Bízhatunk-e a felhő-szolgáltatásokban?
2021-ben is ambivalens hozzáállást látunk a felhős rendszerek tekintetében, amelyet leginkább az ismeretlentől való félelem indokolhat.
Talán bele sem gondolunk, hogy a klasszikusnak mondható on-premise felállásban is szinte ugyanolyan mértékű kitettségünk van külső felek felé, ezt sokszor nem a maga teljességében vesszük számításba (példák alább) és e megszokott állapotot biztonságosabbnak ítéljük. Az on-premise rendszerek esetében is számos külső féllel szemben viseltetünk tehát bizalommal, legyen ez egyébként kiérdemelt és kontrollált, vagy sem.
Jelenleg futó rendszereink esetében is – hiszen használjuk azokat – megbízunk az általunk működtetett dobozos infrastruktúra, operációs rendszer, köztes rétegek és alkalmazási rendszerek szállítóiban, fejlesztőiben. A felhőszolgáltatók nagyrészt ugyanezeket az infrastruktúra és biztonsági elemeket, eszközöket, alapvető technológiákat használják, kiegészítve természetesen új elemekkel.
Ugyanez a helyzet a jelenleg használt, egyedi rendszereink fejlesztőivel és számos esetben minden rendszerünk – sokszor külsős – üzemeltetőiben.
A jól definiált határokkal rendelkező, „körbebástyázott” belső hálózat, mint olyan, már jó ideje nem létezik a klasszikus formában; mobileszközök, távmunka és már sok esetben közvetlenül az Interneten keresztül elérhető alkalmazások már jelentős részét képezik jelenlegi architektúráknak is. Ennél fogva a zero trust elvek szerinti építkezés fokozatos térnyerése látszik, amely a felhős környezetben a védelem egyik alapeleme; a többfaktoros végpont és felhasználó azonosítás, kriptográfiai védelem elemeit a gyakorlatban már most is alkalmazzuk.
A tapasztalatok azt mutatják, hogy a felhős rendszereket érő sikeres támadások és biztonsági incidensek több, mint 80%-át nem a szolgáltatók hiányosságai tették lehetővé; sokszor a szolgáltatás igénybe vevője hanyagolta el a kontrollfolyamatok működtetését. Ugyanakkor, a RapidScale szerint a vállalkozások 94% -a látott javulást a biztonságban miután a felhőre váltott.

A felhő, mint jó barát: a bizalom alapja a pontos „elszámolás”
Régi, ám sokszor elfelejtett igazság, hogy a biztonságot utólag nem, vagy csak sokszoros ráfordítással lehet beépíteni rendszereinkbe. Ezért már a döntés-előkészítés során sem szabad elfeledkezni erről, és a biztonságot, mint alapvető üzleti igényt kell meghatároznunk.
A szerződés, a felhőszolgáltatások esetén – sem – csak dokumentáció! Tartsuk észben, hogy a megfelelő biztonsági szint biztosításának felelősségét, felhőszolgáltatás igénybevétele esetén is, továbbra is mi viseljük; az ilyen esetekben alkalmazott, megosztott felelősségi modell nem jelenti azt, hogy ügyfeleink és a hatóságok, felügyeletek felé ne tartoznánk teljes körű elszámolási felelősséggel.
A megosztott felelősségi modell megfelelő és releváns alkalmazásával viszont a többszereplős együttműködések esetén tiszta képet kaphatunk a szükséges kontrollok végrehajtásáért való felelősség tekintetében, amelyek azonosítása után különösen fontos az ott meghatározott konkrét intézkedések gyakorlati megvalósítása!
Nagyon fontos: egyetlen felhőszolgáltató sem képes, és nem is vállal önmagában teljeskörű kontroll lefedettséget – a szolgáltatást igénybe vevő szervezetnek nem szabad elnagyoltan, kizárólag a szolgáltató funkcionális leírásai alapján „kipipálni” biztonsági követelményeket.
Felhőszolgáltatások igénybevétele esetén tehát, saját belső kontrollfolyamatainkat elsődleges tehát rendbe tenni.
A felhős megosztott felelősségi modell alapján felépített irányítási és megfelelési intézkedések csak akkor lesznek eredményesek, ha azokat a saját belső kontrollrendszerünkre építjük és abba integráljuk, hiszen mindamellett, hogy a felhőszolgáltatók általában kiváló biztonsági funkcionalitást biztosítanak, ezek kizárólag az architektúra általuk menedzselt rétegeire vonatkoznak!
Hogyan fogjunk hozzá?
Az általunk használt felhőszolgáltatások biztonságának megteremtéséhez való „bemelegítésként” – bármely tervezési, fejlesztési és bevzetési fázisában is járunk pillanatnyilag – tegyük fel az alábbi kérdéseket! Saját magunknak adott válaszaink irányt fognak mutatni!
- Milyen fázisban van jelenleg a szolgáltatás bevezetése? (sosem késő, de legpraktikusabb/olcsóbb a védelmet és megfelelést a legelején biztosítani)
- Történt-e már elemzés a felhő szolgáltatás (ok) előnyeit-hátrányait, illetve kockázatait tekintve?
- Van-e/tervezünk-e külön kiszervezett üzemeltetőt megbízni, vagy közvetlenül vesszük igénybe a felhőszolgáltatást?
- Meghatároztuk-e a konkrét igénybe veendő szolgáltatások körét, választottunk-e szolgáltatót?
- Ismerjük-e (értsd: dokumentáltuk-e?) a felhőbe költöztetendő folyamatokat és adatköröket és azok üzleti és biztonsági kritikusságát? Milyen részleteséggel? Történt-e az adatok minimalizálásával kapcsolatos elemzés, különös tekintettel a személyes adatokra?
- Létezik-e jelenleg a tervezett felhőszolgáltatásnak megfelelő on-premise megoldás, vagy zöldmezős bevezetésről van szó?
- Ismerjük-e a felhőszolgáltató szerződéses feltételeit (különösen felmondási feltételek, felmondási idő, feltétel nélküli ellenőrzési jog (bizonyosságszerzés) és annak mikéntje, adatkezelési és -feldolgozási helyszínek, adatbiztonsági és adatvédelmi elvárások – a szolgáltatási láncra kiterjedően is, folyamatok és rendszerek biztonsági elvárásai, incidenskezelésre és csalásfelderítési (forensic) eljárások, exit stratégia feltételei.
- Meghatároztuk-e a felelősségi köröket, szolgáltatási szinteket a felhőszolgáltatóval?
- Ismert-e a jelenleg nálunk bevezetett kiberbiztonsági megoldások felhő-oldali kompatibilitása? Rendelkezünk tervekkel a felhőszolgáltatás biztonságának monitorozása és felügyelete körében?
Jó hír tehát, hogy a felhőben is a jól ismert védelmi alapelvek érvényesülnek a biztonság területén, így, a bevált eljárásokat újrafókuszálva és módszeresen kiegészítve képesek leszünk a felhős rendszerek biztonságát és megfelelését hasonló – sőt, a felhő-nativ megoldások által biztosított biztonsági funkciók kihasználásával – magasabb szinten biztosítani!
Szerző: Farkas Imre