Az elmúlt években – különösen az intenzív COVID-19 járvány alatt – a cégek túlélésének záloga az volt, hogy a komplett IT-infrastruktúrát a megváltozott körülményekhez igazították, a folyamat katalizátora pedig legtöbb esetben a felhő volt. Gyors és széles körű térnyerését követően azonban egyre-másra bukkantak fel a technológia adatbiztonságát firtató, kevésbé pozitív vélemények, a felhőben tárolt adatok védelme pedig az egyik legtöbbet vitatott kérdéssé vált. Az adatbiztonsági anomália kapcsán azt kerestük, hol húzódik a felelősségvállalás határa a szolgáltató és a felhasználó között.
Bár naprakész adatok nem állnak rendelkezésünkre, becsléseink szerint a felhő alapú technológiák adaptációja 30-40 százalék körüli hazánkban. Noha ez a folyamat már korábban is elindult, azért még közel sem tart azon a szinten, mint a nyugati országokban. A járvány okozta pánik és távmunkatrend a vállalatokat ezen törekvéseik felgyorsítására ösztönözte, ám igazi nagy áttörést az hozhat majd, amikor a kormányzati és közigazgatási intézmények körében is elfogadottabbá és elterjedtebbé válik a felhő használata. Addig is viszont fontos, hogy a felhasználók a felhő biztonsági vetületét is jobban átlássák.
Sok felhasználónak téves biztonságérzetet ad a felhőbe való költözés. Valójában a felhasználók felelőssége a szolgáltatóknál tárolt adataik védelme. Az emberi hibák kiküszöbölhetetlenek, például nem szándékos adattörléssel szinte mindenki találkozott már. Azonban egy felhasználó helytelenül beállított vagy maradványjogosultságai is vezethetnek komoly adatvédelmi incidenshez. Fontos, hogy a felhasználói, hozzáférési jogosultságokat megfelelően kezeljük, például egy, az identitást vagy a kiemelt jogosultsággal rendelkező felhasználókat kezelő technológia révén.
A felhő alapú szolgáltatás igénybevételével együtt jár a megosztott felelősségi modell vállalása, ugyanakkor felmerülhet a kérdés, hogy a felhasználók mennyire vannak tisztában saját, illetve a szolgáltatók felelősségével
Minden szolgáltatásnál máshol húzódik az adatbiztonság határa
A tapasztalat azt mutatja, hogy például a kis-és középvállalkozások sokszor nem is tudják, hogy attól, hogy fizetnek egy bizonyos felhőszolgáltatásért, az adataik biztonságáért saját maguk felelnek. De ugyanez igaz a nagyvállalati közegre is.
„Sokféle felhő létezik, biztonsági szempontból azonban „as-a-service-eket” kell megkülönböztetni. Dióhéjban összefoglalva megkülönböztetünk Infrastructure as a service (IaaS-), Platform as a Service (PaaS-) és Software as a Service (SaaS-) szolgáltatásokat, ahol minden esetben máshol húzódnak felelősség határai. Az IaaS esetében majdnem minden a felhasználó felelőssége, mert a szolgáltató csak azért kezeskedik, hogy a számítási kapacitást bármikor elérhetővé tegye. PaaS esetén a szolgáltató a hálózatot, a szervereket, operációs rendszert, tárhelyet és az egyéb alapszolgáltatásokat biztosítja, míg a felhasználó felelőssége az alkalmazás telepítése, konfigurációja, védelme. SaaS-nál pedig az ügyfél- és a személyes adatok védelme megint csak a felhasználó felelősségévé válik, hiszen a szolgáltató csak a szoftverfunkcionalitást bocsátja rendelkezésre”, foglalta össze Csinos Tamás, a Clico Hungary ügyvezetője.
A megosztott felelősségi modell tehát nemcsak az informatikára nézve, hanem jogi és üzleti szempontból is fontos, ezért átfogó modellként kell működnie. Ezáltal bizonyos, főként az üzemeltetéssel kapcsolatos terhek lekerülnek az előfizetők válláról, így több erőforrást tudnak allokálni az adatvédelmi folyamatok megerősítésére. Az informatikai infrastruktúra szervezettebbé, a rendszerek áttekinthetősége és menedzsmentje könnyebbé válik a megfelelő eszközök kiválasztásával.
