Hogyan lehet megelőzni a felhőben jelentkező 11 legfontosabb veszélyt? 2. rész
7. Nem biztonságos interfészek és alkalmazásprogramozási felületek (API-k)
Fenyegetettség szempontjából egy rendszeren belül általában az alkalmazásprogramozási felületek (API, Application Programming Interfaces) és a felhasználói felületek (UI, Users Interfaces) jelentik leginkább az elsőszámú veszélyforrást, hiszen ezek gyakran az egyetlen olyan, nyilvános IP-címmel rendelkező eszközök, melyek megbízható körön kívül is könnyen hozzáférhetővé válhatnak. A hitelesítéstől kezdve, a hozzáférés-ellenőrzésen és a titkosításon át a tevékenységek megfigyeléséig, ezeket az interfészeket úgy kell megtervezni, hogy mind a véletlen és rosszindulatú kísérletekkel, és mind a kijátszható védelemmel szemben is biztonságosak legyenek.
Üzleti hatás
Bár a legtöbb felhőszolgáltató igyekszik megfelelő védelmet integrálni modelljébe, a felhő ügyfeleinek is tisztában kell lenniük a biztonsági következményekkel. A gyenge interfészek és API-k a szervezeteket számos biztonsági veszélynek teszik ki, melyek a titoktartással, az integritással, a rendelkezésre állással és az elszámoltathatósággal kapcsolatosak.
Jó tanácsok és gondolatok
- Alkalmazzon megfelelő API-higiéniát, mely magában foglalja az olyan folyamatok gondos felügyeletét, mint a leltár, a tesztelés, az ellenőrzés és a rendellenes tevékenységekkel szembeni védelem.
- Biztosítsa az API-kulcsok megfelelő védelmét és kerülje az újrafelhasználást.
- Fontolja meg a standard és a nyílt API frameworks használatát (pl. OCCI, Open Cloud Computing Interface illetve CIMI, Cloud Infrastructure Management Interface).
8. Gyenge ellenőrzési szint
Az ellenőrzési szint az adatoknál lehetővé teszi a megfelelő biztonságot és az integritást, mely az adatok stabilitásához járul hozzá. A gyenge ellenőrzési szint azt jelenti, hogy a felelős személy nem tart teljes kontrollt az adatinfrastruktúra logikai-, biztonsági- és ellenőrzési rendszere felett.
Üzleti hatás
- A gyenge ellenőrzési szint adatvesztéshez vezethet, lopás vagy korrupciós okokból kifolyólag. Az adatvesztésért törvényes büntetés is felmerülhet.
- Gyenge ellenőrzési szint esetén előfordulhat, hogy a felhasználók sem képesek megvédeni felhőalapú üzleti adataikat és alkalmazásaikat.
Jó tanácsok és gondolatok
- A felhőszolgáltatók által biztosított megfelelő biztonság szükség ahhoz, hogy a felhő ügyfelek teljesíteni tudják jogi és törvényi kötelezettségeiket.
- A felhő ügyfeleknek kellő gondossággal kell eljárniuk és meg kell határozniuk, hogy az általuk használni kívánt felhőszolgáltatás rendelkezik-e megfelelő ellenőrzési szinttel.
9. Metastruktúra- és applistruktúra problémák
A metastruktúra- és az applistruktúra modellben több szinten is jelentkezhetnek problémák. Például a felhőszolgáltató rossz API-implementációja jó lehetőséget kínál a támadóknak arra, hogy a felhőszolgáltatást igénybe vevő ügyfelek számára megzavarják az adott szolgáltatás elérhetőségét, integritását vagy bizalmas természetét.
Üzleti hatás
A metastruktúra és az applistruktúra a felhőszolgáltatás kritikus elemei. Ezeknek a komponenseknek a felhőszolgáltató szintjén történő meghibásodása súlyos következményeket róhat az összes ügyfélre, aki a felhőszolgáltatást igénybe veszi. Ugyanakkor az ügyfél részéről alkalmazott hibás konfiguráció szintén negatívan érintheti a felhasználót pénzügyi és működési szempontból is.
Jó tanácsok és gondolatok
- A felhőszolgáltatóknak biztosítaniuk kell az átláthatóságot, hogy enyhítsék az ügyfelek számára a felhővel járó áttekinthetőség nehézségeit.
- A felhőszolgáltatást igénybe vevő ügyfeleknek megfelelő beállításokat és ellenőrzéseket kell végrehajtaniuk a felhő rendszerekben.
- Ajánlott, hogy minden felhőszolgáltató végezzen el behatolási tesztet és annak eredményét ossza meg az ügyfelekkel.
10. A felhő használatának korlátozott átláthatósága
A felhőhasználat korlátozott átláthatósága azt jelenti, hogy egy szervezet nem látja át és nem tudja megvizsgálni, hogy a felhőszolgáltatás használata biztonságos vagy veszélyes a szervezeten belül.
Üzleti hatás
- A szabályozás hiánya. Ha az alkalmazottak nincsenek tisztában a megfelelő hozzáférési és irányítási folyamatokkal és szabályokkal, a bizalmas vállalati adatok a privát hozzáférési helyekről könnyen nyilvános hozzáférési helyekre kerülhetnek.
- A tudatosság hiánya. Amikor az adatokat és a szolgáltatásokat a vállalat tudta nélkül használják, IP-címüket nem tudják ellenőrizni. Ez azt jelenti, hogy az adatok nem a vállalatnál, hanem a munkavállalónál vannak.
