Amikor egy szervezet akár csak néhány munkaterhelést is áthelyez a felhőbe, az mindent megváltoztat, azaz változik az erőforrások elérésének, fizetésének, tárolásának és biztonságának módja. A legtöbb cég azonban ma már túllépett a felhővel való ismerkedésen, és a népszerű többfelhős modellt alkalmazza.
Ez a megközelítés azért vált egyre vonzóbbá, mert lehetővé teszi a szervezetek számára, hogy kiválasszák az adott munkaterheknek és projekteknek leginkább megfelelő felhőpéldányt, ezáltal nem egyetlen szolgáltatóhoz kötődnek. Ugyanakkor azonban a többfelhős környezetek rengeteg bonyodalmat hoznak magukkal.
"A felhőbe költözés nehéz, a több felhő pedig még nehezebb, mert a felhők közötti nyelv nem szabványosított. De ha hozzáadjuk a komplexitást, hogy megértsük, hogyan használják ki az ellenfelek a félrekonfigurálásokat és az identitást, akkor rájövünk, hogy egy nagyon nagy kihívást jelentő környezettel állunk szemben" - idézte Scott Fanning, a CrowdStrike kiberbiztonsági cég igazgatójának véleményét az ITProToday.
A Forrester nemrégiben készült jelentése szerint a heterogén, több felhőből álló környezetek súlyosbítják az adatbiztonsági problémákat. Emellett a felhőbiztonságot érintő legkritikusabb belső kihívások közé tartozik a többfelhős környezetek összetettsége, továbbá nehézséget okoznak a nyilvános felhőszolgáltatók működési és biztonsági ellenőrzésének különbségei.
Todd Moore, a Thales adatvédelmi megoldásokért felelős cég alelnöke ezért háromirányú "digitális szuverenitási" megközelítést javasol a felhőben történő adatvédelemhez:
• Adatszuverenitás: az adatok feletti ellenőrzés fenntartása, függetlenül attól, hogy hol vannak.
• Működési szuverenitás: annak ismerete, hogy az adatok hová kerülnek, főleg a felhőben.
• Szoftverszuverenitás: olyan szoftverek írása, amelyek zökkenőmentesen működnek bármilyen felhőkörnyezetben, függetlenül a szolgáltatótól.
A több felhőre kiterjedő biztonságot övező összetettség és zűrzavar miatt nem meglepő, hogy a vállalatok sok mindent elrontanak. Íme öt súlyos hiba, amelyet a szervezetek elkövethetnek a többfelhős biztonsággal kapcsolatban.
1. Nem értik a helybeni (on-premises) és a többfelhős (multicloud) biztonság közötti különbségeket
Helyszíni környezetben viszonylag egyszerű nyomon követni, hogy hol találhatóak az adatok, és biztosítani azok védelmét. Ha azonban több felhőszolgáltató is érintett, az adatok nyomon követése és biztonságának szavatolása már nagyobb kihívás. Ez különösen akkor igaz, ha a vállalatok alvállalkozókra - harmadik felekre - támaszkodnak, akik esetleg a több felhőből álló környezetet működtetik számukra. Ezért egy felettük álló felügyeleti szintre is szükség van, illetve a hozzáféréskezelést nem engedhetik ki a cégek a kezükből.
2. Úgy gondolják, hogy a biztonsággal kapcsolatos minden felelősség a felhőszolgáltatókra hárul
Ez egyszerűen nem igaz, a felelősség megosztott. Ez egy partnerség, bár ez a partnerség a felhőszolgáltatótól és a felek megállapodásától függően eltérő lehet. Általában a felhőszolgáltató felelős az általa rendelkezésre bocsátott felhő biztonságáért, legyen szó akár infrastruktúráról, tárolásról, szoftverről vagy platformról. Az ügyfél eközben felelős azért, hogy a felhőben lévő dolgok (fájlok, kódok stb.) biztonságban legyenek.
3. Feltételezik, hogy minden felhőszolgáltató ugyanúgy határozza meg a megosztott felelősséget.
A megosztott felelősség modelljét gyakran nem értik jól. A zavart valószínűleg részben a fogalom ismeretlensége okozza, valamint az a tény, hogy a különböző felhőszolgáltatók másképp határozzák meg a saját és az ügyfelek biztonsági szerepét.
Például, bár mind az AWS, mind a Microsoft Azure modell felelősséget vállal a hardver, a szoftver és a szolgáltatásaiknak otthont adó fizikai létesítmények biztonságáért, de mindegyik szolgáltató egyedileg határozza meg az ügyfelek felelősségét. Az AWS esetében az ügyfelek felelősek a felhőszolgáltatások konfigurálásáért, a kívánt AWS biztonsági beállítások kiválasztásáért és a biztonság felügyeletéért. Az Azure megosztott felelősségi modellje szerint az ügyfelek felelősek mindenért, amit az infrastruktúrán belül építenek vagy használnak, beleértve az adatokat, a végpontokat, a fiókokat és a hozzáférés-kezelést.
4. Elvárják, hogy mindenki tegye a dolgát a megosztott felelősség modelljében. A Gartner szerint azonban ma már szinte minden felhőbiztonsági hiba az ügyfél hibája. Egy ilyen állítással egyértelmű, hogy az ügyfelek nem mindig végzik el a maguk részét.
Habár elvben ugyanez igaz a felhőszolgáltatóra is. Mindkét esetben a következmények messzemenőek lehetnek. A rosszul konfigurált felhőszolgáltatások például személyazonosság- és hozzáférés-kezelési problémákhoz vezethetnek, ami viszont adatvesztést, rosszindulatú programok behurcolását, sikertelen ellenőrzéseket, sőt, akár a mögöttes infrastruktúra lelepleződését és veszélyeztetését is eredményezheti.
5. Úgy gondolják, hogy nincs szüksége további biztonsági eszközökre. Még ha a cég biztonsági eszközkészlete hibátlanul működött is a helyben működő rendszerben, a többfelhős világban lehet, hogy nem lesz elég. A következő további eszközök azonban segíthetnek:
• a felhőalapú munkaterhelések központi kezelését, érvényesítését és ellenőrzését szolgáló eszközök;
• kiváltságos hozzáférés-kezelő szoftverek; kulcskezelési technológia a védett információk dekódolásához és eléréséhez szükséges kulcsok feldolgozásához, kezeléséhez és tárolásához;
• olyan felhőbiztonsági helyzetkezelő eszközök, amelyek központosított átláthatóságot, adathozzáférés-kezelést és biztonsági ellenőrzéseket nyújthatnak, amelyek a software-as-a-service alkalmazásokban védik az adatokat;
• központosított felhőhitelesítés és hozzáférés-kezelés.
