Θέσεις εργασίας: Αναζητούμε Developers & Μηχανικούς για άμεση συνεργασία. Έλα στην ομάδα μας!
cloud-security

Είναι το Cloud ασφαλές by default;

Είναι το Cloud ασφαλές by default;

Είναι καθολικά παραδεκτό ότι οι CSP, ειδικά οι μεγαλύτεροι και γνωστότεροι, προσφέρουν μια καλή βασική γραμμή ασφάλειας. Σε σχετική δημοσίευση που συνάντησα, αν και δεν είναι και τόσο πρόσφατη, μια εταιρεία ειδικών ασφαλείας ανακοίνωσε ότι το πρώτο εξάμηνο του 2019, οι CSP «διατήρησαν την εξαιρετική τους φήμη για την ασφάλεια της πλατφόρμας τους, καθώς μόνο ένα πολύ μικρό ποσοστό των περιστατικών θα μπορούσε να αποδοθεί απευθείας σ’ εκείνους».

Τα υπαρκτά αλλά σπάνια security breaches στο cloud που ν’ αφορούν κάποιον CSP φανερώνει τη σοβαρή αντιμετώπιση του θέματος από την πλευρά των παρόχων. Ωστόσο, κάτι πολύ σημαντικό, είναι ότι οι υπηρεσίες cloud βασίζονται ουσιαστικά στην συν-ευθύνη μεταξύ του CSP και του πελάτη, ή καλύτερα του IT του πελάτη και συχνά ο τελευταίος δεν φροντίζει ή δεν του επιτρέπουν να ακολουθήσει τις βέλτιστες πρακτικές ασφαλείας. Η ίδια η εγγενής πολυπλοκότητα του Cloud καθώς και η ραγδαία ανάπτυξη του, έχουν επιφέρει ένα σύνολο προκλήσεων που πρέπει να αντιμετωπίσουν τα IT dept. των επιχειρήσεων. Είναι δε πολλοί οι IT που έχουν χάσει τον ύπνο τους  αναλογιζόμενοι την ικανότητα του οργανισμού τους να υλοποιήσει τους ελέγχους εκείνους που απαιτούνται για να λειτουργήσει η επιχείρηση με μια βασική ασφάλεια σ’ ένα ετερογενές περιβάλλον. Πολλές φορές λοιπόν, ο IT δεν μπορεί να σηκώσει το βάρος του ρόλου του και αντ’ αυτού σηκώνει τα χέρια ψηλά! Άλλες φορές πάλι, όταν ο IT στέκεται στο ύψος των περιστάσεων αλλά η συζήτηση φτάνει στην ευθύνη, η αναβλητικότητα αναλαμβάνει πρωτεύοντα ρόλο, σ ένα ιδιότυπο πιγκ-πογκ μεταξύ στελεχών και τμημάτων. Για παράδειγμα, η διασφάλιση σταθερής σύνδεσης με μια υπηρεσία cloud είναι εξαιρετικά σημαντική. Καλείτε λοιπόν ο οργανισμός να επιλέξει μια αξιόπιστη γραμμή πρόσβασης στο διαδίκτυο κι ενώ η απόφαση είναι -σε τεχνικό επίπεδο- από τις πιο εύκολες, το έργο καθυστερεί (αν δεν γίνει reject) από τον αναρμόδιο CFO!

Πέρα πάντως από τα απλά ζητήματα όπως η πρόσβαση(!), οι οργανισμοί πρέπει να ενσωματώσουν επιπλέον επίπεδα ελέγχου, όπως είναι τα τείχη προστασίας και στα δύο άκρα του δικτύου (premises–cloud) και να ενεργοποιήσουν ασφαλείς συνδέσεις μεταξύ της υπηρεσίας και του χρήστη. Ακόμα, η ορθή σχεδίαση των πολιτικών, ούτως ώστε να αποκτήσουν πρόσβαση οι σωστές κατηγορίες χρηστών και στο βαθμό που απαιτείται, δεν πρέπει να μπαίνει σε δεύτερη μοίρα. Αν αυτό συμβεί, είναι πιθανό, όλοι οι χρήστες -διαχειριστές και μη- να έχουν την ίδια πρόσβαση στις υπηρεσίες και στα δεδομένα.

Ως ένα επιπλέον επίπεδο προστασίας για τα ευαίσθητα δεδομένα που κείτονται στο Cloud, είναι η προσεκτική επιλογή και ενσωμάτωση πολιτικών και διαδικασιών κρυπτογράφησης. Η προεπιλεγμένη κρυπτογράφηση που παρέχεται από πολλούς CSP ίσως να είναι ανεπαρκής για οργανισμούς που δραστηριοποιούνται σε συγκεκριμένους κλάδους (π.χ. νομικά γραφεία) και ν’ απαιτείται η επαύξηση και υλοποίηση ενός δικού τους συστήματος διαχείρισης κλειδιών.

Οι περισσότεροι έλεγχοι ασφαλείας που απαιτούνται για τις υπηρεσίες cloud δεν είναι νέοι για τους ειδικούς. Οι βασικές αρχές διαχείρισης πρόσβασης, κρυπτογράφησης δεδομένων και ασφάλειας δικτύου θα πρέπει να εφαρμόζονται σε κάθε περίπτωση ώστε να γίνεται χρήση των υπηρεσιών με ασφάλεια. Εκτελώντας τους απαραίτητους  ελέγχους και με προσεκτική επιλογή CSP, οι οργανισμοί δεν μπορούν να θεωρήσουν ως κεκτημένο την ασφάλεια (ποιος μπορεί άλλωστε…;) όμως θα είναι σίγουρα σε καλύτερο επίπεδο αποτροπής παραβιάσεων δεδομένων που σχετίζονται με το cloud.

Τέλος, αν και δεν είναι διαδικασία που σχετίζεται αμιγώς με την ασφάλεια, το backup δεν προσφέρεται ως προεπιλογή στο Cloud. Οι IT, θα πρέπει να φροντίσουν γι’ αυτό διότι είναι το μόνο που μπορεί, όχι να προστατέψει αλλά να διατηρήσει σε ζωή τον οργανισμό που θα δεχθεί μια επιτυχημένη επίθεση.