Tym artykułem rozpoczynamy kampanię o bezpieczeństwie chmury obliczeniowej.

Czytelnicy Kapitana Hacka doskonale wiedzą, że z roku na rok wydatki przedsiębiorstw na usługi chmurowe rosną. Według IDC w 2021 roku były one wyższe o 8,8% niż w 2020 roku.

Wraz z tematem cloud computing pojawiają się pytania o poziom bezpieczeństwa: czy chmura publiczna jest równie bezpieczna co rozwiązania on-premise? Odpowiedź brzmi: to zależy. Odpowiednio skonfigurowana i zabezpieczona chmura jest równie bezpieczna co on-premise. Ale jeżeli projekty chmurowe w organizacji są wdrażane w pośpiechu, bez koordynacji i bez uwzględnienia odpowiedniej konfiguracji zabezpieczeń, takie środowisko może być podatne na atak. Powodem błędów we wdrażaniu chmury może być np. brak wiedzy zespołu IT, który dotychczas pracował w systemach on-premise i nie zna chmurowych narzędzi bezpieczeństwa. Dlatego zacznijmy od podstaw, najpierw musimy wiedzieć, gdzie popełniamy błędy. Odpowiedź na to pytanie da nam Cloud Security Assessment.


Czym jest Cloud Security Assassment?

Najprościej mówiąc jest to kompleksowa analiza środowisk chmurowych pod kątem bezpieczeństwa. Eksperci Chmury Krajowej, którzy mają doświadczenie w audytach oraz konfiguracji środowisk chmurowych w różnych organizacjach, w tym w sektorach regulowanych (finanse, ochrona zdrowia), zdradzili nam szczegóły tej usługi.

Andrzej Nowodworski, security architect Chmury Krajowej wyjaśnia, że w ramach Cloud Security Assessment należy wykonać następujące kroki:

  1. Inwentaryzacja obowiązujących regulacji
  2. Mapowanie ustawień technicznych do konkretnych wymagań regulacji
  3. Inwentaryzacja zasobów w chmurze
  4. Weryfikacja bezpieczeństwa poszczególnych komponentów
  5. Weryfikacja bezpieczeństwa środowiska chmurowego jako całości
  6. Opracowanie raportu z prac
  7. Weryfikacja wyników prac z poprzednim raportem.

Według Andrzeja Nowodworskiego należy zwrócić uwagę na następujące aspekty:


● Obowiązujące regulacje

Ważnym aspektem uwzględnianym w CSA są regulacje sektorowe. Środowiska chmurowe czołowych dostawców tego typu usług są na tyle dojrzałe, że doczekały się standardów, które opisują jak w bezpieczny sposób powinno się je konfigurować. Mowa tutaj np. o CIS Benchmark, który znany jest w świecie bezpieczeństwa ze standardów dla systemów operacyjnych czy aplikacji, a teraz zostały opracowane także standardy dla środowisk chmurowych.

Dodatkowo niektórzy regulatorzy czy agencje rządowe wprowadziły własne standardy dla poszczególnych branż. Możemy wymienić tutaj choćby “Rekomendację D” polskiej Komisji Nadzoru Finansowego, czy PCI DSS dla analogicznych instytucji na rynku amerykańskim. Dlatego pierwszym aspektem w przypadku realizacji Cloud Security Assessment jest weryfikacja konfiguracji środowiska chmurowego pod kątem spełnienia wszystkim norm i standardów, które obowiązują daną organizację.

Przykładem wynikającym z wytycznych regulatora jest obowiązek wykorzystywania kluczy kryptograficznych zarządzanych przez firmę, a nie dostawcę usług chmurowych. Aby spełnić wymogi Komisji Nadzoru Finansowego, klucz musi być zlokalizowany poza środowiskiem chmurowym, aby dostawca nie miał do niego dostępu.

Czyli w przypadku środowisk a zlokalizowanego np. na Google Cloud Platform, klucz powinien znajdować się w chmurze innego dostawcy albo w środowisku on-premise.


