Popularność usług chmurowych w ostatnich latach zdecydowanie wzrosła. Firmy zaczęły dostrzegać korzyści elastycznej architektury, mniejsze koszty utrzymania oraz pozorne bezpieczeństwo danych, które oferują popularne platformy chmurowe. Polecamy zapoznać się z tym krótkim raportem, w którym 60% przebadanych specjalistów ds. bezpieczeństwa uważa, że ryzyko udanych ataków jest takie samo lub niższe w środowiskach chmurowych niż w lokalnych.
Mimo to, chmura może nie być tak bezpieczna, jak sądzą opinie. Środowiska chmurowe mogą być narażone na te same podatności i posiadać te same wady, co środowiska on-premises, z tą różnicą, że nie mamy na to żadnego wpływu i nie jesteśmy tego świadomi jako odbiorcy usług. Cyberprzestępcy są już od długiego czasu świadomi, że wiele strategii biznesowych sprzyja przejściu do chmury, szczególnie w dużych korporacjach i organach rządowych, czyli celach o wysokiej wartości. W rezultacie platformy chmurowe są agresywnie atakowane i stały się kluczowymi celami strategicznymi na globalnym, informatycznym polu walki. Prawda jest taka, że choć chmura oferuje szereg bardzo realnych korzyści, to nie jest bezpieczniejszą infrastrukturą niż lokalna. Dostawcy usług chmurowych priorytetowo traktują dostępność, skalowalność czy niezawodność, a bezpieczeństwo schodzi niestety na drugi plan.
Widoczność i Kontrola
Dane i poświadczenia to dwa najważniejsze zasoby w organizacji, które należy chronić. Wysnuliśmy taką tezę w artykule tutaj i uważamy, że sprawdza się ona w każdej większej firmie, której zależy na bezpieczeństwie. Monitoring danych i dostarczona dodatkowa inteligencja zapewnia organizacji przewagę nad konkurencją. Każdy audyt i każda rozmowa o bezpieczeństwie sprowadzi się do pytania o ochronę i kontrolę nad danymi strukturalnymi i niestrukturalnymi, zarówno tych trzymanych lokalnie jak i w chmurze.
Nic więc dziwnego, że większość dużych graczy biznesowych, chcąc zachować kontrolę nad swoimi danymi, po prostu nie przeniesie ich do chmury. Dzięki temu nie stracą widoczności, co uważają za poważne ryzyko biznesowe. Rzeczywiste dane pokazują, że istnieje bardzo niewiele firm o wartości ponad 250 mln USD, które korzystają wyłącznie z usług chmurowych. Zamiast tego decydują się na model hybrydowy, czyli dane dostępne publicznie dla użytkowników trzymają w chmurze, a dane wewnętrzne w swojej infrastrukturze lokalnej. Ostateczną decyzję w dużych korporacjach podejmie się i tak na podstawie analizy ryzyka i kosztów oraz oceny wrażliwości danych. Ale dane nie są cenne tylko pod względem strat biznesowych czy wizerunkowych organizacji. Mają również kluczowe znaczenie dla jej bezpieczeństwa. Dlaczego więc organizacja miałaby udostępniać te dane gigantowi technologicznemu? Teoretycznie, firmy posiadające dostęp do danych innej organizacji są w stanie zmapować jej wszystkie plany, zasoby czy nawet podatności.
Systemy bezpieczeństwa w chmurze
Wiele organizacji wykorzystuje samą chmurę do wzmocnienia swojej polityki bezpieczeństwa, głównie do wykrywania i reagowania na zaawansowane zagrożenia. Duża liczba systemów opartych na sztucznej inteligencji i uczeniu maszynowym oferuje przetwarzanie danych w swojej chmurze. Nauka algorytmów uczenia maszynowego często jest wymagająca, a samo rozwiązanie oparte na AI potrzebuje potężnej maszyny obliczeniowej pracującej na najwyższych obrotach 24/7. Dlatego idealnym rozwiązaniem wydaje się być tutaj skorzystanie z przetwarzania w chmurze. Jednak dane wywiadowcze, potrzebne do wykrywania anomalii i zaawansowanych zagrożeń, incydentów, podatności czy ataków są najczęściej jeszcze bardziej wrażliwe niż pliki czy aplikacje biznesowe.
Po raz kolejny rodzi się więc pytanie o kontrolę. Istotne jest, aby wszelkie informacje o zagrożeniach trafiały bezpośrednio do samej organizacji, a nie były przekazywane jakimkolwiek stronom trzecim obsługującym infrastrukturę. Podobnie, żadna organizacja nie chce, aby firma zewnętrzna miała dostęp do danych, których używa do uczenia swojej sztucznej inteligencji.
Zdrowe podejście i równowaga
Ostateczna decyzja o tym jakie usługi i dane będą trzymane w chmurze a jakie lokalnie, sprowadzi się do klasycznego zarządzania ryzykiem – biznes kontra bezpieczeństwo. Na poziomie technicznym chmura jest mniej bezpieczna niż infrastruktura lokalna. Przestępcy postrzegają dostawców usług jako cel o wysokiej wartości i atakują go zdecydowanie częściej. Patrzą również przyszłościowo i wiedząc, że chmura będzie zyskiwać na popularności (aż do pierwszego poważnego ataku i wycieku danych) szukają nowych metod obejścia zabezpieczeń. Elastyczność i skalowalność są często tym, czego firmy potrzebują, aby utrzymać przewagę konkurencyjną. Dlatego decyzja o wybraniu architektury jest stosunkowo trudna do podjęcia.
Z jeszcze innej strony, infrastruktura lokalna zapewnia dodatkowe bezpieczeństwo fizyczne, większą kontrolę i niezależność. Wyobraźmy sobie sytuację kryzysową, w której państwa zaczynają toczyć między sobą spory, konflikty polityczne czy wojny. Zostają wprowadzone sankcje i odcięta komunikacja sieciowa z serwerami znajdującymi się poza granicami kraju (tak stało się niedawno w Iranie). W takiej sytuacji fizyczna lokalizacja naszych danych i usług dopiero zaczyna mieć znaczenie. Jednym zdaniem, lepiej mieć jak najwięcej na swoim podwórku.
Równowaga między lokalną infrastrukturą a chmurą powinna być dostosowana do potrzeb organizacji w danym momencie. Ostatecznie ważne jest, aby pamiętać, że chmura nie jest odpowiedzią na wszystko, nie jest wcale bardziej bezpieczna niż infrastruktura on-premises. Biorąc pod uwagę wartość danych w każdej organizacji, biznes powinien współpracować z bezpieczeństwem przy wyborze architektury.