Na czym polega bezpieczeństwo w chmurze?

Dowiedz się więcej o technologiach, procedurach, zasadach i mechanizmach kontroli, które pomagają chronić dane i systemy oparte na chmurze.

Definicja bezpieczeństwa w chmurze

Bezpieczeństwo w chmurze to dyscyplina cyberbezpieczeństwa, która skupia się na ochronie danych i systemów chmurowych przed wewnętrznymi i zewnętrznymi zagrożeniami, obejmująca najlepsze rozwiązania, zasady i technologie, które pomagają firmom zapobiegać nieautoryzowanemu dostępowi i wyciekom danych. Opracowując strategię bezpieczeństwa w chmurze, firmy muszą wziąć pod uwagę cztery typy środowisk przetwarzania w chmurze:

 

Środowiska chmury publicznej

Są one obsługiwane przez dostawców usług w chmurze. W takich środowiskach serwery są współdzielone przez wiele dzierżaw.

 

Środowiska chmury prywatnej

Mogą znajdować się w centrum danych należącym do klienta lub mogą być obsługiwane przez dostawcę usług w chmurze publicznej. W obydwu przypadkach serwery obejmują jedną dzierżawę, a organizacje nie muszą dzielić się przestrzenią z innymi firmami.

 

Środowiska chmury hybrydowej

Jest to połączenie lokalnego centrum danych i chmury innej firmy.

 

Środowisko z wieloma chmurami

Obejmuje dwie lub więcej usług w chmurze obsługiwanych przez różnych dostawców.

 

Niezależnie od tego, jakiego środowiska lub kombinacji środowisk używa organizacja, bezpieczeństwo w chmurze ma na celu ochronę sieci fizycznych, takich jak routery i systemy elektryczne, dane, magazyny danych, serwery danych, aplikacje, oprogramowanie, systemy operacyjne i sprzęt.

Dlaczego bezpieczeństwo w chmurze jest ważne?

Chmura stała się integralną częścią życia online. Sprawia, że komunikacja cyfrowa i praca są wygodniejsze oraz stymuluje szybkie opracowywanie innowacji w organizacjach. Jednak gdy przyjaciele udostępniają między sobą zdjęcia, współpracownicy pracują nad nowym produktem, a instytucje rządowe wprowadzają usługi online, nie zawsze do końca wiadomo, gdzie te dane są tak naprawdę przechowywane. Ludzie mogą nieumyślnie przenieść dane do mniej bezpiecznej lokalizacji, a ponieważ wszystko jest dostępne przez Internet, zasoby są bardziej narażone na nieautoryzowany dostęp.

 

Ochrona prywatności danych również jest coraz ważniejsza dla ludzi i instytucji rządowych. Regulacje takie jak Ogólne rozporządzenie o ochronie danych osobowych (RODO) i ustawa HIPAA (Health Insurance Portability and Accountability Act) wymagają od organizacji gromadzących informacje, aby robiły to w sposób przejrzysty i stosowały zasady, które zapobiegają kradzieży lub niewłaściwemu wykorzystaniu danych. Ich nieprzestrzeganie może skutkować wysokimi grzywnami i utratą reputacji.

 

W celu zachowania konkurencyjności organizacje muszą nadal korzystać z chmury, aby szybko się dostosowywać i ułatwiać pracownikom i klientom dostęp do usług, jednocześnie chroniąc dane i systemy przed następującymi zagrożeniami:

  • Naruszenie zabezpieczeń konta: atakujący często stosują kampanie wyłudzania informacji, aby wykraść hasła pracowników i uzyskać dostęp do systemów i cennych zasobów korporacyjnych.
  • Luki w zabezpieczeniach sprzętu i oprogramowania: niezależnie od tego, czy organizacja używa chmury publicznej, czy prywatnej, niezwykle ważne jest stosowanie poprawek do sprzętu i oprogramowania oraz ich regularne aktualizowanie.
  • Zagrożenia wewnętrzne: błąd ludzki jest główną przyczyną naruszeń zabezpieczeń. Nieprawidłowa konfiguracja może otworzyć punkty wejścia dla osób o złych zamiarach, a pracownicy często klikają złośliwe linki lub nieumyślnie przenoszą dane do lokalizacji o mniejszym poziomie bezpieczeństwa.

