Ugyanez a helyzet a jelenleg használt, egyedi rendszereink fejlesztőivel és számos esetben minden rendszerünk – sokszor külsős – üzemeltetőiben. 

A jól definiált határokkal rendelkező, „körbebástyázott” belső hálózat, mint olyan, már jó ideje nem létezik a klasszikus formában; mobileszközök, távmunka és már sok esetben közvetlenül az Interneten keresztül elérhető alkalmazások már jelentős részét képezik jelenlegi architektúráknak is. Ennél fogva a zero trust elvek szerinti építkezés fokozatos térnyerése látszik, amely a felhős környezetben a védelem egyik alapeleme; a többfaktoros végpont és felhasználó azonosítás, kriptográfiai védelem elemeit a gyakorlatban már most is alkalmazzuk. 

A tapasztalatok azt mutatják, hogy a felhős rendszereket érő sikeres támadások és biztonsági incidensek több, mint 80%-át nem a szolgáltatók hiányosságai tették lehetővé; sokszor a szolgáltatás igénybe vevője hanyagolta el a kontrollfolyamatok működtetését. Ugyanakkor, a RapidScale szerint a vállalkozások 94% -a látott javulást a biztonságban miután a felhőre váltott. 

A felhő, mint jó barát: a bizalom alapja a pontos „elszámolás” 

Régi, ám sokszor elfelejtett igazság, hogy a biztonságot utólag nem, vagy csak sokszoros ráfordítással lehet beépíteni rendszereinkbe. Ezért már a döntés-előkészítés során sem szabad elfeledkezni erről, és a biztonságot, mint alapvető üzleti igényt kell meghatároznunk. 

A szerződés, a felhőszolgáltatások esetén – sem – csak dokumentáció! Tartsuk észben, hogy a megfelelő biztonsági szint biztosításának felelősségét, felhőszolgáltatás igénybevétele esetén is, továbbra is mi viseljük; az ilyen esetekben alkalmazott, megosztott felelősségi modell nem jelenti azt, hogy ügyfeleink és a hatóságok, felügyeletek felé ne tartoznánk teljes körű elszámolási felelősséggel.
A megosztott felelősségi modell megfelelő és releváns alkalmazásával viszont a többszereplős együttműködések esetén tiszta képet kaphatunk a szükséges kontrollok végrehajtásáért való felelősség tekintetében, amelyek azonosítása után különösen fontos az ott meghatározott konkrét intézkedések gyakorlati megvalósítása! 

Nagyon fontos: egyetlen felhőszolgáltató sem képes, és nem is vállal önmagában teljeskörű kontroll lefedettséget – a szolgáltatást igénybe vevő szervezetnek nem szabad elnagyoltan, kizárólag a szolgáltató funkcionális leírásai alapján „kipipálni” biztonsági követelményeket. 

Felhőszolgáltatások igénybevétele esetén tehát, saját belső kontrollfolyamatainkat elsődleges tehát rendbe tenni.
A felhős megosztott felelősségi modell alapján felépített irányítási és megfelelési intézkedések csak akkor lesznek eredményesek, ha azokat a saját belső kontrollrendszerünkre építjük és abba integráljuk, hiszen mindamellett, hogy a felhőszolgáltatók általában kiváló biztonsági funkcionalitást biztosítanak, ezek kizárólag az architektúra általuk menedzselt rétegeire vonatkoznak! 

Hogyan fogjunk hozzá? 

Az általunk használt felhőszolgáltatások biztonságának megteremtéséhez való „bemelegítésként” – bármely tervezési, fejlesztési és bevzetési fázisában is járunk pillanatnyilag – tegyük fel az alábbi kérdéseket! Saját magunknak adott válaszaink irányt fognak mutatni! 

• Milyen fázisban van jelenleg a szolgáltatás bevezetése? (sosem késő, de legpraktikusabb/olcsóbb a védelmet és megfelelést a legelején biztosítani) 
• Történt-e már elemzés a felhő szolgáltatás (ok) előnyeit-hátrányait, illetve kockázatait tekintve? 
• Van-e/tervezünk-e külön kiszervezett üzemeltetőt megbízni, vagy közvetlenül vesszük igénybe a felhőszolgáltatást? 
• Meghatároztuk-e a konkrét igénybe veendő szolgáltatások körét, választottunk-e szolgáltatót? 

• Ismerjük-e (értsd: dokumentáltuk-e?) a felhőbe költöztetendő folyamatokat és adatköröket és azok üzleti és biztonsági kritikusságát? Milyen részleteséggel? Történt-e az adatok minimalizálásával kapcsolatos elemzés, különös tekintettel a személyes adatokra? 
• Létezik-e jelenleg a tervezett felhőszolgáltatásnak megfelelő on-premise megoldás, vagy zöldmezős bevezetésről van szó? 
• Ismerjük-e a felhőszolgáltató szerződéses feltételeit (különösen felmondási feltételek, felmondási idő, feltétel nélküli ellenőrzési jog (bizonyosságszerzés) és annak mikéntje, adatkezelési és -feldolgozási helyszínek, adatbiztonsági és adatvédelmi elvárások – a szolgáltatási láncra kiterjedően is, folyamatok és rendszerek biztonsági elvárásai, incidenskezelésre és csalásfelderítési (forensic) eljárások, exit stratégia feltételei. 
• Meghatároztuk-e a felelősségi köröket, szolgáltatási szinteket a felhőszolgáltatóval? 
• Ismert-e a jelenleg nálunk bevezetett kiberbiztonsági megoldások felhő-oldali kompatibilitása? Rendelkezünk tervekkel a felhőszolgáltatás biztonságának monitorozása és felügyelete körében? 

Jó hír tehát, hogy a felhőben is a jól ismert védelmi alapelvek érvényesülnek a biztonság területén, így, a bevált eljárásokat újrafókuszálva és módszeresen kiegészítve képesek leszünk a felhős rendszerek biztonságát és megfelelését hasonló – sőt, a felhő-nativ megoldások által biztosított biztonsági funkciók kihasználásával – magasabb szinten biztosítani! 

Szerző: Farkas Imre