Bezpieczeństwo jest jednym z głównych powodów, dla których wiele firm, zwłaszcza małych i średnich, powstrzymuje się od korzystania z zaawansowanych technologii chmurowych. Kiedyś nad bezpieczeństwem górował koszt, jednak teraz usługi SaaS (Software as a Service) są na tyle tanie, że często są bardziej opłacalne niż utrzymywanie całej infrastruktury. Obawy dotyczące bezpieczeństwa SaaS wzrosły kilka lat temu, gdy coraz więcej użytkowników Internetu zaczęło korzystać z tej opcji prywatnie. Ale czy wszystko jest tak złe, jak sugerują specjaliści i opinie online? To jest pytanie, na które postaramy się odpowiedzieć, koncentrując się na głównych zagrożeniach bezpieczeństwa SaaS oraz najlepszych praktykach.
Co stanowi zagrożenie dla aplikacji SaaS?
1. Wirtualizacja
W porównaniu do tradycyjnych systemów komputerowych systemy przetwarzania w chmurze mają wysoce skoncentrowaną architekturę. Wykorzystują do tego technologię wirtualizacji, która pozwala pojedynczym serwerom przechowywać dane wielu klientów i wielu aplikacji i wielu systemów operacyjnych. Oznacza to, że jeśli ktoś włamie się na pojedynczy serwer, który hostuje wiele maszyn, ma od razu dostęp do ogromnych zbiorów danych.
Oczywiście wirtualizacja jest już dojrzałą technologią i od początków stosowania przeszła długą drogę. Wciąż jednak uznawana jest za mniej bezpieczną i bywa w niektórych organizacjach omijana.
2. Zarządzanie tożsamością
Problem ten nie występuje, gdy firmy korzystają tylko z największych zaawansowanych dostawców SaaS, takich jak Microsoft, Google czy Amazon. A to dlatego, że pozwalają oni na korzystanie z SSO (Single Sign On). Takie rozszerzenie pozwala na zarządzanie dostępem opartym o role z Active Directory czy innego profilu użytkownika. Sprawa zaczyna się komplikować, gdy klienci używają wielu różnych aplikacji chmurowych i do wielu z nich potrzebują oddzielnego konta.
3. Niewiedza
Chodzi o brak szczegółowej wiedzy na temat zabezpieczeń jakimi dysponuje dostawca usług chmurowych. Dostawcy SaaS są zazwyczaj bardzo tajemniczy, jeśli chodzi o przejrzystość swoich procesów bezpieczeństwa. Wydaje się jednak, że Klienci mają prawo widzieć, w jaki sposób ich dane chronione są przed próbami dostępu z zewnętrz oraz z wewnątrz.
W tym miejscu, duże znaczenie mają umowy SLA (Service Level Agreements), które powinny w jasny sposób opisywać obowiązki dostawcy, w tym również zawarte środki bezpieczeństwa i gwarancje ich działania.
4. Lokalizacja danych
Chociaż wiele krajów wymaga od klientów przechowywania poufnych danych na swoim terytorium, wielu dostawców tego nie praktykuje. Często trzeba przenosić maszyny wirtualne z jednego miejsca do drugiego, w celu równoważenia obciążenia i poprawy wydajności. Może się okazać, że dostęp do naszych danych z Polski będzie realizowany przez serwery w Chinach, co po pierwsze nie będzie funkcjonowało wydajnie po naszej stronie, a po drugie może niektórym firmom przynieść konsekwencje prawne. Takim hardkorowym przypadkiem może być klęska wojny i odcięcie dostępu przez Internet do serwerów na terytorium jakiegoś państwa. Wtedy wiele osób polegających na danych w chmurze nie może uzyskać do nich dostępu.