Jak działa bezpieczeństwo w chmurze?

Bezpieczeństwo w chmurze to wspólny obowiązek dostawców usług w chmurze i ich klientów. Odpowiedzialność różni się w zależności o typu oferowanych usług:

 

Infrastruktura jako usługa

W tym modelu dostawca usług w chmurze oferuje zasoby obliczeniowe, sieciowe i magazynowe na żądanie. Dostawca odpowiada za zabezpieczenie podstawowych usług obliczeniowych. Klient musi zabezpieczyć wszystko, co działa w systemie operacyjnym, w tym aplikacje, dane, środowiska uruchomieniowe i oprogramowanie pośredniczące, a także sam system operacyjny.

 

Platforma jako usługa

Wielu dostawców oferuje kompletne środowisko programistyczne i wdrożeniowe w chmurze. W takim przypadku, poza ochroną podstawowych usług obliczeniowych, są oni odpowiedzialni także za ochronę środowiska uruchomieniowego, oprogramowania pośredniczącego i systemu operacyjnego. Klient musi zabezpieczyć swoje aplikacje, dane, dostęp użytkowników oraz urządzenia i sieci użytkowników końcowych.

 

Oprogramowanie jako usługa

Organizacje mogą także uzyskiwać dostęp do oprogramowania w modelu płatności zgodnie z rzeczywistym użyciem, tak jak w przypadku rozwiązań Microsoft Office 365 czy Google Drive. W tym modelu klient musi zabezpieczyć swoje dane, użytkowników i urządzenia.

 

Niezależnie od podziału odpowiedzialności istnieją cztery główne aspekty bezpieczeństwa w chmurze:

  • Ograniczenia dostępu: w chmurze wszystko jest dostępne przez Internet, dlatego niezwykle ważne jest, aby tylko odpowiednie osoby miały dostęp do odpowiednich narzędzi przez odpowiednią ilość czasu.
  • Ochrona danych: organizacje muszą wiedzieć, gdzie znajdują się ich dane, i zastosować odpowiednie mechanizmy kontroli w celu zabezpieczenia zarówno danych, jak i infrastruktury, w której te dane są hostowane.
  • Odzyskiwanie danych: dobre rozwiązanie do tworzenia kopii zapasowych i plan odzyskiwania danych mają kluczowe znaczenie w przypadku naruszenia.
  • Plan reagowania: kiedy organizacja zostanie zaatakowana, potrzebuje planu, aby zminimalizować konsekwencje i zapobiec naruszeniu innych systemów.

Typy narzędzi zabezpieczeń w chmurze

Narzędzia zabezpieczeń w chmurze chronią zarówno przed błędami ludzkimi, jak i przed zagrożeniami zewnętrznymi. Ponadto pozwalają uniknąć błędów występujących podczas wdrażania i minimalizują ryzyko dostępu do poufnych danych przez osoby nieupoważnione.

  • Zarządzanie stanem zabezpieczeń chmury

    Błędne konfiguracje chmury zdarzają się często i stanowią okazję do naruszenia zabezpieczeń. Wiele z tych błędów wynika z braku zrozumienia, że to klient jest odpowiedzialny za skonfigurowanie chmury i zabezpieczenie aplikacji. Ponadto łatwo jest popełnić błąd w dużych korporacjach ze złożonymi środowiskami.

     

    Rozwiązanie do zarządzania stanem zabezpieczeń chmury pomaga zminimalizować ryzyko dzięki stałemu wyszukiwaniu błędów konfiguracji, które mogą prowadzić do naruszenia. Dzięki automatyzacji te rozwiązania zmniejszają prawdopodobieństwo wystąpienia błędów w procesach ręcznych i zwiększają wgląd w środowiska z tysiącami usług i kont. Gdy luka w zabezpieczeniach zostanie wykryta, deweloperzy mogą rozwiązać problem, korzystając z rekomendacji z instrukcjami. Ponadto rozwiązanie do zarządzania stanem zabezpieczeń chmury stale monitoruje środowisko pod kątem złośliwej aktywności i nieautoryzowanego dostępu.

