Sigurnost u oblaku: Razumijevanje modela podijeljene odgovornosti

Računalstvo u oblaku revolucioniralo je način na koji organizacije posluju, nudeći skalabilnost, fleksibilnost i isplativost. Međutim, ova promjena paradigme također uvodi jedinstvene sigurnosne izazove. Temeljni koncept za snalaženje u tim izazovima je Model podijeljene odgovornosti. Ovaj model pojašnjava sigurnosne odgovornosti između pružatelja usluga u oblaku i korisnika, osiguravajući sigurno okruženje u oblaku.

Što je Model podijeljene odgovornosti?

Model podijeljene odgovornosti definira različite sigurnosne obveze pružatelja usluga u oblaku (CSP) i korisnika koji koriste njihove usluge. To nije rješenje 'jedna veličina za sve'; specifičnosti se razlikuju ovisno o vrsti implementirane usluge u oblaku: Infrastruktura kao usluga (IaaS), Platforma kao usluga (PaaS) ili Softver kao usluga (SaaS).

U osnovi, CSP je odgovoran za sigurnost oblaka, dok je korisnik odgovoran za sigurnost u oblaku. Ova razlika je ključna za učinkovito upravljanje sigurnošću u oblaku.

Odgovornosti pružatelja usluga u oblaku (CSP)

CSP je odgovoran za održavanje fizičke infrastrukture i temeljne sigurnosti okruženja u oblaku. To uključuje:

• Fizička sigurnost: Osiguravanje podatkovnih centara, hardvera i mrežne infrastrukture od fizičkih prijetnji, uključujući neovlašteni pristup, prirodne katastrofe i nestanke struje. Na primjer, AWS, Azure i GCP održavaju visoko zaštićene podatkovne centre s više slojeva fizičke zaštite.
• Sigurnost infrastrukture: Zaštita temeljne infrastrukture koja podržava usluge u oblaku, uključujući poslužitelje, pohranu i mrežnu opremu. To uključuje krpanje ranjivosti, implementaciju vatrozida i sustava za otkrivanje upada.
• Mrežna sigurnost: Osiguravanje sigurnosti i integriteta mreže u oblaku. To uključuje zaštitu od DDoS napada, segmentaciju mreže i šifriranje prometa.
• Sigurnost virtualizacije: Osiguravanje sloja virtualizacije, koji omogućuje pokretanje više virtualnih strojeva na jednom fizičkom poslužitelju. Ovo je ključno za sprječavanje napada između VM-ova i održavanje izolacije između korisnika.
• Usklađenost i certifikati: Održavanje usklađenosti s relevantnim industrijskim propisima i sigurnosnim certifikatima (npr. ISO 27001, SOC 2, PCI DSS). To pruža jamstvo da se CSP pridržava utvrđenih sigurnosnih standarda.

Odgovornosti korisnika oblaka

Sigurnosne odgovornosti korisnika ovise o vrsti usluge u oblaku koja se koristi. Kako se krećete od IaaS-a do PaaS-a do SaaS-a, korisnik preuzima manju odgovornost, jer CSP upravlja većim dijelom temeljne infrastrukture.

Infrastruktura kao usluga (IaaS)

U IaaS-u korisnik ima najviše kontrole i stoga najviše odgovornosti. Oni su odgovorni za:

• Sigurnost operativnog sustava: Krpanje i jačanje operativnih sustava koji se izvode na njihovim virtualnim strojevima. Neuspješno krpanje ranjivosti može ostaviti sustave otvorenima za napad.
• Sigurnost aplikacija: Osiguravanje aplikacija koje implementiraju u oblaku. To uključuje implementaciju sigurnih praksi kodiranja, provođenje procjena ranjivosti i korištenje vatrozida web aplikacija (WAF-ova).
• Sigurnost podataka: Zaštita podataka pohranjenih u oblaku. To uključuje šifriranje podataka u mirovanju i u prijenosu, implementaciju kontrola pristupa i redovito sigurnosno kopiranje podataka. Na primjer, korisnici koji implementiraju baze podataka na AWS EC2 odgovorni su za konfiguriranje šifriranja i pravila pristupa.
• Upravljanje identitetom i pristupom (IAM): Upravljanje korisničkim identitetima i privilegijama pristupa resursima u oblaku. To uključuje implementaciju višefaktorske autentifikacije (MFA), korištenje kontrole pristupa na temelju uloga (RBAC) i nadzor aktivnosti korisnika. IAM je često prva linija obrane i ključan je za sprječavanje neovlaštenog pristupa.
• Konfiguracija mreže: Konfiguriranje grupa mrežne sigurnosti, vatrozida i pravila usmjeravanja za zaštitu njihovih virtualnih mreža. Nepravilno konfigurirana mrežna pravila mogu izložiti sustave internetu.

