Definicja zabezpieczeń chmurowych

• Włącz mechanizmy sztucznej inteligencji (AI) i samouczenia się maszyn (ML), aby automatycznie dostosowywać się do zagrożeń dla bezpieczeństwa i reagować na nie
• Korzystaj z autonomicznych funkcji, aby skalować reakcje zabezpieczeń, ograniczać ryzyka i eliminować błędy
• Aktywnie chroń dane za pomocą mechanizmów kontroli dostępu, zarządzaj ryzykiem zagrażającym użytkownikom i wglądem w ich sytuację oraz udostępniaj narzędzia do wykrywania i klasyfikowania
• Postępuj zgodnie z modelem wspólnej odpowiedzialności za bezpieczeństwo w chmurze, aby świadomie wspierać działania związane z bezpieczeństwem, do których podejmowania zobowiązany jest zarówno klient, jak i dostawca usług chmurowych
• W ramach podejścia „bezpieczeństwo przede wszystkim” wbuduj zabezpieczenia w projekt architektury

Zabezpieczenia chmurowe oferują przedsiębiorstwom skuteczne podejście do spełniania wymagań w zakresie bezpieczeństwa i zgodności z przepisami. Skuteczne zapewnianie bezpieczeństwa w chmurze wymaga wielu warstw ochrony w ramach całej infrastruktury chmurowej, do których należą:

• Mechanizmy kontroli prewencyjnej zaprojektowane w celu blokowania autoryzowanego dostępu do systemów i danych wrażliwych
• Mechanizmy kontroli detekcyjnej zaprojektowane w celu ujawniania nieautoryzowanych systemów oraz nieupoważnionego dostępu do danych i nieautoryzowanych zmian w danych poprzez audyt, monitorowanie i raportowanie
• Mechanizmy kontroli zautomatyzowanej zaprojektowane w celu śledzenia aktualizacji zabezpieczeń, ich wykrywania oraz reagowania na nie — zarówno w sposób regularny, jak i w sytuacjach krytycznych
• Mechanizmy kontroli administracyjnej zaprojektowane w celu przestrzegania zasad, standardów i procedur bezpieczeństwa oraz praktyk w tym zakresie

Samouczenie się maszyn i sztuczna inteligencja pozwalają rozszerzyć technologie zapewniania świadomości kontekstowej na obszar wszystkich zabezpieczeń chmurowych. Dzięki zabezpieczeniom chmurowym firmy mają zapewnioną ochronę usług IaaS, PaaS i SaaS, przy czym zabezpieczeniami objęte są warstwy sieci, sprzętu, układów scalonych, systemu operacyjnego, pamięci masowej i aplikacji.

Za bezpieczeństwo chmury odpowiada zarówno dostawca chmury, jak i klient. Model wspólnej odpowiedzialności za bezpieczeństwo chmury to fundamentalna koncepcja z zakresu zarządzania bezpieczeństwem chmury i ryzykiem w chmurze, służąca do dokonywania podziału obowiązków między dostawcę usług chmurowych a abonenta usługi. Pełne zrozumienie modelu wspólnej odpowiedzialności za bezpieczeństwo wszystkich rodzajów usług chmurowych ma kluczowe znaczenie dla sukcesu programów zapewniania bezpieczeństwa chmury. Niestety można również powiedzieć, że model wspólnej odpowiedzialności za bezpieczeństwo to jedna z najmniej zrozumianych koncepcji bezpieczeństwa w chmurze. W rzeczywistości tylko 8% dyrektorów ds. bezpieczeństwa informacji w pełni rozumie swoją rolę w zabezpieczaniu usług SaaS w porównaniu z rolą dostawcy usług chmurowych. Mówiąc najprościej, model wspólnej odpowiedzialności za bezpieczeństwo określa zakres odpowiedzialności dostawcy usług chmurowych za utrzymanie bezpieczeństwa i dostępności usługi, a także odpowiedzialności klienta za zapewnienie bezpiecznego korzystania z usługi. Określa też obszary, w których obaj dzielą określone obowiązki.

Firmy muszą koniecznie zrozumieć swoje obowiązki. Brak odpowiednich mechanizmów ochrony danych może prowadzić do poważnych i kosztownych konsekwencji. Wiele przedsiębiorstw, które doświadczyły skutków naruszenia zabezpieczeń, może nie być w stanie pokryć kosztów takiej sytuacji — nawet duże firmy mogą boleśnie odczuć jej wpływ na swoje finanse. Celem modelu wspólnej odpowiedzialności za bezpieczeństwo jest zapewnienie elastyczności dzięki wbudowanym zabezpieczeniom możliwym do szybkiego wdrożenia. Dlatego przedsiębiorstwa muszą rozumieć swoje obowiązki związane z „bezpieczeństwem chmury” (w odróżnieniu od „bezpieczeństwa w chmurze”).