  • Platforma ochrony obciążeń pracą w chmurze

    Ze względu na to, że organizacje wdrożyły procesy, które pomagają deweloperom w szybszym tworzeniu i wdrażaniu funkcji, istnieje większe ryzyko pominięcia kontroli bezpieczeństwa podczas ich opracowywania. Platforma ochrony obciążeń pracą w chmurze pomaga zabezpieczyć funkcje obliczeniowe, magazynowe i sieciowe wymagane przez aplikacje w chmurze. Jej działanie polega na identyfikowaniu obciążeń w publicznych, prywatnych i hybrydowych środowiskach chmurowych i skanowanie ich w poszukiwaniu luk w zabezpieczeniach. W przypadku wykrycia luki rozwiązanie sugeruje odpowiednie działania naprawcze.

  • Broker zabezpieczeń dostępu do chmury

    Ze względu na to, że tak łatwo jest znaleźć i uzyskać dostęp do usług w chmurze, dział IT może mieć trudności z kontrolowaniem całego oprogramowania używanego w organizacji.

     

    Broker zabezpieczeń dostępu do chmury (CASB) pomaga działowi IT uzyskać wgląd w użycie aplikacji chmurowych i dostarcza ocenę ryzyka dla każdej aplikacji. Te rozwiązania pomagają także w ochronie danych i osiągnięciu celów dotyczących zgodności z przepisami dzięki narzędziom pokazującym ruch danych w chmurze. Organizacje używają także tych narzędzi do wykrywania nietypowego zachowania użytkowników i zapobiegania zagrożeniom.

  • Tożsamość i dostęp

    Kontrolowanie, kto ma dostęp do zasobów, ma krytyczne znaczenia dla ochrony danych w chmurze. Organizacje muszą mieć możliwość zapewnienia pracownikom, kontrahentom i partnerom biznesowym odpowiedniego dostępu, niezależnie od tego, czy pracują oni na miejscu, czy zdalnie.

     

    Organizacje używają rozwiązań do obsługi tożsamości i dostępu w celu weryfikowania tożsamości, ograniczania dostępu do poufnych zasobów i wymuszania uwierzytelniania wieloskładnikowego oraz zasad przyznawania najniższych koniecznych uprawnień.

  • Zarządzanie uprawnieniami w infrastrukturze chmury

    Zarządzanie tożsamościami i dostępem staje się jeszcze bardziej skomplikowane w przypadku dostępu do danych w wielu chmurach. Rozwiązanie do zarządzania uprawnieniami w infrastrukturze chmury pomaga firmie uzyskać wgląd w to, które tożsamości uzyskują dostęp do których zasobów na platformach w chmurze. Zespoły IT za pomocą tych produktów stosują także dostęp z najmniejszymi uprawnieniami i inne zasady zabezpieczeń.

Jakie są wyzwania dotyczące zapewniania bezpieczeństwa w chmurze?

Wzajemne połączenia chmury ułatwiają pracę i interakcje online, ale stwarzają również zagrożenia bezpieczeństwa. Zespoły ds. zabezpieczeń potrzebują rozwiązań, które pomogą im sprostać następującym kluczowym wyzwaniom w chmurze:

  • Brak widoczności danych

    Aby utrzymać produktywność organizacji, dział IT musi zapewniać pracownikom, partnerom biznesowym i kontrahentom dostęp do zasobów i informacji firmy. Wiele z tych osób pracuje zdalnie lub poza siecią firmową, a w dużych przedsiębiorstwach lista autoryzowanych użytkowników stale się zmienia. Przy tak wielu osobach uzyskujących dostęp do zasobów firmy w różnych chmurach publicznych i prywatnych za pomocą wielu urządzeń trudno jest monitorować, które usługi są używane i jak dane są przesyłane w chmurze. Zespoły techniczne muszą mieć pewność, że dane nie zostaną przeniesione do mniej bezpiecznych rozwiązań magazynowych, i muszą uniemożliwić niewłaściwym osobom uzyskanie dostępu do informacji poufnych.

