Hlavní navigace

Cloud: Rostou ostražitost i důvěra

9. 2. 2018
Doba čtení: 6 minut

Sdílet

 Autor: (c) T. L. Furrer - Fotolia.com
Obavy o bezpečnost cloudových řešení se ani po letech praktického provozu nijak zásadně nesnižují. Na druhé straně roste zastoupení uživatelů, kteří cloud považují za stejně, nebo dokonce více bezpečný než tradiční model on-premise.
Lukas Kriz 9. 2. 2018
Doba čtení: 6 minut

Přínosy cloudových technologií

Ty mají různé podoby a mnoho organizací je po několika letech praktického nasazení potvrzuje. Na prvních příčkách různých výzkumů obvykle figuruje triumvirát dostupnosti, nižších nákladů a flexibility. Stejně je tomu i ve zprávě Cloud Security 2016 Spotlight Report z dílny skupiny Information Security Community na sociální síti LinkedIn. Ta má přes 300 tisíc členů, do výzkumu se aktivně zapojilo 2 200 z nich.

Je zjevné, že nasazení cloudových řešení se v organizacích odehrává ve znamení různých motivů. Výsledné benefity také nemají nijak jednotný charakter. Například zmiňované snížení nákladů uvedlo jako přínos 41 procent respondentů výzkumu, dostupnost 46 procent, flexibilitu 36 procent. Poměrně nízké hodnocení si vysloužil koncept cloud computingu v oblastech redukce komplexity (14 %) nebo souladu s regulatorními požadavky (13 %). Žádný z citovaných benefitů se v rámci studie nepřehoupl přes hranici 50 procent. Čtvrtina respondentů si dokonce nebyla jista, jakého přínosu v tomto ohledu jejich organizace dosáhla.

Zrádnost cloud computingu

K nejvýznamnějším bezpečnostním rizikům, která se aktuálně pojí s cloud computingem, patří podle specialistů organizace Cloud Security Alliance (CSA) tendence obcházet podniková IT oddělení. Zaměstnanci i jednotlivé organizační útvary záměrně nebo nevědomě ignorují existující pravidla a postupy. Reálné přínosy cloud computingu mohou být díky tomuto přístupu velmi rychle smazány. Nižší náklady a vyšší efektivita nevyváží případné dopady a důsledky rozsáhlejšího bezpečnostního incidentu.

Za nejzávažnější hrozby související s cloud computingem se zaměřuje dokument CSA s názvem The Treacherous 12, řekněme „Zrádných 12“. Obsah blíže osvětlí jeho podtitul, jenž zní „Cloud Computing Top Threats in 2016“. Bezpečnostní experti organizace CSA v něm vydefinovali dvanáct nejvýznamnějších bezpečnostních rizik, která se aktuálně pojí s provozem a adopcí cloudových řešení.

Mezi nejvýznamnější bezpečnostní hrozby cloud computingu podle CSA patří:
1. Úniky dat v důsledku celé řady událostí včetně lidského pochybení,
2. Slabá autentizace a řízení přístupů,
3. Nedostatečně zabezpečená rozhraní API a uživatelská rozhraní,
4. Systémové zranitelnosti (hrozba exploitů),
5. Hijacking („únos“ uživatelského účtu),
6. Vnitřní útočníci (současní nebo bývalí zaměstnanci, partneři, dodavatelé),
7. Pokročilé trvalé hrozby neboli APT (obtížně zjistitelné formy útoku),
8. Ztráta dat (ve většině případů způsobená technickým nebo lidským selháním),
9. Nedostatečná opatrnost při výběru strategie, technologie a poskytovatele (due diligence),
10. Zneužívání cloudových služeb pro útoky nebo podvody (ovlivňuje zejména poskytovatele),
11. Odmítnutí služby v důsledku nedostatečného zabezpečení proti útokům DoS,
12. Zranitelnosti sdílené technologie (obvykle chyba některé vrstvy nebo zapojeného řešení).

Uvedené hrozby jsou seřazeny podle významu, jenž jim přiřadili experti CSA a účastníci výzkumu. Výčet má posloužit poskytovatelům i uživatelům cloudových služeb pro zmírnění rizik, která doprovázejí jejich cloudové strategie. Upozorňuje na problémy, které je třeba prioritně ošetřit při provozu nebo výběru vhodného řešení včetně technologie, poskytovatele a nastavení interních pravidel.

Specialisté organizace CSA mají za to, že přístup organizací ke cloud computingu v posledních letech prošel výraznou změnou. Jinými slovy: dospěl. Ve většině podniků již nejde a priori o věc informatiků, ale o záležitost nejvyššího managementu. Společný cíl má podobu snahy o maximalizaci hodnoty cloudové strategie pro všechny zapojené strany. V praxi se ale stále střetávají dva přístupy. Jeden má podobu strategického plánování IT v organizaci a je řízen od shora dolů. Druhý bývá označován termínem virální adopce, za kterou stojí jednotlivci a osamocené organizační útvary.

Cloudová bezpečnost očima uživatelů

Téměř pětina profesionálů dotazovaných v rámci studie Cloud Security 2016 Spotlight Report označila za jeden z benefitů přechodu na cloudová řešení zvýšení úrovně zabezpečení. Tímto zhodnocením se postavili proti zcela protichůdnému a podstatně silněji reprezentovanému zjištění studie, a nejen této. Obecná bezpečnostní rizika považuje za hlavní překážku adopce, případně rychlejší nebo širší adopce cloud computingu, 53 procent respondentů. Uvedená hodnota dokonce meziročně vzrostla o osm procentních bodů. Obavy z legislativního a regulatorního nesouladu rovněž posílily. Z loňských 29 procent na letošních 42 procent. Mírného snížení obav doznala u letošních respondentů možnost ztráty a úniku dat. Za jednu z překážek ji označilo 40 procent respondentů, vloni šlo o 41 procent.

Zaměříme-li se na veřejné cloudové služby, bezpečnostní obavy z jejich nasazení má 91 procent dotazovaných. Zhruba polovina z nich je označila za významné, druhá za průměrně či středně významné. Reálná zkušenost z provozu ale naznačuje, že cloud computing bez rozlišení jeho formy většině organizací významné bezpečnostní problémy nezpůsobil. 55 procent respondentů ve 12 měsících, jež předcházely konání výzkumu, žádný incident nezaznamenalo. Necelá desetina uvedla opak. Více než třetina respondentů si nebyla odpovědí jista, případně ji nechtěla zveřejnit. Tvůrci studie se domnívají, že jde mimo jiné o projev nedostatečného vhledu do zabezpečení cloudu.

Vzájemné porovnání bezpečnostní úrovně řešení on-premise a cloud computingu se po letech dysbalance vzácně vyrovnalo. 22 procent respondentů cloudovou formu označilo jako bezpečnější ve srovnání s on-premise. 21 procent uvedlo pravý opak, přičemž vloni šlo o 28 procent. Příslušný dotaz směřoval ke zkušenosti s reálnými bezpečnostními incidenty. 30 procent oslovených si nebylo jisto a 27 procent mělo za to, že oba modely provozu IT jsou si v tomto ohledu rovnocenné.

Za největší hrozby veřejných cloudových služeb označili respondenti nautorizovaný přístup (53 %), unesení účtu (hijacking; 44 %), nezabezpečená rozhraní (39 %) a externí sdílení dat (33 %). Mezi nejčastější bezpečnostní obavy zařadili únik nebo ztrátu dat (49 %), ochranu údajů (46 %), důvěrnost (42 %) a soulad s regulatorními a legislativními požadavky (39 %). Poslední uvedená položka každoročně výrazně posiluje svou pozici. V předchozím ročníku studie ji označilo 24 procent respondentů.

Za nejefektivnější bezpečnostní technologie pro cloudová řešení považují dotazovaní profesionálové šifrování dat (65 %), šifrování síťového provozu (57 %) a detekci a prevenci průniků (48 %). Shodně 45 procent označilo za významně přínosné také řízení přístupů a školení specialistů na cloudovou bezpečnost.