Obecnie przedsiębiorstwom oferuje się szeroką gamę narzędzi do zabezpieczania chmury, które pozwolą im zabezpieczyć swoje środowiska podczas przenoszenia obciążeń i danych do chmury. Jednak niektóre z tych narzędzi są dostarczane z instrukcjami na zamówienie i są oferowane jako indywidualne usługi. Oczekuje się, że użytkownicy i administratorzy chmury będą wiedzieć, jak działają usługi zabezpieczeń chmury, jak je poprawnie skonfigurować i jak utrzymywać rozwiązania wdrożone w chmurze. Choć opcji zabezpieczeń nie brakuje, ich konfiguracja może być skomplikowana i można z łatwością popełnić błąd w jakimś obszarze. Ponadto nieustanny zalew ataków phishingu, złośliwego oprogramowania, coraz częstszych oszustw cybernetycznych i źle skonfigurowanych usług chmurowych dodatkowo komplikuje i tak już przeładowane programy zapewniania cyberbezpieczeństwa. W efekcie przedsiębiorstwa coraz częściej padają ofiarą naruszeń zabezpieczeń danych, czego efektem jest zniszczenie wizerunku marki, a także koszty odzyskiwania danych i kary. Poniżej wymieniono kilka ważnych wymagań dotyczących zapewniania bezpieczeństwa danych w chmurze:

• Wspólna odpowiedzialność za bezpieczeństwo i wzajemne zaufanie: Zaufanie to podstawa przy wyborze takiego partnera udostępniającego firmie chmurę, który podejmie swoje obowiązki w ramach wspólnego modelu zapewniania bezpieczeństwa. Przedsiębiorstwa muszą w pełni rozumieć role i obowiązki oraz mieć dostęp do niezależnych audytów i atestów bezpieczeństwa wykonywanych przez podmioty zewnętrzne.
• Automatyzacja i samouczenie się maszyn: Zagrożenia chmurowe pojawiają się z prędkością maszyny, podczas gdy tradycyjne zabezpieczenia stosowane w przedsiębiorstwach analizują zabezpieczenia i reagują na nie z szybkością człowieka. Nowoczesne zabezpieczenia stosowane w środowiskach chmurowych muszą zapewniać automatyzację wykrywania zagrożeń i reagowania na nie. Zaawansowane zagrożenia wymagają rozwiązań zabezpieczających, które zapewniają zdecydowanie bardziej zaawansowane przewidywanie i wykrywanie zagrożeń, zapobieganie im oraz reagowanie na nie dzięki samouczeniu się maszyn.
• Dogłębna ochrona: Liczne warstwy zabezpieczeń zastosowanych w ramach całej infrastruktury technologicznej muszą obejmować różne mechanizmy kontroli — prewencyjne, detekcyjne i administracyjne — dotyczące odpowiednich osób, procesów i technologii, aby pomóc w zabezpieczeniu fizycznych centrów danych udostępnianych przez dostawców chmury.
• Zarządzanie tożsamością: W miarę wzrostu popularności urządzeń i aplikacji mobilnych oraz liczby ich użytkowników, rośnie rola ochrony tożsamości. Kluczowego znaczenia nabrała kontrola dostępu i uprawnień, w chmurze i lokalnie, oparta na bezpiecznych danych uwierzytelniających.
• Wgląd: Broker zabezpieczeń dostępu do chmury i rozwiązanie do zarządzania stanem bezpieczeństwa chmury zapewniają lepszy wgląd w całe środowisko chmurowe przedsiębiorstwa oraz większy zakres kontroli nad nim.
• Ciągła zgodność z przepisami: Zgodność z przepisami nie ma charakteru opcjonalnego, a przestrzeganie przepisów i zapewnianie bezpieczeństwa to nie to samo. Przedsiębiorstwa mogą doświadczyć naruszeń zgodności z przepisami bez naruszenia zabezpieczeń, na przykład z powodu niewłaściwej zmiany konfiguracji lub błędów. Firmy muszą mieć rozwiązanie do zarządzania chmurą, które sprawi, że dane związane ze zgodnością z przepisami przechowywane w ich środowiskach chmurowych będą kompleksowe, aktualne i przydatne w działaniu.
• Domyślne włączenie zabezpieczeń: Dostawca usług chmurowych powinien włączyć funkcje kontroli bezpieczeństwa domyślnie, zamiast wymagać od firmy, aby pamiętała o włączeniu zabezpieczeń. Nie wszyscy na tyle dobrze znają różne mechanizmy kontroli bezpieczeństwa i sposób, w jaki one ze sobą współpracują, aby ograniczyć ryzyko i wdrożyć kompleksowy system bezpieczeństwa. Na przykład szyfrowanie danych powinno być włączone domyślnie. Spójne mechanizmy kontroli i zasady ochrony danych muszą być włączone i egzekwowane we wszystkich chmurach.
• Monitorowanie i migracja: Aby pomóc w ochronie obsługi obciążeń, administratorzy muszą skonfigurować zasady bezpieczeństwa dla poszczególnych dzierżaw i przedziałów w chmurze. Ujednolicony widok stanu bezpieczeństwa chmury w rozbiciu na jej poszczególnych dzierżawców jest również niezbędny do wykrywania błędnie skonfigurowanych zasobów i niezabezpieczonej aktywności tych dzierżawców oraz zapewnia administratorom ds. bezpieczeństwa wgląd w diagnozowanie i rozwiązywanie problemów związanych z bezpieczeństwem chmury.
• Podział obowiązków i dostęp z ograniczeniem uprawnień: Zasady podziału obowiązków i dostępu z maksymalnym ograniczeniem uprawnień to najlepsze praktyki zapewniania bezpieczeństwa, które należy wdrożyć we wszystkich środowiskach chmurowych. Dzięki temu poszczególni użytkownicy nie mają nadmiernych praw administracyjnych i nie mogą uzyskać dostępu do danych wrażliwych bez dodatkowego upoważnienia.