  • Złożone środowiska

    Chmura zdecydowanie ułatwiła wdrażanie infrastruktury i aplikacji. Dzięki tak wielu różnym dostawcom i usługom zespół IT może wybrać środowisko, które najlepiej odpowiada wymaganiom każdego produktu. Doprowadziło to do powstania złożonych środowisk obejmujących środowiska lokalne oraz chmury publiczne i prywatne. Hybrydowe środowisko składające się z wielu chmur wymaga rozwiązań zabezpieczających, które działają w całym ekosystemie i chronią ludzi uzyskujących dostęp do różnych zasobów z różnych miejsc. Błędy konfiguracji są bardziej prawdopodobne, a monitorowanie zagrożeń przemieszczających się prostopadle w tych złożonych środowiskach może być trudne.

  • Błyskawiczne innowacje

    Połączenie różnych czynników umożliwiło organizacjom szybkie wprowadzanie innowacji i wdrażanie nowych produktów. Sztuczna inteligencja, uczenie maszynowe i technologia internetu rzeczy pozwoliły organizacjom na wydajniejsze gromadzenie i wykorzystywanie danych. Dostawcy usług w chmurze oferują usługi z małym użyciem kodu lub w ogóle bez kodu, aby ułatwić firmom korzystanie z zaawansowanych technologii. Procesy DevOps skróciły cykl tworzenia oprogramowania. A dzięki temu, że większa część infrastruktury jest hostowana w chmurze, wiele organizacji przesunęło zasoby na badania i rozwój. Minusem szybkich innowacji jest tak szybka zmiana technologii, że standardy bezpieczeństwa są często pomijane.

  • Zgodność z przepisami i zapewnianie ładu

    Mimo że większość głównych dostawców usług w chmurze przestrzega kilku dobrze znanych programów akredytacji zgodności, to obowiązkiem klienta korzystającego z chmury jest zapewnienie zgodności obciążeń z normami rządowymi i wewnętrznymi.

  • Zagrożenia wewnętrzne

    Pracownicy są jednym z największych zagrożeń dla bezpieczeństwa firmy. Wiele naruszeń zaczyna się, gdy pracownik klika link, który pobiera złośliwe oprogramowanie. Niestety organizacje muszą również uważać na osoby z wewnątrz, które celowo przekazują dane.

Implementowanie bezpieczeństwa w chmurze

Zminimalizowanie ryzyka cyberataku na środowisko chmurowe jest możliwe dzięki odpowiedniej kombinacji procesów, kontroli i technologii.

 

Platforma aplikacji natywnych dla chmury, która zawiera platformę ochrony obciążeń pracą w chmurze, rozwiązanie do zarządzania uprawnieniami w infrastrukturze chmury i rozwiązanie do zarządzania stanem zabezpieczeń chmury pomoże Ci zmniejszyć liczbę błędów, wzmocnić zabezpieczenia i skutecznie zarządzać dostępem. 

 

Aby wesprzeć inwestycję w technologię, przeprowadzaj regularne szkolenia, aby pracownicy wiedzieli, jak rozpoznać kampanie wyłudzania informacji i inne techniki inżynierii społecznej. Zapewnij łatwy sposób powiadamiania działu IT, jeśli ktoś podejrzewa, że otrzymał złośliwą wiadomość e-mail. Przeprowadzaj symulacje wyłudzania informacji, aby monitorować efektywność programu.

 

Opracuj procesy, które ułatwią zapobieganie atakowi, wykrywanie go oraz reagowanie na niego. Regularnie stosuj poprawki oprogramowania i sprzętu, aby zmniejszyć liczbę luk w zabezpieczeniach. Szyfruj poufne dane i opracuj zasady dotyczące silnych haseł, aby zmniejszyć ryzyko naruszenia zabezpieczeń kont. Uwierzytelnianie wieloskładnikowe znacząco utrudnia uzyskanie dostępu nieupoważnionym użytkownikom, a technologie bezhasłowe są łatwiejsze w użyciu i bezpieczniejsze, niż tradycyjne hasło.

