Nobeastsofierce – Fotolia
Uslijedilo napada ‘CodeFinger’ “CodeFinger” protiv korisnika AWS S3, Thales Rob Elliss tvrdi da mnoge organizacije ispuštaju loptu kada je u pitanju njihovo razumijevanje najbolje prakse za sigurnost u oblaku
Od
- Rob Ellis, Thales
Objavljeno: 03. apr 2025
Zahvaljujući računalu u oblaku, organizacije svih oblika i veličina imaju koristi od fleksibilnosti IT kapaciteta bez troškova i izazova održavanja vlastite infrastrukture. Hyperscale Javni provajderi oblaka i Alati SaaS za pomoć u velikom nizu poslovnih procesa bili su posebna blagodata za male i brze rastuće organizacije, pomažući im da pređu vrstu njenog resursa da bi se prije nekoliko mjeseci i značajnih financijskih troškova za izgradnju i održao.
Zaboravite na ‘set i zaboravite’
Međutim, koristeći efikasno koristeći računar u oblaku i sigurno, zahtijeva njegu. Jedan od velikih crteža usluga u oblaku, sposobnost je razmjene resursa gore-dolje po potrebi. Možda postoji projekat koji počinje za nekoliko mjeseci koji će zahtijevati određenu obradu i analizu podataka ili postoje sezonski zahtjevi za usluge koje su potrebni dodatni resurs. Oblak omogućava poduzećama da ispune ove potrebe bez da plaćaju da zadrže taj rezervni kapacitet okolo. Ali prednosti samo plaćanja onoga što su potrebne moguća su samo ako se poslovanje nastavlja na vrhu gdje se njihovi podaci pohranjuju, a u kojim slovima – umjesto pada u zamku postavke i zaboravljanje.
Isto se odnosi i na osiguranje ovih podataka. Pod većini javnih dobavljača oblaka postoji zajednička odgovornost između provajdera za oblak i kupca za sigurnost i dostupnost pohranjenih podataka. To može varirati široko ovisno o vrsti usluge koja je nabavljena, tako da je važno da sve organizacije pažljivo razmisle onim što se podaci najbolje pohranjuju tamo gdje i na kojem nivou sigurnosti.
U praksi je ovo lakše reći nego učiniti. Nije svaka organizacija ima tehničko znanje da bi se zadržalo na vrhu konfiguriranja i upravljanja njihovim oblačnim uslugama – bez obzira koliko kritični mogu biti da bi držali organizaciju. Drugi mogu misliti da imaju sigurnost kroz nejasnost da budu samo jedan od mnogih miliona javnih kupaca u oblaku – ili zato što još nisu doživeli napad, kao što je to naivno.
Organizacije također mogu biti nejasne na detaljima ugovora koji su potpisali – još uvijek su pravno odgovorni za sigurnost vlastitih podataka, gdje god se čuva. Javni provajderi oblaka mogu djelovati na karantene koji su pogođeni ključevima za šifriranje ako se otkriju kršenje, ali ako su narušavanje javnih oblaka kompromitiraju i podaci se održavaju za otkupninu, za koje se bave malo pružatelja usluga.
Rizici slabo upravljanih ključevima za šifriranje
Nedavni napadi na instance za pohranu u oblaku naglašavaju važnost da se ovo pravo. Jednoj grupi Cyber kriminala na primjer je nazvala “CodeFinger”, napadali su najmanje dvije žrtve krađim avertiranim averskim računima za korisnike i korištenjem ugrađene enkripcije za zaključavanje njihovih podataka. To je omogućeno činjenicom da mnoge kompanije ne prate redovno i reviziju ključeva za šifriranje koje imaju na mjestu, ukidaju dozvole za one koji više nisu potrebni.
Također postoje dupliciranje i izazovi vidljivosti, s preko polovine (53%) organizacija koje navode pet ili više ključnih sustava upravljanja, prema izvještaju o prijetnji prijetnji prijetnjom prijetnji 1224. Upravljanje ključem za šifriranje mora se uzeti tako ozbiljno kao što je sva ostala cibernetička mjera mjera koja organizira organizacija.
Odvajanje dužnosti
Srećom, efikasne prakse oko generacije, skladištenja i upotrebe ključeva za šifriranje očito su određene neko vrijeme. Snaga odabranih ključeva, na primjer, treba se uskladiti sa osjetljivošću podataka. Neke aplikacije mogu imati koristi od upotrebe RSA ključnih parova, tako da treće strane mogu autentificirati s javnim ključem, dok podaci ostaju šifrirani privatnim ključem.
Održavanje odvajanja dužnosti je takođe preporučljivo, tako da oni koji stvaraju i upravljaju ključevima takođe nemaju pristup zaštićenim podacima. Dijeljenje odgovornosti na taj način smanjuje rizik od uspješnog napada na socijalnom inženjerstvu ili vjerodajnom kompromisu, koji bi tada mogli dati prijetnju akteri potpuni administrativni pristup.
Praćenje i koordinacija upotrebe ključeva za šifriranje je takođe lakše ako se pohranjuju u sigurnom trezoru sa specifičnim dozvolama, ili ako se koristi hardver sigurnosni modul (HSM) za pohranu glavnih tipki. Dobra je ideja ograničiti količinu podataka koji se mogu šifrirati jednim ključem, kao i mandatirati kriptorno razdoblje za svaki ključ – tako da se novo šifrirani podaci mogu pristupiti samo s novom verzijom ključeva.
Centralizirani sistem
Kada uzmite u obzir da organizacija može imati milione ključeva i operacija koje se trebaju upravljati u više okruženja i za strukturirane i nestrukturirane podatke, imajući centralizirani sustav najbolji način za primjenu ovih praksi stalno i rigorozno. Postoji i sve veći broj propisa i standarda širom svijeta koji mandat stroge kontrole nad ključevima za šifriranje – tako da ove prakse više nisu samo “lijepo imati”, u stvari su u stvari za poslovanje.
Vrijednost raspoloživanja IT resursa bilo u bilo koje vrijeme, bilo gdje preko Clounda bilo je neizmjerno za moderno poslovanje, ali u utrci će iskoristiti ove usluge, preduzeća ne smiju zaboraviti da pravna odgovornost za sigurnost njihovih podataka ostaje s njima.
Rob Elliss je EMEA potpredsjednik, podaci i sigurnost primjene na Thalesu.
Pročitajte više o sigurnosti u oblaku
-
Sigurnosni istraživački rezervoar: Osiguravanje današnjeg sveprisutnog okruženja u oblaku
-
Sigurnosni istraživački rezervoar: Korisnički vodič za šifriranje
Napisao: Andrew Morris
-
Zašto su sistemi od presudnog značaja za osiguranje multicloud arhitekture
Napisao: Peter Allison
-
Postizanje okretnosti, saradnje i kontrole podataka u oblaku