Primjer: Organizacija koja hostira vlastitu web stranicu za e-trgovinu na AWS EC2. Oni su odgovorni za krpanje operativnog sustava web poslužitelja, osiguravanje koda aplikacije, šifriranje podataka o kupcima i upravljanje korisničkim pristupom okruženju AWS.

Platforma kao usluga (PaaS)

U PaaS-u CSP upravlja temeljnom infrastrukturom, uključujući operativni sustav i okruženje izvođenja. Korisnik je prvenstveno odgovoran za:

• Sigurnost aplikacija: Osiguravanje aplikacija koje razvijaju i implementiraju na platformi. To uključuje pisanje sigurnog koda, provođenje sigurnosnog testiranja i krpanje ranjivosti u ovisnostima aplikacije.
• Sigurnost podataka: Zaštita podataka pohranjenih i obrađenih od strane njihovih aplikacija. To uključuje šifriranje podataka, implementaciju kontrola pristupa i usklađivanje s propisima o privatnosti podataka.
• Konfiguracija PaaS usluga: Sigurno konfiguriranje PaaS usluga koje se koriste. To uključuje postavljanje odgovarajućih kontrola pristupa i omogućavanje sigurnosnih značajki koje nudi platforma.
• Upravljanje identitetom i pristupom (IAM): Upravljanje korisničkim identitetima i privilegijama pristupa PaaS platformi i aplikacijama.

Primjer: Tvrtka koja koristi Azure App Service za hostiranje web aplikacije. Oni su odgovorni za osiguravanje koda aplikacije, šifriranje osjetljivih podataka pohranjenih u bazi podataka aplikacije i upravljanje korisničkim pristupom aplikaciji.

Softver kao usluga (SaaS)

U SaaS-u CSP upravlja gotovo svime, uključujući aplikaciju, infrastrukturu i pohranu podataka. Odgovornosti korisnika obično su ograničene na:

• Sigurnost podataka (unutar aplikacije): Upravljanje podacima unutar SaaS aplikacije u skladu s pravilima svoje organizacije. To može uključivati klasifikaciju podataka, pravila zadržavanja i kontrole pristupa koje se nude unutar aplikacije.
• Upravljanje korisnicima: Upravljanje korisničkim računima i dopuštenjima pristupa unutar SaaS aplikacije. To uključuje osiguravanje i uklanjanje korisnika, postavljanje jakih lozinki i omogućavanje višefaktorske autentifikacije (MFA).
• Konfiguracija postavki SaaS aplikacije: Konfiguriranje sigurnosnih postavki SaaS aplikacije u skladu sa sigurnosnim pravilima svoje organizacije. To uključuje omogućavanje sigurnosnih značajki koje nudi aplikacija i konfiguriranje postavki dijeljenja podataka.
• Upravljanje podacima: Osiguravanje da je njihova upotreba SaaS aplikacije u skladu s relevantnim propisima o privatnosti podataka i industrijskim standardima (npr. GDPR, HIPAA).

Primjer: Tvrtka koja koristi Salesforce kao svoj CRM. Oni su odgovorni za upravljanje korisničkim računima, konfiguriranje dopuštenja pristupa podacima o kupcima i osiguravanje da je njihova upotreba Salesforcea u skladu s propisima o privatnosti podataka.

Vizualizacija Modela podijeljene odgovornosti

Model podijeljene odgovornosti može se vizualizirati kao slojevita torta, pri čemu CSP i korisnik dijele odgovornost za različite slojeve. Evo uobičajene reprezentacije:

IaaS:

• CSP: Fizička infrastruktura, Virtualizacija, Umrežavanje, Pohrana, Poslužitelji
• Korisnik: Operativni sustav, Aplikacije, Podaci, Upravljanje identitetom i pristupom

PaaS:

• CSP: Fizička infrastruktura, Virtualizacija, Umrežavanje, Pohrana, Poslužitelji, Operativni sustav, Okruženje izvođenja
• Korisnik: Aplikacije, Podaci, Upravljanje identitetom i pristupom

SaaS:

