Model podijeljene odgovornosti za sigurnost u oblaku postoji jer su, usprkos pogodnostima, uštedama, pa čak i centralizaciji IT stručnosti u oblaku, krađe podataka u i iz oblaka i dalje aktualne.
No, zašto dolazi do krađa u oblaku? Postoji nekoliko načina kako je spriječiti:
- I dalje se može dogoditi ljudska pogreška, koja može biti pogoršana svakakvim sigurnosnim kontrolama kod različitih pružatelja usluga IaaS/PaaS i SaaS. Multi-cloud podrazumijeva učenje novih pravila i rješenja za sigurnost oblaka i identiteta.
- Ranjivosti se događaju u softveru, hardveru i firmwareu, na lokaciji ili u oblaku. Na primjer, krađa korisničkih podataka u oblaku 2019. djelomično je uzrokovana greškom identificiranom 2015. koja nije zakrpana u oblaku.
- Insajderi su administratori infrastrukture oblaka i vaši administratori s povećanim privilegijama u oblaku. U IaaS-u, „root“ korisnici OS-a imaju previše vidljivosti, s ciljanim i ugroženim administratorskim pristupnim podacima – ponekad se iste lozinke koriste u oblaku i on premise. A uz određene vrste enkripcije, privilegirani korisnici mogu jasno vidjeti podatke za sve korisnike.
- Čak i uz enkripciju, ostaje rizik od loše prakse za ključeve, koji uistinu zahtijevaju poboljšanu kontrolu i razdvajanje između enkriptiranih podataka u oblaku i ključeva.
- Ovi su faktori potvrđeni u istraživanju analitičara: studija IDC-a otkriva kako je 61% žrtava krađe podataka u oblaku navelo da je krađa rezultat ranjivosti ili pogrešne konfiguracije u oblaku ili infrastrukturi oblaka.
Zaštita podataka u tranzitu trebala bi se postići kombinacijom:
- Enkripcije – uskraćivanje napadaču mogućnosti čitanja ili izmjene podataka
Enkripcija podataka je metoda zaštite povjerljivosti podataka njihovim pretvaranjem u kodirane informacije, koje se nazivaju šifrirani tekst (ciphertext), koji se mogu dekodirati samo pomoću jedinstvenog ključa za dešifriranje, generiranim u trenutku enkripcije ili ranije. Enkripcija podataka može se koristiti tijekom pohrane ili prijenosa podataka i obično se koristi zajedno s uslugama provjere autentičnosti kako bi se osiguralo da ključeve koriste samo ovlašteni korisnici.
Enkripcija se obično provodi kako bi se osigurala dodatna povjerljivost i cjelovitost podataka veća od one koju pružaju zaštite mrežnog sloja. Svi pristupi trebaju uključivati enkripciju između krajnjih točaka i komponenti usluge u oblaku.
- Zaštite mreže – uskraćivanje napadaču mogućnosti presretanja podataka
Pružatelji usluga javnog oblaka dostupni su izravno putem interneta. Trebali biste osigurati da su svi tokovi podataka između klijenata i usluge u oblaku enkriptirani kao što je gore opisano.
Vaši će podaci obično morati proći kroz mrežu pružatelja usluga oblaka između različitih komponenti usluge oblaka i između fizičkih poslužitelja. Platforme u oblaku obično vam omogućuju stvaranje virtualnih mreža, koje omogućuju prolazak podataka između hostanih resursa.
Također, obično možete primijeniti pravila protoka podataka na aplikacijskom sloju (mreža aplikacijskog sloja – Application Layer Network). Važno je razumjeti kako se te kontrole provode i kako ih koristiti, da biste osigurali da drugi korisnik usluge ne može pristupiti vašim tokovima podataka ili ih mijenjati.
- Autentifikacija – uskraćivanje napadaču mogućnosti da oponaša uslugu
Svi pristupi vašoj usluzi u oblaku trebaju biti autentificirani. Većina javnih pružatelja usluga oblaka dostupna je izravno putem interneta. Ako to radite, trebali biste osigurati da su svi tokovi podataka autentificirani i šifrirani kao što je gore opisano. Obje strane trebaju biti autentificirane, ali ne morate koristiti istu metodu za oba slučaja.
Thales vam pomaže zaštititi vaše podatke u oblaku. Kontaktirajte nas za više informacija!