- A biztonság hiánya. Ha egy alkalmazott rosszul állít be egy felhőalapú szolgáltatást, akkor az könnyen hozzáférhetővé válhat mások számára is, mely nemcsak az épp rajta található adatokra, de a jövőbeli adatokra nézve is veszélyt jelenthet. Malware, botnet-ek, illegális kriptovaluta bányászat és még sok egyéb fenyegetés leselkedhet a felhőben, melyek veszélynek teszik ki a vállalati adatokat, szolgáltatásokat és pénzügyeket.
Jó tanácsok és gondolatok
- Ahhoz, hogy ezeket a kockázatokat mérsékelni lehessen, arra kell törekedni, hogy a felhő minél teljesebb átláthatósága kidolgozásra kerüljön. Ez a folyamat általában egy széleskörű megoldás létrehozásával kezdődik, amely összeköti az embert, a folyamatot és a technológiát.
- Biztosítson vállalati továbbképzést az elfogadásra került felhőhasználati szabályokról és annak gyakorlati végrehajtásáról.
- A nem engedélyezett felhőszolgáltatásokat kockázatkezelési szempontból egy felhőbiztonsági szakember vagy egy harmadik fél vizsgálja felül és hagyja jóvá.
- Használjon CASB (cloud access security broker) vagy SDG (sotware defined gateway) technológiát a kimenő tevékenységek elemzéséhez, a felhőhasználat feltérképezéséhez, a veszélyeztetett felhasználók felkutatásához, valamint az alkalmazottak tevékenységének nyomon követéséhez, hogy a rendellenes jelenségek azonosíthatók és kiszűrhetőek legyenek.
- Használjon web application firewall-t (WAF) a felhőszolgáltatásokhoz beérkező összes bejövő kapcsolat elemzésére, a gyanús tendenciák, a rosszindulatú szoftverek, a túlterheléses támadások (DDoS, distributed denial-of-service) valamint a Botnet-kockázatok miatt.
- Válasszon olyan megoldásokat, amelyeket kifejezetten a kulcsfontosságú vállalati felhőalkalmazások (vállalati erőforrás-tervezés, humántőke menedzsment, kereskedelmi tapasztalatok, ellátási lánc menedzsment) megfigyelésére és ellenőrzésére terveztek, és hozzájárulnak ahhoz, hogy a gyanús magatartások száma csökkenjen.
- Az egész szervezeten belül vezesse be a zéró bizalom modelljét.
11. A felhőalapú szolgáltatásokkal való visszaélések
Rossz szándékú személyek a felhő számítási erőforrásait felhasználhatják végfelhasználók vagy szervezetek, illetve más felhőszolgáltatók ellen, valamint rosszindulatú programokat is tárolhatnak a felhőben. A felhőalapú erőforrásokkal való visszaélés néhány példája: DDoS támadások, email-ben spam és adathalász kampányok indítása, digitális valutabányászat, nagyszabású automatizált kattintási csalások, az ellopott hitelesítő adatbázisokkal brute-force támadás, valamint rosszindulatú- vagy kalóztartalom tárolása.
Üzleti hatás
- Ha a támadó veszélyezteti az ügyfél felhő-infrastruktúrájának az irányítását, akkor a rosszindulatú személy a felhőszolgáltatást tiltott célokra is fel tudja használni, miközben az ügyfél fizet érte. A számla akár jelentős összegre is rúghat, ha a támadó lényegi erőforrásokat céloz meg, pl.: kriptovaluta bányászat.
- A támadók a felhőt rosszindulatú szoftverek tárolására és terjesztésére is használhatják. A vállalkozásoknak ellenőrzési rendszereiket rendben kell tartaniuk ahhoz, hogy kezelni tudják ezeket az új támadási irányokat és kórokozókat. Ez olyan biztonsági technológia kiépítését is jelentheti, amely figyelemmel kíséri a felhő-infrastruktúrát vagy a felhőbe bejövő illetve a felhőből kimenő API-hívásokat.
Jó tanácsok és gondolatok
- A vállalkozásoknak külön figyelemmel kell kísérniük az alkalmazottak tevékenységét a felhőben, mivel a hagyományos eljárásokkal nem lehet csökkenteni a felhőalapú szolgáltatások használatából adódó kockázatokat.
- Alkalmazzon a felhőben adatszivárgás-megelőző rendszereket (data loss prevention, DLP), melyek észlelik és megakadályozzák a bizalmas információk jogosulatlan használatát, továbbítását.
A felhő – összetett mivolta miatt – tökéletes hely a támadóknak ahhoz, hogy elrejtőzködjenek és ezt a menedékhelyet, mint egy indulóállást használják ahhoz, hogy minél több kárt tudjanak okozni – nyilatkozta egy sajtóközleményben John Yeoh, a CSA kutatóintézet globális alelnöke. A fenyegetések, kockázatok és sebezhetőségek ismeretének hiánya megnehezíti a szervezetek adatvesztéssel szembeni védelmét. A leggyakoribb fenyegetésekről és biztonsági kérdésekről szóló jelen összefoglaló valójában cselekvési felhívás arra, hogy tudatosan fejlesszük és fokozzuk a számítási felhő biztonságos használatát, a beállításokat és a személyazonosság-kezelést, hitelesítést.
Vissza