 

Biorąc pod uwagę modele pracy hybrydowej, które zapewniają pracownikom elastyczność pracy w biurze i zdalnie, organizacje potrzebują nowego modelu ochrony osób, urządzeń, aplikacji i danych bez względu na to, gdzie się znajdują. Struktura modelu Zero Trust jest oparta na założeniu, że nie można już ufać żądaniu dostępu, nawet jeśli pochodzi z wnętrza sieci. Aby zmniejszyć ryzyko, zakładaj, że doszło do naruszeń bezpieczeństwa i jawnie weryfikuj wszystkie żądania dostępu. Wdróż dostęp o najniższych uprawnieniach, aby zapewnić osobom dostęp tylko i wyłącznie do tych zasobów, których potrzebują.

Rozwiązania do zapewniania bezpieczeństwa w chmurze

Pomimo tego, że z chmurą wiążą się nowe zagrożenia bezpieczeństwa, odpowiednie rozwiązania zabezpieczeń w chmurze, procesy i zasady mogą znacząco obniżyć to ryzyko. Zacznij od następujących kroków:

  • Zidentyfikuj wszystkich dostawców usług w chmurze, z których korzysta organizacja, i zapoznaj się z ich zakresem odpowiedzialności w obszarze zabezpieczeń i ochrony prywatności.
  • Zainwestuj w narzędzia takie jak broker zabezpieczeń aplikacji w chmurze, aby zyskać wgląd w aplikacje i dane używane przez organizację.
  • Wdróż zarządzanie stanem zabezpieczeń chmury, aby zidentyfikować i naprawić błędy konfiguracji.
  • Zaimplementuj platformę ochrony obciążeń pracą w chmurze, aby wbudować zabezpieczenia w procesy programistyczne.
  • Regularnie stosuj poprawki oprogramowania i wprowadzaj zasady, aby urządzenia pracowników były zawsze aktualne.
  • Wprowadź program szkoleniowy, aby mieć pewność, że pracownicy znają najnowsze zagrożenia i taktyki wyłudzania informacji.
  • Zaimplementuj strategię zabezpieczeń opartą na modelu Zero Trust oraz stosuj rozwiązania do zarządzania tożsamościami i dostępem, aby chronić dostęp.

Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft

Często zadawane pytania

|

Bezpieczeństwo w chmurze to wspólny obowiązek dostawców usług w chmurze i ich klientów. Odpowiedzialność różni się w zależności o typu oferowanych usług:

 

Infrastruktura jako usługa. W tym modelu dostawca usług w chmurze oferuje zasoby obliczeniowe, sieciowe i magazynowe na żądanie. Dostawca odpowiada za bezpieczeństwo podstawowych usług obliczeniowych. Klient musi zabezpieczyć wszystko, co działa w systemie operacyjnym, w tym aplikacje, dane, środowiska uruchomieniowe i oprogramowanie pośredniczące, a także systemy operacyjne.

 

Platforma jako usługa. Wielu dostawców oferuje kompletne środowisko programistyczne i wdrożeniowe w chmurze. W takim przypadku, poza ochroną podstawowych usług obliczeniowych, są oni odpowiedzialni także za ochronę środowiska uruchomieniowego, oprogramowania pośredniczącego i systemu operacyjnego. Klient musi zabezpieczyć swoje aplikacje, dane, dostęp użytkowników oraz urządzenia i sieci użytkowników końcowych.

 

Oprogramowanie jako usługa. Organizacje mogą także uzyskiwać dostęp do oprogramowania w modelu płatności zgodnie z rzeczywistym użyciem, tak jak w przypadku rozwiązań Microsoft Office 365 czy Google Drive. W tym modelu klient musi zabezpieczyć swoje dane, użytkowników i urządzenia.

