Kiberkontroll: fókuszban a felhőalapú szolgáltatások

Az informatikai piacon még mindig szélmalomharc zajlik „ég és föld” között. A kiberbiztonság terén egyértelműbbnek látszik a helyzet: a gyártók határozottan a felhőalapú szolgáltatások mellett tették le a voksukat és felhős alapokra helyezték fejlesztéseiket.

Naprakész biztonság

Mindenki számára ismert a „jót, olcsót és gyorsan” ügyféligény okozta disszonancia. A kiberbiztonság esetében sincs ez másként: a gyakorlatban háromból többnyire csak két feltétel szokott teljesülni. Talán nem meglepő, hogy prioritást élvez a jó, pontosabban a biztonsági szint lehető legnagyobb mértékű emelkedésével járó megoldás kiválasztása. Kiberbiztonsági szempontból vitathatatlan kulcstényező a gyorsaság is. A sérülékenységek, fenyegetettségek időbeli észlelése nélkül nem biztosítható a naprakészség; a hatékony incidenskezelés pedig kétségkívül mielőbbi detekciós képességeket kíván meg.

Ezeket a feladatokat, a magas szintű elvárások és a jelentős adatmennyiségek mellett, szinte csak a mesterséges intelligenciát (AI-t) és a gépi tanulást (ML-t) támogató megoldások képesek elvégezni. Játsszunk el akkor a gondolattal, hogy milyen erőfeszítés és befektetés árán lehetünk képesek ekkora számítási kapacitást és temérdek művelet villámgyors végrehajtására alkalmas rendszert építeni saját földi infrastruktúránk részeként? Biztosan menne?

Kiterjesztett biztonsági funkciók

A felhőalapú biztonsági szolgáltatásoknál jóval magasabb fokú biztonsági előírások vannak érvényben, mint egy földön kialakított háttérarchitektúra esetén. A helyi (on-premise) környezetekhez képest speciális védelmi mechanizmusokkal igyekeznek biztosítani az adatvédelem terén elvárt „szentháromságot”, azaz a bizalmasságot, sértetlenséget és rendelkezésre állást. Az felhő alapokon fejlesztő megoldásszállítók kifejezetten erős titkosítási protokollokat használnak mind a tárolt, mind a feldolgozás alatt álló adatok esetén. Így hiába is viszik el esetleg sikerrel a támadók az adatokat, azokkal semmit nem tudnak kezdeni, mivel a dekódoláshoz szükséges idő hosszabb lehet még kvantumképességekkel is, mint az ellopott adatok releváns életciklusa.

A felhő alapú biztonsági megoldások előnyei – Sokkal kevesebb helyi eszközt kell üzemeltetni Ezzel adatközponti alapterületet, hűtési kapacitást és villamos energiát is spórolhatunk, és a hardver bekerülési költségével és avulásával sem kell kalkulálni. – Számos erőforrásigényes szolgáltatás megoldható plusz hardver vásárlása nélkül. – A legtöbb felhős technológián fejlesztő biztonsági szolgáltató nem tárol a felhasználót azonosító adatokat, csak anonimizált telemetriai és analitikai adatokat dolgoznak fel. – A „zero trust” elv alkalmazása: csak hitelesített és engedélyezett hozzáférés lehetséges. – Egyes megoldásoknál automatikus mentés és földrajzi redundancia védi az adatokat hiba esetén. – A gyártók döntő többségénél csak a felhőből érhető el AI/ML-alapú automatizáció és analitika.

Az érzékeny adatokhoz való hozzáférés kapcsán további plusz védelmi rétegre támaszkodhatunk a beépített többfaktoros azonosítás (Multi Factor Authentication, MFA) alkalmazásával. A proaktív fenyegetettségészlelés is számos felhőalapú biztonsági rendszer jellemzője, legtöbbjük mesterséges intelligenciát és gépi tanulást is használ a forgalom folyamatos figyelésére és az anomáliák észlelésére.

Az is növeli a felhő alapon működő védelmi rendszerek gyártóinak megbízhatóságát, hogy esetükben jóval gyakoribbak a biztonsági auditok. A szállítók ezekkel a rendszeres ellenőrzésekkel igyekeznek garantálni a nemzetközi szabványoknak (mint az ISO 27001, a GDPR vagy a SOC 2, stb.) való megfelelést és átláthatóságot.

Testreszabás az aktuális igények mentén

A felhőalapú szolgáltatások jelentette előnyöknél rendszeresen szóba kerül a skálázhatóságban és a rugalmasságban rejlő lehetőségek. A lokális, földi környezetek esetén ugyanis bőven lehetnek korlátai az elvárt vagy vágyott védelmi intézkedéseink gyors és zökkenőmentes bevezetésének.

Amikor nem jó a felhős biztonság: – Ahol fizikailag lehetetlen vagy nagyon nehézkes az offsite management: off shore/near shore termelés, atomerőművek, gáztárolók, régebbi típusú finomítók, air-gap hálózatok – Ahol a szigorú adatbiztonsági követelmények miatt az adatokat nem lehet külső szolgáltatónál tárolni (bár sok esetben a szervezetek úgy használnak felhős szolgáltatásokat – például Microsoft 365-öt –, hogy nem gondolnak a biztonsági megfontolásokra).

Ezzel szemben a felhő – jellegéből adódóan – adaptív, így az üzleti igények és hatósági elvárások változásai nyomán gyorsan alakíthatunk ki újabb biztonsági védvonalakat, anélkül, hogy újabb hardver beszerzésén vagy a meglévő fizikai infrastruktúra átalakításán, újratervezésén kellene fáradoznunk. Ez a rugalmasság teremti meg az úgynevezett „microservice uplift/scale down” lehetőségét, vagyis hogy könnyedén tudunk új szolgáltatásokat implementálni vagy éppen azokat megszüntetni.

Az is komoly fegyvertény, hogy a felhős megoldásszállítók automatikusan intézik a karbantartást, a frissítéseket és a biztonsági javításokat. Ennek köszönhetően a felhőben futó biztonsági megoldások mindig naprakészek lesznek, tartalmazzák a legújabb funkciókat és valószínű, hogy hamarabb implementálják a legújabb biztonsági protokollokat. Vagyis lényegében a gyártó felelős minden funkcionális frissítésért és a felbukkant biztonsági rések befoltozásáért. Ezek pedig ilyen módon sokkal gyorsabban kerülnek be a rendszerekbe, mint bármilyen saját, on-premise rendszer esetében – legyen bármennyire is profi az informatikai üzemeltetői csapatunk.

Összességében a felhő alapú kiberbiztonsági megoldások jelentős versenyelőnyt kínálnak a gyorsaság, rugalmasság és proaktív védelem terén. Ugyanakkor az iparági sajátosságok és az adatvédelmi elvárások miatt továbbra is akadnak olyan környezetek, ahol a helyben futtatott megoldások nélkülözhetetlenek maradnak.

Gyakran ismételt kérdések a felhőalapú szolgáltatások biztonságáról: