BrandChannel Invitech 2019. július. 30. 07:30

Bárány vagy vihar? Amit a felhőbiztonságról tudni érdemes!

A felhőben működő informatikai rendszereket éppolyan támadások érik, mint a saját hálózatokat: koncentráltabban érkeznek ugyan a fenyegetések, mert nagyobb zsákmánnyal kecsegtetnek, de nagyobb az erőforrás is a védelemre, így a bizalmon múlik a választásunk, és persze azt is fontos tudnunk, hogy melyik országba kerülnek az adataink. A Trend FM és az Invitech Üzlet a felhőben című májusi konferenciájának legfontosabb tapasztalatait gyűjtöttük össze.

Egyre több cég, egyre nagyobb mértékben használja informatikai rendszereinél a felhőszolgáltatásokat. A Gartner felmérése szerint 2025-re a hagyományos adatközpontok döntő többségét bezárják, és valamilyen privát vagy publikus felhőszolgáltatással váltják ki. A felhő felé terelik a forgalmat a nagy szoftverfejlesztő cégek is, mert folyamatosan alakítják át felhőalapúvá az alkalmazásaikat, de a racionális üzleti megfontolások is erre hajtják a vállalkozásokat. Hiszen a felhőszolgáltatás rugalmas, igény szerint használhatjuk, és eszerint fizethetünk, így az IT-rendszereket gyakorlatilag kiszervezhetik. Sokszor azonban a felhőalkalmazások ellen az egyik legfontosabb érv az, hogy nem tartják azokat elég biztonságosnak.

Milyen felhő? Milyen adat?

A felhőbiztonság szempontjából nem elhanyagolható tényező, hogy milyen típusú felhőről is van szó. A publikus felhő esetén a szolgáltató a saját eszközállományával szolgálja ki ügyfelei szerverigényeit, amelyhez gyakorlatilag bárki csatlakozhat. Ezzel szemben a privát felhőnél kizárólag egyetlen adott felhasználócsoportnak nyújtanak szolgáltatást, így az a saját hálózathoz áll közelebb. A legtöbb cég mindemellett nem tisztán alkalmazza az egyik vagy a másik megoldást, hanem úgynevezett hibrid felhőket használ, amely a publikus és a privát kombinációja, így egyfajta multifelhős környezet jön létre, ahol ezek a szolgáltatások hatékonyan tudnak együttműködni.

A konferencia egyik legfontosabb hangsúlya az adatok vizsgálatára vonatkozott. Biztonsági szempontból nagyjából elmondható, hogy a publikus felhők vannak leginkább kitéve a támadásoknak, míg a privát felhők a maguk zártkörű felhasználása miatt védettebbek. Ha egy vállalkozás adatai olyanok, amelyek amúgy is nyilvánossá tehetőek, akkor bekerülhetnek a publikus felhős környezetbe, az érzékeny információkat azonban csak privát felhőbe vagy saját hálózati körbe lehet elhelyezni. A szolgáltatásarchitektúra megválasztásakor pedig már eleve a biztonság mértékét is megválasztjuk.

A Trend FM és az Invitech Üzlet a felhőben konferenciája

Ha megnézzük, hogy mire irányulnak leggyakrabban a támadások felhős megoldások esetén, kiderül, hogy az adatokra, a szoftverekre, a szerverszolgáltatásra és magukra a hálózatokra is. A különbség csupán az, hogy védelemre nem a mi „portánkon” lesz szükség, hanem magánál a felhőszolgáltatónál.

A saját hálózatunkon lehet tudni, hogy milyen védelmet alkalmazunk, a külföldről biztosított publikus felhőnél pedig csak bízhatunk abban, hogy a szolgáltató rendszere megfelel a célnak. Nem véletlen, hogy az MNB ajánlásban határozta meg, hogy a hazai pénzintézetek milyen feltételekkel vehetnek igénybe felhőszolgáltatást, az átláthatóságot, a biztonságot például a szolgáltatási szerződésben is garantálni kell. Az Invitech esetében az ügyfelek bármikor felkereshetik a felhőszolgáltatásnak helyszínt adó adatközpontjukat, és megismerhetik az eljárásrendeket, a biztonságot növelő, szerződésben is rögzített megoldásokat. Így érthető, hogy egyre több pénzintézet költözik a cég adatközpontjaiba.

Hol a felhő? Hol az adat?

A felhő egyik alapvető lényege, hogy nem tudjuk, hogy az adatok hol is vannak pontosan. Maga a felhő elnevezés is onnan ered, hogy a különböző ismeretlen gépekből álló internetes hálózatot régebben sematikusan, felhővel ábrázolták a prezentációkon. Az adatok kezelésének szempontjából rendkívül fontos a fizikai helyszín, így lehet megtudni, hogy hol lehet helyreállítani őket.

A legtöbb esetben nem arra kíváncsiak, hogy a felhőszolgáltatónak pontosan melyik adatközpontjában tárolják az információt, hanem hogy melyik országban. Jó például tudni azt, hogy az adott szolgáltató csak Magyarországon működik-e (vagy legalábbis az Európai Unióban). Nem mindegy már az sem, ha az Egyesült Államokba kerülnek ki az információk egy tárhelyre, de a helyzet drasztikusan más, ha mondjuk Dél-Amerikába, Indiába vagy Kínába. Ez a tényező akkor lényeges igazán, ha gond van az adatokkal, mert egyáltalán nem mindegy, hogy milyen jogrend érvényes, ha a szolgáltatóval kell kommunikálni.

A Trend FM és az Invitech közös konferenciáján elhangzott, hogy meglehetősen szignifikáns az a tényező is, hogy az adott országnak be kell-e tartani az európai általános adatvédelmi rendeletet (GDPR-t), vagy sem, az Egyesült Államok esetében ez például nem érvényes. Ha állami intézményről van szó, akkor ez még lényegesebb kérdés lehet. Az önkormányzati és államigazgatási elektronikus rendszerek védelméről szóló törvény ugyanis előírja, hogy a nemzeti adatvagyont kezelő adatokat kizárólag külön engedéllyel szabad kivinni az Európai Unióba, az Európai Unióból pedig ugyanez szinte már lehetetlen.

Marco van den Akker a Trend FM és az Invitech közös konferenciáján

Ezért a felhőszolgáltatók esetében lényeges kérdés, hogy a szolgáltató meg tudja-e mondani, hogy fizikailag melyik országban vannak az adatok. Volt már arra példa, hogy kiderült, hogy a Microsoft egyik felhőalapú szoftvere egyszer csak egy amerikai szerverre mentette le az adatokat. Ebben az esetben pedig a hazai közintézményeknek azonnal le kell tiltania az adott szolgáltatást. Emellett persze a nagyobb vállalkozásoknak sem mindegy, hogy hol kezelik az adatokat. Amikor kiderült, hogy a Microsoftnál a vállalati csevegőalkalmazásnak például nincs európai szervere, akkor azt szintén több vállalat is letiltotta.

A biztonság is bizalmi kérdés

Az applikációkkal kapcsolatos támadások, mint a rosszindulatú programoké, a cookie-k meghamisítása, a weblapok rejtett mezőinek a manipulálása éppúgy megjelennek itt is, mint a hagyományos rendszerek esetében. Ezenkívül a felhőszolgáltatók szintjén is vannak fenyegetések, mint a virtuális szerver kihasználása, de a klasszikus SQL-támadás kérdése is szóba jöhet.

Ahogyan a vállalkozásokon belül, úgy a felhő esetében is a legveszélyesebb persze a rosszindulatú bennfentes, hiszen a támadások jelentős részében ez az, ami meghatározó. Ráadásul nem is biztos, hogy egy belsős szándékosan vesz részt egy támadásban, lehet, hogy csak figyelmetlenségből. Ha azonban valóban szándékos a károkozás, óriásivá válik a biztonsági kockázat. Ha a saját rendszerünk válik védtelenné, akkor csak a mi információink kerülnek veszélybe, ha viszont a felhőszolgáltatás, akkor mindenki, aki használja azt.

Érdemes azt is tudni, hogy a domain nevek meghamisításának, a klasszikus scriptingtámadásoknak vagy túlterheléses támadásoknak a felhő jobban ki van téve. Nem azért, mert gyengébb, hanem mert egy sikeres felhőtámadás sokkal nagyobb eredménnyel kecsegtet, hiszen ha egy hacker feltör egy felhőt, sokkal híresebb lehet, vagy akár több érzékeny adatot szerezhet meg, esetleg egy konkurens cégtől magasabb sikerdíjat zsebelhet be.

A jelentős erőforrásokkal rendelkező felhőszolgáltatók biztonsági csapata ezért versenyben áll a hackerekkel, hiszen ha nem tudnak ellenállni egy támadásnak, akkor nagymértékben csökken irányukba a bizalom, és bár egyelőre nem könnyű egyik felhős környezetből a másikba költözni, ha egy szolgáltatóban már nem bíznak, oda nem érkeznek új ügyfelek, és a régiek is megpróbálnak távozni. Elemi érdekük tehát a biztonság, amelynek tanúsítására független szakértőket is felkérnek tesztelésre, így ezek a tanúsítványok is segíthetnek eldönteni, hogy egy adott szolgáltató megfelelő mértékben foglalkozik-e a védelemmel.

Kerekasztal-beszélgetés a Trend FM és az Invitech konferenciáján

Mindemellett illúzió lenne azt gondolni, hogy bármilyen biztonsági megoldással teljeskörűen védhetjük magunkat. Közismert tény, hogy a hackerek sokszor jóval a biztonságért felelős szakértők előtt járnak, amely lehet akár fél év is. A felhőszolgáltatók szakértői viszont legalább versenybe szállnak velük, és az erőforrások mellett a legfrissebb védelmet állítják harcba, így pár hónapra csökkenthetik a hátrányt.

Végül, ha a biztonságról döntünk, érdemes mérlegelni, hogy a felhőszolgáltató biztonsági csapatában bízunk-e jobban vagy a saját megoldásainkban, hiszen százszázalékos védelem amúgy sem létezik. Fontos tudatosítanunk, hogy nem várhatunk mindent a felhőszolgáltatóktól, a magunk oldalán sem feledkezhetünk meg soha a biztonságtudatosság kialakításáról.