• CSP: Fizička infrastruktura, Virtualizacija, Umrežavanje, Pohrana, Poslužitelji, Operativni sustav, Okruženje izvođenja, Aplikacije
• Korisnik: Podaci, Upravljanje korisnicima, Konfiguracija

Ključne točke za implementaciju Modela podijeljene odgovornosti

Uspješna implementacija Modela podijeljene odgovornosti zahtijeva pažljivo planiranje i izvođenje. Evo nekoliko ključnih točaka:

• Razumijete svoje odgovornosti: Pažljivo pregledajte dokumentaciju i ugovore o uslugama CSP-a kako biste razumjeli svoje specifične sigurnosne odgovornosti za odabranu uslugu u oblaku. Mnogi pružatelji usluga, poput AWS-a, Azurea i GCP-a, pružaju detaljnu dokumentaciju i matrice odgovornosti.
• Implementirajte jake sigurnosne kontrole: Implementirajte odgovarajuće sigurnosne kontrole za zaštitu vaših podataka i aplikacija u oblaku. To uključuje implementaciju šifriranja, kontrola pristupa, upravljanje ranjivostima i sigurnosni nadzor.
• Koristite sigurnosne usluge CSP-a: Iskoristite sigurnosne usluge koje nudi CSP kako biste poboljšali svoj sigurnosni položaj. Primjeri uključuju AWS Security Hub, Azure Security Center i Google Cloud Security Command Center.
• Automatizirajte sigurnost: Automatizirajte sigurnosne zadatke kad god je to moguće kako biste poboljšali učinkovitost i smanjili rizik od ljudske pogreške. To može uključivati korištenje alata Infrastructure as Code (IaC) i platformi za automatizaciju sigurnosti.
• Nadzor i revizija: Kontinuirano nadzirite svoje okruženje u oblaku radi sigurnosnih prijetnji i ranjivosti. Redovito revidirajte svoje sigurnosne kontrole kako biste osigurali da su učinkovite.
• Obučite svoj tim: Osigurajte sigurnosnu obuku svom timu kako biste osigurali da razumiju svoje odgovornosti i kako sigurno koristiti usluge u oblaku. Ovo je posebno važno za programere, administratore sustava i sigurnosne stručnjake.
• Budite u toku: Sigurnost u oblaku je područje koje se stalno razvija. Budite u toku s najnovijim sigurnosnim prijetnjama i najboljim praksama te prilagodite svoju sigurnosnu strategiju u skladu s tim.

Globalni primjeri Modela podijeljene odgovornosti u akciji

Model podijeljene odgovornosti primjenjuje se globalno, ali se njegova implementacija može razlikovati ovisno o regionalnim propisima i industrijskim zahtjevima. Evo nekoliko primjera:

• Europa (GDPR): Organizacije koje posluju u Europi moraju se pridržavati Opće uredbe o zaštiti podataka (GDPR). To znači da su odgovorni za zaštitu osobnih podataka građana EU pohranjenih u oblaku, bez obzira na to gdje se nalazi pružatelj usluga u oblaku. Moraju osigurati da CSP pruža dovoljne sigurnosne mjere za usklađivanje sa zahtjevima GDPR-a.
• Sjedinjene Države (HIPAA): Zdravstvene organizacije u SAD-u moraju se pridržavati Zakona o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA). To znači da su odgovorni za zaštitu privatnosti i sigurnosti zaštićenih zdravstvenih informacija (PHI) pohranjenih u oblaku. Moraju sklopiti ugovor o poslovnom suradniku (BAA) s CSP-om kako bi osigurali da se CSP pridržava zahtjeva HIPAA-e.
• Industrija financijskih usluga (Različiti propisi): Financijske institucije diljem svijeta podliježu strogim propisima u pogledu sigurnosti podataka i usklađenosti. Moraju pažljivo procijeniti sigurnosne kontrole koje nude CSP-ovi i implementirati dodatne sigurnosne mjere kako bi ispunili regulatorne zahtjeve. Primjeri uključuju PCI DSS za rukovanje podacima o kreditnim karticama i razne nacionalne bankarske propise.