5. Dostęp z dowolnego miejsca
Trzymanie danych w chmurze daje możliwość dostępu do aplikacji i informacji z dowolnego miejsca, w którym jest Internet. Jest to jeden z głównych powodów popularności SaaS, ale stanowi również zagrożenie dla bezpieczeństwa. Pracownicy korzystający z urządzeń mobilnych lub laptopów mogą logować się w niezabezpieczonych sieciach, takich jak publiczne Wi-Fi / hotspoty. Jeśli punkty końcowe nie są zabezpieczone, dane mogą być zagrożone, co czyni serwery lokalne lepszą opcją niż chmura. Aby poradzić sobie z takimi problemami, dostawcy SaaS mogą zagwarantować, że tylko określone adresy IP będą mogły uzyskać dostęp do usługi.
6. Kontrola nad danymi
Ponieważ dane są przechowywane w chmurze, klienci nie mają nad nimi pełnej kontroli. Jeśli coś pójdzie nie tak, muszą polegać na dostawcy i czekać na jego odpowiedź, co wiąże się z niedostępnością usług i przestojem. Firmy martwią się również o udostępnienie swoich danych podmiotom zewnętrznym i obawiają się, kto może uzyskać do nich dostęp. Dane, które trafiają w ręce konkurencji, to kolejny problem firm przechowujących ważne informacje biznesowe w usługach chmurowych.
7. Stabilność
Szybko wzrastająca popularność przetwarzania w chmurze może okazać się mieczem obosiecznym, szczególnie jeśli rozważasz tańsze opcje. Dostawcy, którzy należą do dolnej części rynku SaaS, mogą nie być w stanie nadążyć za rosnącymi potrzebami i ostatecznie stać się niewydajni. Wskazuje to na kolejny poważny problem, tj. migracja danych. Dlatego tak ważne jest, aby przeczytać i w pełni zrozumieć umowę SLA, ponieważ zawiera ona szczegóły na temat tego, co by się stało, gdyby dostawca przestał prowadzić działalność, oraz w jaki sposób dane mogą zostać przeniesione do innego dostawcy lub odzyskane.
Najlepsze praktyki
Ważna rzeczą, na którą powinniśmy zwrócić uwagę przy wyborze dostawcy są certyfikaty. PCI DSS jest jednym z najważniejszych. Dostawcy SaaS muszą przejść kompleksowe audyty w celu zapewnienia bezpieczeństwa i transmisji danych, aby go zdobyć. Certyfikacja SOC 2 Type II może być również bardzo pomocna i służy jako dobry wskaźnik tego, jak dobrze dostawca jest przygotowany na zgodność z przepisami i jest w stanie utrzymać wysokie standardy bezpieczeństwa danych. Oprócz tego poniżej kilka przykładów best-practices, o które klienci SaaS powinni zabiegać.
1. Szyfrowanie End-to-end
Szyfrowanie typu end-to-end oznacza, że cała interakcja użytkownik-serwer odbywa się za pośrednictwem transmisji SSL. W idealnym przypadku, gdy dane wrażliwe przechowywane są na serwerach w chmurze, szyfrowanie powinno odbywać się również na poziomie pola (field-level). Wielu dostawców pozwala swoim klientom określić pola do zaszyfrowania, takie jak numery kart kredytowych, pesele, itp.
2. Testy podatności
Niektórzy dostawcy usług chmurowych zapewniają, że korzystają z najlepszych zabezpieczeń i standardów. Warto spytać dostawcę o przeprowadzanie testów podatności oraz poprosić o wyniki takiego testu. W przypadku liderów na rynku nie powinno być problemu z uzyskaniem wyników. Ponadto, dostawcy czasami sami udostępniają narzędzia w ramach subskrypcji, do sprawdzania luk w konfiguracji po stronie klienta.
3. Polityka usuwania danych
Polityka usuwania danych jest zdefiniowana w umowie i musi określać, co stanie się z danymi klienta po zakończeniu okresu przechowywania danych. W takich przypadkach dane należy usunąć programowo i permanentnie z systemów dostawcy.