Beépített javaslatokkal a megfelelésért
Ahogy a fentiekből is körvonalazódik, maga a felhasználó sokat tehet azért, hogy az adatai biztonságban legyenek.
A felhőbeli erőforrásokhoz való hozzáférések kezelése kritikus, épp ezért a hozzáférés-vezérléssel kell kezdeni: javasolt a többfaktoros hitelesítés bekapcsolása ezen hozzáféréseknél. Ezen felül érdemes megfontolni az adatbázisok, virtuális diszkek titkosítását is.
Az adatszivárogtatás ellen a DLP (Data Loss Prevention) megoldásokkal lehet védekezni, jó példa erre a Forcepoint Enterprise DLP terméke, amely ötvözhető a gyártó DUP (Dynamic User Protection) megoldásával is. Utóbbi az alap DLP funkcionalitást azzal egészíti ki, hogy a felhasználó tevékenységeit vizsgálva felépít egy baseline-t, azaz a felhasználói szokások alapján egy mintázatot, amely alapján észleli az ettől való váratlan eltéréseket, továbbá képes felismerni a gyanús illetve kockázatos műveleteket. Ezek alapján egy kockázati besorolást állapít meg a felhasználóra vonatkozóan, amelynek az értéke folyamatosan, dinamikusan képes változni a felhasználó tevékenysége alapján.
A DLP szabályok ennek figyelembe vételével sokkal finomabban hangolhatók. Például egy alacsonyabb kockázati besorolású user esetén, – aki rendszeresen dolgozik érzékeny adatokkal- megengedőbb szabályok lesznek érvényben, míg az ilyen adatokkal ritkábban dolgozó felhasználók esetén nem. Tehát, ha a rendszer észleli, hogy szokatlan időben (például éjszaka) vagy a szokásosnál nagyobb mennyiségű anyagot akar lemásolni a felhasználó a felhőből, akkor automatikusan blokkolhatja a hozzáférését.
Egyébként külső megoldások bevonása nélkül is növelhető a biztonság, több felhőszolgáltató rendszeresen frissített biztonsági javaslatlistákat publikál, amelyekkel ellenőrizhető, hogy milyen beállításokat kell még elvégezni ahhoz, hogy egy adott minősítésnek megfelelhessen a cég.
De természetesen ezek beállítások megkönnyítésére is léteznek termékek, például. a Rapid7 InsightCloud megoldása, ami a legnagyobb felhőszolgáltatásokkal is képes együttműködni.
A munkafolyamatok megóvása is kulcsfontosságú
Ami a felhőben tárolt adatok és munkafolyamatok megfelelő biztosítását illeti, kritikus, hogy céges oldalról olyan megoldásokat és folyamatokat alkalmazzanak, amelyek biztosítják a megfelelő hozzáférési jogosultságokat az identitások teljes életciklusa alatt. Ilyen a CyberArk által biztosított Identity Management megoldás is vagy a gyártó Privileged Access Management terméke, amely a kiemelt felhasználók számára biztosít egyrészt jelszószéf megoldást, másrészt biztosítja ezen felhasználók tevékenységeinek monitoringját, illetve visszakövethetőségét. Így nem csak a szankciókat, botrányokat, potenciális üzleti károkat, pereket és az IT összeomlását lehet elkerülni, hanem hatékony, optimális működést is biztosíthatunk a cégek és munkavállalóik számára.
Szintén kritikus, hogy miként azonosítják a cégek a felhasználókat, ugyanis ez a felhős rendszereknél más megközelítést igényel. „A saját infrastruktúra esetében vannak olyan fizikai ellenőrzési pontok, amelyek alapján azonosítani lehet a felhasználót. Távolról ellenben nehezen lehet meggyőződni arról, hogy adott esetben tényleg a marketingmenedzser lépett-e be a levelezésébe vagy valaki más, aki annak adja ki magát. Nem lehet elégszer hangsúlyozni, hogy a felhasználó az új végpont, így elsősorban őt kell megvédeni”, zárta a gondolatait Csinos Tamás.
A gyors “felhősödés” tehát megelőzte a felhők működésének az alapos megismerését, az adatbiztonság megteremtését. Szerencsére hatékony megoldások már léteznek, itt az idő az alkalmazásukra.
A blogbejegyzés az IT Business cikkének átdolgozott változata.