W wyniku priorytetów cyfrowej transformacji popularność przetwarzania w chmurze stale rośnie, firmy muszą więc przewidywać komplikacje związane z zabezpieczaniem środowisk chmurowych i radzić sobie z nimi. Istotne jest, aby wybrać dostawcę chmury, który zdecydował się na automatyczne wbudowanie zabezpieczeń w całą swoją infrastrukturę chmurową (IaaS, PaaS, SaaS). Zastanawiając się nad przyszłością zabezpieczeń chmurowych, należy wziąć pod uwagę następujące dodatkowe kwestie:

• Zabezpieczenia infrastruktury chmurowej: Chroń obciążenia, stosując podejście „bezpieczeństwo przede wszystkim” w odniesieniu do chmurowej infrastruktury obliczeniowej, sieciowej i pamięci masowej — począwszy od architektury. Wykorzystuj podstawowe usługi zabezpieczeń, aby zapewnić wymagany poziom bezpieczeństwa dla najbardziej newralgicznych obciążeń biznesowych.
• Zabezpieczenia chmurowych baz danych: Zmniejsz ryzyko naruszenia zabezpieczeń danych oraz przyspiesz zapewnianie zgodności z przepisami w chmurze. Wdrażaj rozwiązania zabezpieczające bazy danych, takie jak szyfrowanie, zarządzanie kluczami, maskowanie danych, kontrola dostępu użytkowników uprzywilejowanych, monitorowanie aktywności i audyty.
• Zabezpieczenia aplikacji chmurowych: Zabezpieczanie kluczowych aplikacji przed oszustwami i niewłaściwym wykorzystaniem ma kluczowe znaczenie dla ochrony newralgicznych danych biznesowych Twojego przedsiębiorstwa. Szczegółowa kontrola dostępu, zapewnianie wglądu i monitorowanie to najważniejsze elementy dzisiejszych wielowarstwowych zabezpieczeń.
• Korporacyjne zasady bezpieczeństwa i ochrony prywatności: Chroń poufność, integralność i dostępność danych oraz zawierających je systemów hostowanych w chmurze, bez względu na to, jakie rozwiązanie chmurowe wybrano.
• Zaawansowana obsługa klienta: W trakcie migracji do środowisk chmurowych lub wielochmurowych poważnym wyzwaniem dla zespołów ds. bezpieczeństwa jest wzrost różnorodności możliwych form ataku, przeciążenie alarmami i niedobór kadr posiadających kwalifikacje w zakresie zapewniania cyberbezpieczeństwa. Aby sprostać tym wyzwaniom, skorzystaj z zaawansowanych usług oferowanych przez swojego dostawcę usług chmurowych.
• Zarządzanie tożsamością i dostępem (Identity and Access Management, IAM): Kontroluj dostęp do informacji o tym, kto ma dostęp do danych Twojej firmy, jaki ma typ dostępu i do jakich konkretnie zasobów, używając bezpiecznych danych uwierzytelniających, niezależnie od tego, czy zasoby te są hostowane w chmurze czy też lokalnie.

1. Raport Oracle i KPMG dotyczący zagrożeń w chmurze (PDF)
2. Podręcznik techniczny: Zabezpieczanie systemu bazodanowego Oracle Database (PDF)