fbpx
+36 1 781 4842 info@fortix.hu

Bízhatunk-e a felhő-szolgáltatásokban?

2021-ben is ambivalens hozzáállást látunk a felhős rendszerek tekintetében, amelyet leginkább az ismeretlentől való félelem indokolhat. 

Talán bele sem gondolunk, hogy a klasszikusnak mondható on-premise felállásban is szinte ugyanolyan mértékű kitettségünk van külső felek felé, ezt sokszor nem a maga teljességében vesszük számításba (példák alább) és e megszokott állapotot biztonságosabbnak ítéljük. Az on-premise rendszerek esetében is számos külső féllel szemben viseltetünk tehát bizalommal, legyen ez egyébként kiérdemelt és kontrollált, vagy sem.  

Jelenleg futó rendszereink esetében is – hiszen használjuk azokat – megbízunk az általunk működtetett dobozos infrastruktúra, operációs rendszer, köztes rétegek és alkalmazási rendszerek szállítóiban, fejlesztőiben. A felhőszolgáltatók nagyrészt ugyanezeket az infrastruktúra és biztonsági elemeket, eszközöket, alapvető technológiákat használják, kiegészítve természetesen új elemekkel. 

Ugyanez a helyzet a jelenleg használt, egyedi rendszereink fejlesztőivel és számos esetben minden rendszerünk – sokszor külsős – üzemeltetőiben. 

A jól definiált határokkal rendelkező, „körbebástyázott” belső hálózat, mint olyan, már jó ideje nem létezik a klasszikus formában; mobileszközök, távmunka és már sok esetben közvetlenül az Interneten keresztül elérhető alkalmazások már jelentős részét képezik jelenlegi architektúráknak is. Ennél fogva a zero trust elvek szerinti építkezés fokozatos térnyerése látszik, amely a felhős környezetben a védelem egyik alapeleme; a többfaktoros végpont és felhasználó azonosítás, kriptográfiai védelem elemeit a gyakorlatban már most is alkalmazzuk. 

A tapasztalatok azt mutatják, hogy a felhős rendszereket érő sikeres támadások és biztonsági incidensek több, mint 80%-át nem a szolgáltatók hiányosságai tették lehetővé; sokszor a szolgáltatás igénybe vevője hanyagolta el a kontrollfolyamatok működtetését. Ugyanakkor, a RapidScale szerint a vállalkozások 94% -a látott javulást a biztonságban miután a felhőre váltott. 

 

A felhő, mint jó barát: a bizalom alapja a pontos „elszámolás” 

Régi, ám sokszor elfelejtett igazság, hogy a biztonságot utólag nem, vagy csak sokszoros ráfordítással lehet beépíteni rendszereinkbe. Ezért már a döntés-előkészítés során sem szabad elfeledkezni erről, és a biztonságot, mint alapvető üzleti igényt kell meghatároznunk. 

szerződés, a felhőszolgáltatások esetén – sem – csak dokumentáció! Tartsuk észben, hogy a megfelelő biztonsági szint biztosításának felelősségét, felhőszolgáltatás igénybevétele esetén is, továbbra is mi viseljük; az ilyen esetekben alkalmazott, megosztott felelősségi modell nem jelenti azt, hogy ügyfeleink és a hatóságok, felügyeletek felé ne tartoznánk teljes körű elszámolási felelősséggel.
A megosztott felelősségi modell megfelelő és releváns alkalmazásával viszont a többszereplős együttműködések esetén tiszta képet kaphatunk a szükséges kontrollok 
végrehajtásáért való felelősség tekintetében, amelyek azonosítása után különösen fontos az ott meghatározott konkrét intézkedések gyakorlati megvalósítása! 

Nagyon fontos: egyetlen felhőszolgáltató sem képes, és nem is vállal önmagában teljeskörű kontroll lefedettséget – a szolgáltatást igénybe vevő szervezetnek nem szabad elnagyoltan, kizárólag a szolgáltató funkcionális leírásai alapján „kipipálni” biztonsági követelményeket. 

Felhőszolgáltatások igénybevétele esetén tehát, saját belső kontrollfolyamatainkat elsődleges tehát rendbe tenni.
A felhős megosztott felelősségi modell alapján felépített irányítási és megfelelési intézkedések csak akkor lesznek er
edményesek, ha azokat a saját belső kontrollrendszerünkre építjük és abba integráljuk, hiszen mindamellett, hogy a felhőszolgáltatók általában kiváló biztonsági funkcionalitást biztosítanak, ezek kizárólag az architektúra általuk menedzselt rétegeire vonatkoznak! 

Hogyan fogjunk hozzá? 

Az általunk használt felhőszolgáltatások biztonságának megteremtéséhez való „bemelegítésként” – bármely tervezési, fejlesztési és bevzetési fázisában is járunk pillanatnyilag – tegyük fel az alábbi kérdéseket! Saját magunknak adott válaszaink irányt fognak mutatni! 

  • Milyen fázisban van jelenleg a szolgáltatás bevezetése? (sosem késő, de legpraktikusabb/olcsóbb a védelmet és megfelelést a legelején biztosítani) 
  • Történt-e már elemzés a felhő szolgáltatás (ok) előnyeit-hátrányait, illetve kockázatait tekintve? 
  • Van-e/tervezünk-e külön kiszervezett üzemeltetőt megbízni, vagy közvetlenül vesszük igénybe a felhőszolgáltatást? 
  • Meghatároztuk-e a konkrét igénybe veendő szolgáltatások körét, választottunk-e szolgáltatót? 
  • Ismerjük-e (értsd: dokumentáltuk-e?) a felhőbe költöztetendő folyamatokat és adatköröket és azok üzleti és biztonsági kritikusságát? Milyen részleteséggel? Történt-e az adatok minimalizálásával kapcsolatos elemzés, különös tekintettel a személyes adatokra? 
  • Létezik-e jelenleg a tervezett felhőszolgáltatásnak megfelelő on-premise megoldás, vagy zöldmezős bevezetésről van szó? 
  • Ismerjük-e a felhőszolgáltató szerződéses feltételeit (különösen felmondási feltételek, felmondási idő, feltétel nélküli ellenőrzési jog (bizonyosságszerzés) és annak mikéntje, adatkezelési és -feldolgozási helyszínek, adatbiztonsági és adatvédelmi elvárások – a szolgáltatási láncra kiterjedően is, folyamatok és rendszerek biztonsági elvárásai, incidenskezelésre és csalásfelderítési (forensic) eljárások, exit stratégia feltételei. 
  • Meghatároztuk-e a felelősségi köröket, szolgáltatási szinteket a felhőszolgáltatóval? 
  • Ismert-e a jelenleg nálunk bevezetett kiberbiztonsági megoldások felhő-oldali kompatibilitása? Rendelkezünk tervekkel a felhőszolgáltatás biztonságának monitorozása és felügyelete körében? 

Jó hír tehát, hogy a felhőben is a jól ismert védelmi alapelvek érvényesülnek a biztonság területén, így, a bevált eljárásokat újrafókuszálva és módszeresen kiegészítve képesek leszünk a felhős rendszerek biztonságát és megfelelését hasonló – sőt, a felhő-nativ megoldások által biztosított biztonsági funkciók kihasználásával – magasabb szinten biztosítani! 

Szerző: Farkas Imre

Iratkozzon fel hírlevelünkre!

    (*)