Cloud: Rostou ostražitost i důvěra

Obavy o bezpečnost cloudových řešení se ani po letech praktického provozu nijak zásadně nesnižují. Na druhé straně roste zastoupení uživatelů, kteří cloud považují za stejně, nebo dokonce více bezpečný než tradiční model on-premise.

Cloud: Rostou ostražitost i důvěra


Přínosy cloudových technologií

Ty mají různé podoby a mnoho organizací je po několika letech praktického nasazení potvrzuje. Na prvních příčkách různých výzkumů obvykle figuruje triumvirát dostupnosti, nižších nákladů a flexibility. Stejně je tomu i ve zprávě Cloud Security 2016 Spotlight Report z dílny skupiny Information Security Community na sociální síti LinkedIn. Ta má přes 300 tisíc členů, do výzkumu se aktivně zapojilo 2 200 z nich.

Je zjevné, že nasazení cloudových řešení se v organizacích odehrává ve znamení různých motivů. Výsledné benefity také nemají nijak jednotný charakter. Například zmiňované snížení nákladů uvedlo jako přínos 41 procent respondentů výzkumu, dostupnost 46 procent, flexibilitu 36 procent. Poměrně nízké hodnocení si vysloužil koncept cloud computingu v oblastech redukce komplexity (14 %) nebo souladu s regulatorními požadavky (13 %). Žádný z citovaných benefitů se v rámci studie nepřehoupl přes hranici 50 procent. Čtvrtina respondentů si dokonce nebyla jista, jakého přínosu v tomto ohledu jejich organizace dosáhla.

Zrádnost cloud computingu

K nejvýznamnějším bezpečnostním rizikům, která se aktuálně pojí s cloud computingem, patří podle specialistů organizace Cloud Security Alliance (CSA) tendence obcházet podniková IT oddělení. Zaměstnanci i jednotlivé organizační útvary záměrně nebo nevědomě ignorují existující pravidla a postupy. Reálné přínosy cloud computingu mohou být díky tomuto přístupu velmi rychle smazány. Nižší náklady a vyšší efektivita nevyváží případné dopady a důsledky rozsáhlejšího bezpečnostního incidentu.

Za nejzávažnější hrozby související s cloud computingem se zaměřuje dokument CSA s názvem The Treacherous 12, řekněme „Zrádných 12“. Obsah blíže osvětlí jeho podtitul, jenž zní „Cloud Computing Top Threats in 2016“. Bezpečnostní experti organizace CSA v něm vydefinovali dvanáct nejvýznamnějších bezpečnostních rizik, která se aktuálně pojí s provozem a adopcí cloudových řešení.

Mezi nejvýznamnější bezpečnostní hrozby cloud computingu podle CSA patří:
1. Úniky dat v důsledku celé řady událostí včetně lidského pochybení,
2. Slabá autentizace a řízení přístupů,
3. Nedostatečně zabezpečená rozhraní API a uživatelská rozhraní,
4. Systémové zranitelnosti (hrozba exploitů),
5. Hijacking („únos“ uživatelského účtu),
6. Vnitřní útočníci (současní nebo bývalí zaměstnanci, partneři, dodavatelé),
7. Pokročilé trvalé hrozby neboli APT (obtížně zjistitelné formy útoku),
8. Ztráta dat (ve většině případů způsobená technickým nebo lidským selháním),
9. Nedostatečná opatrnost při výběru strategie, technologie a poskytovatele (due diligence),
10. Zneužívání cloudových služeb pro útoky nebo podvody (ovlivňuje zejména poskytovatele),
11. Odmítnutí služby v důsledku nedostatečného zabezpečení proti útokům DoS,
12. Zranitelnosti sdílené technologie (obvykle chyba některé vrstvy nebo zapojeného řešení).

Uvedené hrozby jsou seřazeny podle významu, jenž jim přiřadili experti CSA a účastníci výzkumu. Výčet má posloužit poskytovatelům i uživatelům cloudových služeb pro zmírnění rizik, která doprovázejí jejich cloudové strategie. Upozorňuje na problémy, které je třeba prioritně ošetřit při provozu nebo výběru vhodného řešení včetně technologie, poskytovatele a nastavení interních pravidel.

Specialisté organizace CSA mají za to, že přístup organizací ke cloud computingu v posledních letech prošel výraznou změnou. Jinými slovy: dospěl. Ve většině podniků již nejde a priori o věc informatiků, ale o záležitost nejvyššího managementu. Společný cíl má podobu snahy o maximalizaci hodnoty cloudové strategie pro všechny zapojené strany. V praxi se ale stále střetávají dva přístupy. Jeden má podobu strategického plánování IT v organizaci a je řízen od shora dolů. Druhý bývá označován termínem virální adopce, za kterou stojí jednotlivci a osamocené organizační útvary.





Úvodní foto: (c) T. L. Furrer - Fotolia.com




Komentáře