Hogyan lehet megelőzni a felhőben jelentkező 11 legfontosabb veszélyt? 2. rész

2019-10-11
Márky Donát

7. Nem biztonságos interfészek és alkalmazásprogramozási felületek (API-k)

Fenyegetettség szempontjából egy rendszeren belül általában az alkalmazásprogramozási felületek (API, Application Programming Interfaces) és a felhasználói felületek (UI, Users Interfaces) jelentik leginkább az elsőszámú veszélyforrást, hiszen ezek gyakran az egyetlen olyan, nyilvános IP-címmel rendelkező eszközök, melyek megbízható körön kívül is könnyen hozzáférhetővé válhatnak. A hitelesítéstől kezdve, a hozzáférés-ellenőrzésen és a titkosításon át a tevékenységek megfigyeléséig, ezeket az interfészeket úgy kell megtervezni, hogy mind a véletlen és rosszindulatú kísérletekkel, és mind a kijátszható védelemmel szemben is biztonságosak legyenek. 

 

Üzleti hatás

Bár a legtöbb felhőszolgáltató igyekszik megfelelő védelmet integrálni modelljébe, a felhő ügyfeleinek is tisztában kell lenniük a biztonsági következményekkel. A gyenge interfészek és API-k a szervezeteket számos biztonsági veszélynek teszik ki, melyek a titoktartással, az integritással, a rendelkezésre állással és az elszámoltathatósággal kapcsolatosak.

 

Jó tanácsok és gondolatok

  • Alkalmazzon megfelelő API-higiéniát, mely magában foglalja az olyan folyamatok gondos felügyeletét, mint a leltár, a tesztelés, az ellenőrzés és a rendellenes tevékenységekkel szembeni védelem.
  • Biztosítsa az API-kulcsok megfelelő védelmét és kerülje az újrafelhasználást.
  • Fontolja meg a standard és a nyílt API frameworks használatát (pl. OCCI, Open Cloud Computing Interface illetve CIMI, Cloud Infrastructure Management Interface).

 

8. Gyenge ellenőrzési szint

Az ellenőrzési szint az adatoknál lehetővé teszi a megfelelő biztonságot és az integritást, mely az adatok stabilitásához járul hozzá. A gyenge ellenőrzési szint azt jelenti, hogy a felelős személy nem tart teljes kontrollt az adatinfrastruktúra logikai-, biztonsági- és ellenőrzési rendszere felett.

 

Üzleti hatás

  • A gyenge ellenőrzési szint adatvesztéshez vezethet, lopás vagy korrupciós okokból kifolyólag. Az adatvesztésért törvényes büntetés is felmerülhet.
  • Gyenge ellenőrzési szint esetén előfordulhat, hogy a felhasználók sem képesek megvédeni felhőalapú üzleti adataikat és alkalmazásaikat.

Jó tanácsok és gondolatok

  • A felhőszolgáltatók által biztosított megfelelő biztonság szükség ahhoz, hogy a felhő ügyfelek teljesíteni tudják jogi és törvényi kötelezettségeiket.
  • A felhő ügyfeleknek kellő gondossággal kell eljárniuk és meg kell határozniuk, hogy az általuk használni kívánt felhőszolgáltatás rendelkezik-e megfelelő ellenőrzési szinttel.

 

9. Metastruktúra- és applistruktúra problémák

A metastruktúra- és az applistruktúra modellben több szinten is jelentkezhetnek problémák. Például a felhőszolgáltató rossz API-implementációja jó lehetőséget kínál a támadóknak arra, hogy a felhőszolgáltatást igénybe vevő ügyfelek számára megzavarják az adott szolgáltatás elérhetőségét, integritását vagy bizalmas természetét.

 

Üzleti hatás

A metastruktúra és az applistruktúra a felhőszolgáltatás kritikus elemei. Ezeknek a komponenseknek a felhőszolgáltató szintjén történő meghibásodása súlyos következményeket róhat az összes ügyfélre, aki a felhőszolgáltatást igénybe veszi. Ugyanakkor az ügyfél részéről alkalmazott hibás konfiguráció szintén negatívan érintheti a felhasználót pénzügyi és működési szempontból is.

 

Jó tanácsok és gondolatok

  • A felhőszolgáltatóknak biztosítaniuk kell az átláthatóságot, hogy enyhítsék az ügyfelek számára a felhővel járó áttekinthetőség nehézségeit.
  • A felhőszolgáltatást igénybe vevő ügyfeleknek megfelelő beállításokat és ellenőrzéseket kell végrehajtaniuk a felhő rendszerekben.
  • Ajánlott, hogy minden felhőszolgáltató végezzen el behatolási tesztet és annak eredményét ossza meg az ügyfelekkel.

 

10. A felhő használatának korlátozott átláthatósága

A felhőhasználat korlátozott átláthatósága azt jelenti, hogy egy szervezet nem látja át és nem tudja megvizsgálni, hogy a felhőszolgáltatás használata biztonságos vagy veszélyes a szervezeten belül.

