyszukaniu i pozyskaniu wykwalifikowanych specjalistów od bezpieczeństwa, bezpieczeństwo chmury jest dobrą opcją.

Źródło: F5 Networks

PRZECZYTAJ RÓWNIEŻ:


Back to top