4. VPC i VPN
Wirtualna chmura prywatna (VPC) i wirtualna sieć prywatna (VPN) zapewniają bezpieczne środowisko przeznaczone tylko dla konkretnego użytkownika, a dostawca powinien mieć możliwość ułatwienia korzystania z tych środowisk. VPC / VPN jest lepszą opcją niż instancje wielu dzierżawców, zapewniając klientom większą kontrolę nad ich danymi. VPC umożliwiają również bezpieczne łączenie się z centrami danych za pomocą szyfrowanego sprzętowego połączenia VPN.
5. TLS i skonfigurowane certyfikaty
Wybór dostawcy SaaS, który chroni dane zewnętrzne przesyłane przy użyciu Transport Layer Security (najnowsza wersja to 1.3) znacznie poprawia prywatność między komunikującymi się aplikacjami, a użytkownikami końcowymi. Certyfikaty (używane do ochrony danych zewnętrznych) również powinny być poprawnie skonfigurowane i zgodne z dobrymi praktykami. To samo dotyczy danych wewnętrznych, ponieważ dostawca powinien również używać szyfrowania i poprawnie skonfigurowanych certyfikatów do ochrony danych przesyłanych między własnymi mikro-serwisami.
6. Ochrona API
Jeśli dostawca oferuje interfejs API (zarówno wewnętrzny, jak i zewnętrzny), należy go również zabezpieczyć metodą uwierzytelniania w celu bezpiecznej transmisji. Nie wolno stosować otwartych interfejsów API, ani nawet pozwolić użytkownikowi na skonfigurowanie takiej możliwości.
7. Poziomy uprawnień i uwierzytelnianie wieloskładnikowe
Dostawca SaaS powinien umożliwiać tworzenie użytkowników o różnych poziomach uprawnień. Pozwala to rozgraniczyć role administratora od użytkownika biznesowego. Aby zminimalizować wpływ kradzieży danych uwierzytelniających, należy wdrożyć uwierzytelnianie wieloskładnikowe 2FA. Bardzo fajną opcją, wspierana przez coraz więcej dostawców SaaS, jest sprzętowe 2FA – Yubikey.
8. Dziennik zdarzeń
Dostawca powinien udostępnić klientowi dzienniki, które obejmują zdarzenia o kluczowym znaczeniu dla bezpieczeństwa, które pomagają w bieżących audytach i monitorowaniu. Logowania użytkowników, czynności administracyjne, zmiany haseł, takie rzeczy powinny być monitorowane i dostępne dla klienta.
9. Reakcja na incydenty i aktualizowanie
Dostawcy powinni mieć jasne zasady dotyczące łatania znanych problemów i podatności, zwłaszcza tych, które zostały zgłoszone publicznie. Dobrym wskaźnikiem tego, czy dostawca załatałby nowe problemy i zapewnił wyraźną reakcję na incydent, jest jego reputacja i opinia stałych klientów, której zawsze warto zaciągnąć.
Podsumowanie
Istnieje wiele powodów, dla których firmy, zwłaszcza małe i średnie, powinny korzystać z chmury obliczeniowej, aby poprawić wydajność operacyjną i obniżyć koszty. Jednak obawy związane z bezpieczeństwem często powstrzymują przed umieszczaniem cennych danych w chmurze. Obawy te wynikają głównie z braku wyraźnej widoczności i kontroli. Jedynym sposobem na przezwyciężenie takich obaw jest bezpośrednie porozumienie z dostawcami i omówienie tych problemów, a być może znalezienie nawet odpowiedniego rozwiązania.
Środki, w tym przyjęcie najlepszych praktyk bezpieczeństwa, przeprowadzanie bieżących audytów i ocen bezpieczeństwa, są niezbędne. Nie tylko pomagają rozwiązać nasze obawy, ale także ułatwiają wcześniejsze zidentyfikowanie problemów związanych z bezpieczeństwem. Jasne, wspomniane wcześniej punkty to tylko kilka przepisów bezpieczeństwa, które powinien oferować każdy dostawca chmury. Zapewniają one jednak klientom dobry punkt wyjścia, pomagają wybrać odpowiedniego dostawcę oraz w przyszłości zabezpieczyć dane.