Cztery narzędzia pomagają firmom chronić zasoby w chmurze:

  • Platforma ochrony obciążeń pracą w chmurze pomaga zabezpieczyć funkcje obliczeniowe, magazynowe i sieciowe wymagane przez aplikacje w chmurze. Jej działanie polega na identyfikowaniu obciążeń w publicznych, prywatnych i hybrydowych środowiskach chmurowych i skanowanie ich w poszukiwaniu luk w zabezpieczeniach. W przypadku wykrycia luki rozwiązanie sugeruje odpowiednie działania naprawcze.
  • Brokery zabezpieczeń aplikacji w chmurze pomagają działowi IT uzyskać wgląd w użycie aplikacji chmurowych i dostarczają ocenę ryzyka dla każdej aplikacji. Te rozwiązania pomagają także w ochronie danych i osiągnięciu celów dotyczących zgodności z przepisami dzięki narzędziom pokazującym ruch danych w chmurze. Organizacje używają także brokerów zabezpieczeń aplikacji w chmurze do wykrywania nietypowego zachowania użytkowników i zapobiegania zagrożeniom.
  • Rozwiązanie do zarządzania stanem zabezpieczeń chmury pomaga zminimalizować ryzyko dzięki stałemu wyszukiwaniu błędów konfiguracji, które mogą prowadzić do naruszenia. Dzięki automatyzacji te rozwiązania zmniejszają prawdopodobieństwo wystąpienia błędów w procesach ręcznych i zwiększają wgląd w środowiska z tysiącami usług i kont. Gdy luka w zabezpieczeniach zostanie wykryta, te rozwiązania dostarczają rekomendacje z instrukcjami, aby pomóc deweloperom rozwiązać problem.
  • Rozwiązania do zarządzania tożsamościami i dostępem zapewniają narzędzia umożliwiające zarządzanie tożsamościami i stosowanie zasad dostępu. Organizacje używają tych rozwiązań w celu ograniczenia dostępu do poufnych zasobów i wymuszania uwierzytelniania wieloskładnikowego oraz dostępu z najmniejszymi uprawnieniami.

Istnieją cztery obszary, które organizacje muszą wziąć pod uwagę przy wprowadzaniu procedur i zasad w celu ochrony swoich chmur:

  • Ograniczenia dostępu: w chmurze wszystko jest dostępne przez Internet, dlatego niezwykle ważne jest, aby tylko odpowiednie osoby miały dostęp do odpowiednich narzędzi przez odpowiednią ilość czasu.
  • Ochrona danych: organizacje muszą wiedzieć, gdzie znajdują się ich dane, i zastosować odpowiednie mechanizmy kontroli w celu zabezpieczenia zarówno infrastruktury, w której dane są hostowane i przechowywane, oraz samych danych.
  • Odzyskiwanie danych: dobre rozwiązanie do tworzenia kopii zapasowych i plan odzyskiwania danych mają kluczowe znaczenie w przypadku naruszenia.
  • Plan reagowania: kiedy bezpieczeństwo organizacji zostanie naruszone, potrzebuje ona planu, aby zminimalizować konsekwencje i zapobiec naruszeniu innych systemów.

Organizacje muszą uważać na następujące zagrożenia chmury:

  • Naruszenie zabezpieczeń konta: atakujący często stosują kampanie wyłudzania informacji, aby wykraść hasła pracowników i uzyskać dostęp do systemów i cennych zasobów korporacyjnych.
  • Luki w zabezpieczeniach sprzętu i oprogramowania: niezależnie od tego, czy organizacja używa chmury publicznej, czy prywatnej, niezwykle ważne jest stosowanie poprawek do sprzętu i oprogramowania oraz ich regularne aktualizowanie.
  • Zagrożenia wewnętrzne: błąd ludzki jest główną przyczyną naruszeń zabezpieczeń. Nieprawidłowa konfiguracja może otworzyć punkty wejścia dla osób o złych zamiarach. Pracownicy często klikają złośliwe linki lub nieumyślnie przenoszą dane do lokalizacji o mniejszym poziomie bezpieczeństwa.