 

Üzleti hatás

  • A szabályozás hiánya. Ha az alkalmazottak nincsenek tisztában a megfelelő hozzáférési és irányítási folyamatokkal és szabályokkal, a bizalmas vállalati adatok a privát hozzáférési helyekről könnyen nyilvános hozzáférési helyekre kerülhetnek.
  • A tudatosság hiánya. Amikor az adatokat és a szolgáltatásokat a vállalat tudta nélkül használják, IP-címüket nem tudják ellenőrizni. Ez azt jelenti, hogy az adatok nem a vállalatnál, hanem a munkavállalónál vannak.
  • A biztonság hiánya. Ha egy alkalmazott rosszul állít be egy felhőalapú szolgáltatást, akkor az könnyen hozzáférhetővé válhat mások számára is, mely nemcsak az épp rajta található adatokra, de a jövőbeli adatokra nézve is veszélyt jelenthet. Malware, botnet-ek, illegális kriptovaluta bányászat és még sok egyéb fenyegetés leselkedhet a felhőben, melyek veszélynek teszik ki a vállalati adatokat, szolgáltatásokat és pénzügyeket.

 

Jó tanácsok és gondolatok

  • Ahhoz, hogy ezeket a kockázatokat mérsékelni lehessen, arra kell törekedni, hogy a felhő minél teljesebb átláthatósága kidolgozásra kerüljön. Ez a folyamat általában egy széleskörű megoldás létrehozásával kezdődik, amely összeköti az embert, a folyamatot és a technológiát.
  • Biztosítson vállalati továbbképzést az elfogadásra került felhőhasználati szabályokról és annak gyakorlati végrehajtásáról.
  • A nem engedélyezett felhőszolgáltatásokat kockázatkezelési szempontból egy felhőbiztonsági szakember vagy egy harmadik fél vizsgálja felül és hagyja jóvá.
  • Használjon CASB (cloud access security broker) vagy SDG (sotware defined gateway) technológiát a kimenő tevékenységek elemzéséhez, a felhőhasználat feltérképezéséhez, a veszélyeztetett felhasználók felkutatásához, valamint az alkalmazottak tevékenységének nyomon követéséhez, hogy a rendellenes jelenségek azonosíthatók és kiszűrhetőek legyenek.
  • Használjon web application firewall-t (WAF) a felhőszolgáltatásokhoz beérkező összes bejövő kapcsolat elemzésére, a gyanús tendenciák, a rosszindulatú szoftverek, a túlterheléses támadások (DDoS, distributed denial-of-service) valamint a Botnet-kockázatok miatt.
  • Válasszon olyan megoldásokat, amelyeket kifejezetten a kulcsfontosságú vállalati felhőalkalmazások (vállalati erőforrás-tervezés, humántőke menedzsment, kereskedelmi tapasztalatok, ellátási lánc menedzsment) megfigyelésére és ellenőrzésére terveztek, és hozzájárulnak ahhoz, hogy a gyanús magatartások száma csökkenjen.
  • Az egész szervezeten belül vezesse be a zéró bizalom modelljét.

 

 

11. A felhőalapú szolgáltatásokkal való visszaélések

Rossz szándékú személyek a felhő számítási erőforrásait felhasználhatják végfelhasználók vagy szervezetek, illetve más felhőszolgáltatók ellen, valamint rosszindulatú programokat is tárolhatnak a felhőben. A felhőalapú erőforrásokkal való visszaélés néhány példája: DDoS támadások, email-ben spam és adathalász kampányok indítása, digitális valutabányászat, nagyszabású automatizált kattintási csalások, az ellopott hitelesítő adatbázisokkal brute-force támadás, valamint rosszindulatú- vagy kalóztartalom tárolása.

 

Üzleti hatás

  • Ha a támadó veszélyezteti az ügyfél felhő-infrastruktúrájának az irányítását, akkor a rosszindulatú személy a felhőszolgáltatást tiltott célokra is fel tudja használni, miközben az ügyfél fizet érte. A számla akár jelentős összegre is rúghat, ha a támadó lényegi erőforrásokat céloz meg, pl.: kriptovaluta bányászat.
  • A támadók a felhőt rosszindulatú szoftverek tárolására és terjesztésére is használhatják. A vállalkozásoknak ellenőrzési rendszereiket rendben kell tartaniuk ahhoz, hogy kezelni tudják ezeket az új támadási irányokat és kórokozókat. Ez olyan biztonsági technológia kiépítését is jelentheti, amely figyelemmel kíséri a felhő-infrastruktúrát vagy a felhőbe bejövő illetve a felhőből kimenő API-hívásokat.

 

Jó tanácsok és gondolatok

  • A vállalkozásoknak külön figyelemmel kell kísérniük az alkalmazottak tevékenységét a felhőben, mivel a hagyományos eljárásokkal nem lehet csökkenteni a felhőalapú szolgáltatások használatából adódó kockázatokat.
  • Alkalmazzon a felhőben adatszivárgás-megelőző rendszereket (data loss prevention, DLP), melyek észlelik és megakadályozzák a bizalmas információk jogosulatlan használatát, továbbítását.

 

A felhő – összetett mivolta miatt – tökéletes hely a támadóknak ahhoz, hogy elrejtőzködjenek és ezt a menedékhelyet, mint egy indulóállást használják ahhoz, hogy minél több kárt tudjanak okozni – nyilatkozta egy sajtóközleményben John Yeoh, a CSA kutatóintézet globális alelnöke. A fenyegetések, kockázatok és sebezhetőségek ismeretének hiánya megnehezíti a szervezetek adatvesztéssel szembeni védelmét. A leggyakoribb fenyegetésekről és biztonsági kérdésekről szóló jelen összefoglaló valójában cselekvési felhívás arra, hogy tudatosan fejlesszük és fokozzuk a számítási felhő biztonságos használatát, a beállításokat és a személyazonosság-kezelést, hitelesítést.

 

Vissza