● Certyfikacje

Następnym aspektem, na który trzeba zwrócić uwagę są Certyfikacje .

W organizacjach o wysokiej dojrzałości istnieje wiele wewnętrznych regulacji procesów. Porządkują one obsługę wielu procesów, często ich istnienie jest też związane z utrzymaniem certyfikacji, które posiada przedsiębiorstwo” – wyjaśnia Andrzej Nowodworski z Chmury Krajowej. – “Część zapisów z zewnętrznych standardów jest przenoszona do regulacji obowiązujących wewnątrz organizacji, jak ma to miejsce w np. w przypadku normy ISO 27001. Proces ten powinien być poprzedzony analizą ryzyka, aby przenieść do organizacji tylko te zapisy, które jej dotyczą.


● Landing zone

Kolejna istotna kwestia to Landing zone: „Dużym ułatwieniem w zapewnieniu odpowiedniego poziomu bezpieczeństwa jest Landing zone. Jeżeli Landing zone jest budowany po prawidłowo wykonanym Cloud Security Assessment, to odpowiednio skonfigurowane mechanizmy bezpieczeństwa będą automatycznie implementowane w całym środowisku IT.

Jeżeli Landing zone już istnieje, to podczas CSA weryfikowana jest nie tylko faktyczna implementacja, ale także kod realizujący budowę środowiska, czyli mechanizmy IaC. Może się jednak okazać, że kod budujący środowisko chmurowe nie uwzględnia wymogów weryfikowanych w dwóch poprzednich krokach. Jeżeli tak się stanie i wprowadzimy poprawki zarówno w konfiguracji samego środowiska, jak i kodzie budującym to środowisko, będziemy mieli pewność, że nowe zasoby chmurowe będą spełniały wszystkie wymogi bezpieczeństwa.”

Andrzej Nowodworski zwraca uwagę na różnego rodzaju błędy popełniane podczas konfiguracji środowiska, np. na Google Cloud Platform. „Bardzo często podczas CSA natrafiamy na firmy, które nie mają stworzonej landing zony. Nie mają np. w kontekście GCP ustawionej polityki na poziomie organizacji. Potem ustawienia np. regionu w projektach są różne, bo tak >>kliknęło się<< administratorowi.”

Aby uniknąć błędów w konfiguracji warto zapoznać się z opublikowanym przez Google dokumentem “Security Foundations Blueprint“, który zapewnia bezpieczny start w GCP. Oprócz wyjaśnienia podstaw bezpieczeństwa środowiska Google Cloud Platform, dodatkowo zawiera on link do kodu “Terraform automation repository”,który pozwala na stworzenie podstaw bezpieczeństwa organizacji .


● Poziom bezpieczeństwa środowiska

W ostatnim kroku weryfikowany jest Poziom Bezpieczeństwa Środowiska chmurowego jako całości: „Sprawdzane są wszystkie aspekty widoczności usług chmurowych w Internecie, podział uprawnień i dostępności, a także kompletność zabezpieczeń w ujęciu rynkowych standardów. Analizowane są punkty styku poszczególnych usług, z których korzystamy w środowisku chmurowym, aby zweryfikować zależności między nimi i upewnić się, że wzajemnie nie wpływają na siebie negatywnie.”

Do tego punktu potrzeba zrozumienia, jakie usługi są realizowane przez środowisko chmurowe, jakie dane przetwarzamy i jaki potencjalny wpływ na prowadzony biznes miałyby incydenty bezpieczeństwa, włączając w to także niedostępność. Wiedza ta pozwala na lepszy dobór mechanizmów zabezpieczeń, tak aby ryzyko związane z bezpieczeństwem informacji, systemów teleinformatycznych czy ich dostępności było jak najmniejsze.

Jeżeli chcesz się dowiedzieć więcej o CSA skontaktuj się z ekspertami Chmury Krajowej: LINK TUTAJ.

Podziel się z innymi tym artykułem!