Izazovi Modela podijeljene odgovornosti

Unatoč svojoj važnosti, Model podijeljene odgovornosti može predstavljati nekoliko izazova:

• Složenost: Razumijevanje podjele odgovornosti između CSP-a i korisnika može biti složeno, posebno za organizacije koje su nove u računalstvu u oblaku.
• Nedostatak jasnoće: CSP-ova dokumentacija možda neće uvijek biti jasna u pogledu specifičnih sigurnosnih odgovornosti korisnika.
• Pogrešna konfiguracija: Korisnici mogu pogrešno konfigurirati svoje resurse u oblaku, ostavljajući ih ranjivima na napad.
• Nedostatak vještina: Organizacijama može nedostajati vještina i stručnosti potrebnih za učinkovito osiguranje svog okruženja u oblaku.
• Vidljivost: Održavanje vidljivosti sigurnosnog položaja okruženja u oblaku može biti izazovno, posebno u okruženjima s više oblaka.

Najbolje prakse za sigurnost u oblaku u Modelu podijeljene odgovornosti

Kako bi prevladale te izazove i osigurale sigurno okruženje u oblaku, organizacije bi trebale usvojiti sljedeće najbolje prakse:

• Usvojite sigurnosni model Zero Trust: Implementirajte sigurnosni model Zero Trust, koji pretpostavlja da se nijednom korisniku ili uređaju ne vjeruje prema zadanim postavkama, bez obzira nalaze li se unutar ili izvan mrežnog perimetra.
• Implementirajte pristup s najmanje privilegija: Dajte korisnicima samo minimalnu razinu pristupa koja im je potrebna za obavljanje svojih radnih zadataka.
• Koristite višefaktorsku autentifikaciju (MFA): Omogućite MFA za sve korisničke račune kako biste se zaštitili od neovlaštenog pristupa.
• Šifrirajte podatke u mirovanju i u prijenosu: Šifrirajte osjetljive podatke u mirovanju i u prijenosu kako biste ih zaštitili od neovlaštenog pristupa.
• Implementirajte sigurnosni nadzor i bilježenje: Implementirajte robustan sigurnosni nadzor i bilježenje kako biste otkrili sigurnosne incidente i odgovorili na njih.
• Provedite redovite procjene ranjivosti i testiranje penetracije: Redovito procjenjujte svoje okruženje u oblaku radi ranjivosti i provedite testiranje penetracije kako biste identificirali slabosti.
• Automatizirajte sigurnosne zadatke: Automatizirajte sigurnosne zadatke kao što su krpanje, upravljanje konfiguracijom i sigurnosni nadzor kako biste poboljšali učinkovitost i smanjili rizik od ljudske pogreške.
• Razvijte plan odgovora na sigurnosne incidente u oblaku: Razvijte plan za odgovor na sigurnosne incidente u oblaku.
• Odaberite CSP sa snažnom sigurnosnom praksom: Odaberite CSP s dokazanim rezultatima u sigurnosti i usklađenosti. Potražite certifikate kao što su ISO 27001 i SOC 2.

Budućnost Modela podijeljene odgovornosti

Model podijeljene odgovornosti vjerojatno će se razvijati kako računalstvo u oblaku nastavlja sazrijevati. Možemo očekivati da ćemo vidjeti:

• Povećana automatizacija: CSP-ovi će nastaviti automatizirati više sigurnosnih zadataka, olakšavajući korisnicima osiguranje svojih okruženja u oblaku.
• Sofisticiranije sigurnosne usluge: CSP-ovi će nuditi sofisticiranije sigurnosne usluge, kao što su otkrivanje prijetnji pomoću umjetne inteligencije i automatizirani odgovor na incidente.
• Veći naglasak na usklađenosti: Regulatorni zahtjevi za sigurnost u oblaku postat će stroži, zahtijevajući od organizacija da pokažu usklađenost s industrijskim standardima i propisima.
• Model zajedničke sudbine: Potencijalna evolucija izvan modela podijeljene odgovornosti je model "zajedničke sudbine", gdje pružatelji i kupci još više surađuju i imaju usklađene poticaje za sigurnosne ishode.

Zaključak

Model podijeljene odgovornosti ključan je koncept za sve koji koriste računalstvo u oblaku. Razumijevanjem odgovornosti i CSP-a i korisnika, organizacije mogu osigurati sigurno okruženje u oblaku i zaštititi svoje podatke od neovlaštenog pristupa. Zapamtite da je sigurnost u oblaku zajednički pothvat koji zahtijeva kontinuiranu budnost i suradnju.

Pažljivim slijeđenjem najboljih praksi navedenih gore, vaša organizacija može s pouzdanjem upravljati složenošću sigurnosti u oblaku i otključati puni potencijal računalstva u oblaku uz održavanje robusnog sigurnosnog položaja na globalnoj razini.