top of page
Anchor 120
Anchor 220

Bezpečnostní řešení v cloudu

Cloudové zabezpečení je soubor bezpečnostních opatření navržených k ochraně cloudové infrastruktury, aplikací a dat. Cílem je zavést kontrolu nad daty a zdroji, zabránit neoprávněnému přístupu, chránit soukromí dat, zabránit škodlivým útokům externích hackerů nebo vnitřním hrozbám a chránit cloudové pracovní zátěže před náhodným nebo úmyslným narušením. Dalším cílem cloudového zabezpečení je rozšířit zásady organizace dodržování předpisů na cloud. 

Toto je součást rozsáhlé série průvodců o úniky dat.

V tomto článku:

Potřeba Cloud Security: Výzvy zabezpečení cloudu

Chybná konfigurace cloudu

Špatně nakonfigurovaný systém nebo síť může útočníkovi poskytnout vstupní bod, který mu umožní pohybovat se v rámci sítě laterálně a získat neoprávněný přístup k citlivým zdrojům. Nesprávná konfigurace může být důsledkem nedostatečného povědomí o zabezpečení během konfigurace cloudových systémů, lidské chyby nebo nesprávně definovaných šablon automatizace.

Ochrana osobních údajů a důvěrnost

Soukromí a důvěrnost dat jsou hlavním problémem mnoha organizací. Předpisy na ochranu dat, jako je obecné nařízení EU o ochraně osobních údajů (GDPR), americký zákon o interoperabilitě a dostupnosti zdravotního pojištění (HIPAA) a standard zabezpečení dat v odvětví platebních karet (PCI DSS), vyžadují, aby organizace chránily zákaznická data. Většina organizací má také citlivá nebo důvěrná data, na která se nevztahují standardy shody, ale pokud by byly vystaveny, byly by pro firmu extrémně škodlivé.

Přesun dat do cloudu má mnoho výhod, ale také představuje vážné bezpečnostní problémy. Služby cloudového úložiště jsou ve výchozím nastavení často vystaveny veřejným sítím, a pokud nejsou správně zabezpečeny, mohou útočníkům snadno zpřístupnit data.

Mnoho organizací, které migrují data a pracovní zátěže do cloudu, postrádají odborné znalosti, aby zajistily bezpečnou konfiguraci a nasazení. To vytváří riziko, že citlivá data přesunutá do cloudu budou ohrožena, což povede k drahým auditům, pokutám za dodržování předpisů a poškození pověsti.

Sociální inženýrství a krádež pověření

Aktéři hrozeb často využívají cloudové aplikace a prostředí jako součást útoků sociálního inženýrství. S rostoucím využíváním cloudových služeb pro sdílení e-mailů a dokumentů (jako je G-Suite, Google Drive, Office 365 a OneDrive) je pro útočníky snadné přimět zaměstnance, aby jim poskytli přístup k citlivým datům. Vše, co je potřeba, je poslat odkaz požadující přístup k obsahu a poskytnout uživateli dobrou záminku pro udělení přístupu.

Existuje mnoho způsobů, jak mohou počítačoví zločinci kompromitovat přihlašovací údaje zaměstnanců ke cloudovým službám. Zabezpečení identit v cloudu je pro organizace velkým problémem, protože kompromitované identity mohou odhalit soukromí a zabezpečení důležitých cloudových dat a zdrojů.

Specifické požadavky na shodu

Většina standardů ochrany dat vyžaduje, aby organizace prokázaly, že řádně omezují přístup k chráněným informacím (jako jsou údaje o kreditních kartách nebo lékařské záznamy pacientů). To může vyžadovat vytvoření fyzické nebo logické izolace v síti organizace, která zajistí, že k chráněným datům budou mít přístup pouze oprávnění zaměstnanci.

Cloudová nasazení poskytují omezenou viditelnost a kontrolu nad infrastrukturou a jsou také strukturována odlišně od tradičních datových center. To může ztížit dosažení a prokázání těchto typů požadavků na shodu v cloudu.

Typy cloudových bezpečnostních řešení

Níže jsou uvedeny běžné typy řešení, která můžete použít k zabezpečení svého cloudu.

Cloud Access Security Broker (CASB)

CASB je bod prosazování bezpečnostní politiky nasazený mezi spotřebiteli cloudových služeb a poskytovateli cloudových služeb. Zodpovídá za prosazování podnikových zásad zabezpečení, když uživatelé přistupují ke cloudovým zdrojům. CASB dokáže zpracovat několik typů bezpečnostních politik, včetně:

  • Autentizace a autorizace

  • Jednotné přihlášení

  • Mapování pověření

  • Analýza zařízení

  • Šifrování

  • Tokenizace

  • Protokolování a upozornění

  • Detekce a prevence malwaru
     

Cloud Workload Protection Platform (CWPP)

CWPP je bezpečnostní produkt zaměřený na pracovní zátěž, který chrání pracovní zátěže – aplikace nebo jiné prostředky – běžící na jednom nebo více virtuálních počítačích (VM), kontejnerech nebo funkcích bez serveru. Jedinečným aspektem CWPP je, že vidí a chrání pracovní zátěž jako jednu jednotku, i když běží na více serverech nebo cloudových instancích napříč více cloudy nebo datovými centry.

Funkce CWPP obvykle zahrnují: 

  • Hardening systému a monitorování integrity systému

  • Správa zranitelnosti

  • Hostitelská segmentace

  • Ovládání aplikací

  • Viditelnost zabezpečení pracovní zátěže napříč hybridními prostředími

  • Centrální ovládání zabezpečení pracovní zátěže z jediné konzole
     

Cloud Security Posture Management (CSPM)

Řešení CSPM průběžně řídí bezpečnostní rizika cloudu. Mohou detekovat, zaznamenávat a hlásit bezpečnostní problémy a v některých případech je automaticky napravit. Tyto problémy mohou zahrnovat nesprávnou konfiguraci cloudových služeb, nesprávné nastavení zabezpečení, problémy se správou zdrojů a porušení předpisů.

Řešení CSPM se zaměřuje na čtyři hlavní oblasti:

  1. Inventarizace a klasifikace majetku

  2. Identita, bezpečnost a soulad

  3. Monitorování a analýza

  4. Řízení nákladů a organizace zdrojů

Více se dozvíte v našem podrobný průvodce CSPM.

Cloud Infrastructure Entitlement Management (CIEM)

CIEM je rozšíření cloudové správy identit a přístupu (IAM). IAM je základem pro správu identity a přístupu na všech veřejných cloudových platformách, ale rychle se stává příliš složitým pro správu pomocí nástrojů poskytovatelů cloudu první strany. 

Řešení CIEM mohou řešit tuto složitost tím, že poskytují centralizované řízení identity a řízení přístupu. Cílem je snížit oprávnění na minimum v kritické cloudové infrastruktuře a zjednodušit řízení přístupu s nejmenšími oprávněními v dynamických distribuovaných prostředích.

Cloudová nativní aplikace Platforma ochrany (CNAPP)

CNAPP je nová kategorie, která spojuje řešení CSPM a CWPP do jedné platformy. Řešení CNAPP zabezpečuje pracovní zátěž a hostitele, jako jsou virtuální počítače, kontejnery a funkce bez serveru, a umožňuje organizacím napravovat zranitelná místa a nesprávné konfigurace, detekovat hrozby v produkčním prostředí, zkoumat je a aktivně na ně reagovat.
 

Cloud Security Best Cvičení

Pochopte model sdílené odpovědnosti

Dodavatelé cloudu fungují na základě modelu sdílené odpovědnosti, který rozděluje odpovědnost za zabezpečení mezi dodavatele a zákazníka. Dodavatel cloudu je obvykle zodpovědný za zabezpečení základní infrastruktury, zatímco cloudový zákazník je zodpovědný za zabezpečení svých pracovních zátěží a dat hostovaných v cloudové infrastruktuře.

Odpovědnosti se však liší mezi modely poskytování, jako je Software jako služba (SaaS), Platforma jako služba (PaaS) a Infrastruktura jako služba (IaaS). Obvykle platí, že čím větší kontrolu nad infrastrukturou získáte, tím větší odpovědnost sdílíte za zabezpečení prostředí.

Provádějte pravidelné audity a penetrační testy

Penetrační testování je simulovaný autorizovaný útok prováděný etickými hackery, aby identifikovali a opravili bezpečnostní mezery. Může vám pomoci posoudit bezpečnostní kontroly vaší cloudové infrastruktury a opravit případné zjištěné zranitelnosti a slabiny. Pravidelné audity jsou osvědčeným bezpečnostním postupem a často také požadavkem regulačních orgánů k zajištění souladu a bezpečnosti. Pomáhá ověřovat platnost cloudových bezpečnostních opatření – vašich i těch, které nakonfiguroval váš cloudový dodavatel.

Zabezpečené koncové body uživatelů

Cloudová prostředí umožňují koncovým bodům propojit se s prostředím různými způsoby, obvykle pomocí webových prohlížečů. Organizace mohou chránit své pracovní zatížení a data implementací zabezpečení na straně klienta, aby byly prohlížeče koncových uživatelů aktualizované a zabezpečené. K ochraně sítě před hrozbami koncových bodů můžete použít kombinaci firewallů, nástrojů pro zabezpečení Internetu, antiviru, nástrojů pro detekci narušení, zabezpečení mobilních zařízení a řešení zabezpečení koncových bodů.

Nastavte řešení zálohování a obnovy

Podle modelu sdílené odpovědnosti poskytují cloudoví dodavatelé trvanlivost a vysokou dostupnost. Tyto možnosti však nezabrání ztrátě dat. Řešení zálohování a obnovy pomáhají zajistit, že je k dispozici dostatek dat pro obnovu, zabraňují ztrátě dat během infekce ransomware, náhodnému nebo škodlivému smazání a úpravě dat a selháním hardwaru. 

Organizace mohou implementovat různé strategie pro zálohování, obnovu a archivaci. Automatické zálohování a zásady životního cyklu mohou pomoci zachovat obnovitelné kopie. Archivy umožňují ukládat málo používaná data v odděleném a zabezpečeném úložišti. Postupy obnovy definují, jak by měla být data obnovena v případě havárie nebo bezpečnostní události, a role odpovědné za správu tohoto procesu.

Anchor 320
bottom of page