A felhőbiztonság felelősségi kérdései

A Bitport színvonalas cikkben tekinti át a témát „A felhőben ki szavatol a lady biztonságáért?” – címen. Igen fontos aktuális és egyúttal a szakma közérdeklődésére is számot tartó kérdésről van szó, amellyel kapcsolatban nem kevés a félreértés. Meddig terjed a szolgáltató és meddig az ügyfél felelőssége? A cikket teljes terjedelmébe portálunk is leközli.

Forrás: Bitport

Biztonsági alapkérdések felhőbe költözőknek.

Lekerült-e a napirendről a felhős biztonság? Bár a felmérések szerint a visszatartó tényezők között háttérbe szorult, a válasz továbbra is egyértelműen nem! Ha egy vállalat a felhőbe költözik, mind a mai napig kulcskérdés, hogy milyen módon változik az IT-biztonsági megközelítés a vállalaton belül.

Egyértelműen csökkentek azok a (részben indokolatlan) félelmek, melyek többnyire a kontroll elvesztésével, például az IT-biztonság fölötti fennhatóság csökkenésével függtek össze. Ebben kétségtelenül nagy szerepe volt a felhőszolgáltatók (a továbbiakban CSP – Cloud Service Provider) edukációs tevékenységének, illetve azoknak a szolgáltatási modelleknek (pl. hibrid felhő), melyek bizonyos kritikus adatokat védő biztonsági rendszerek fölött meghagyták a teljes felhasználói kontrollt.

Mindezzel együtt azonban bonyolódott is a helyzet. Nehezebbé vált ugyanis meghatározni, hogy ki a felel a felhőbiztonságért: a szolgáltató vagy az ügyfél? Pontosabban: meddig terjed a CSP és meddig az ügyfél felelőssége?

Körvonalazódnak a szabványok és gyűlnek a jó gyakorlatok

Az összes jelentős felhőszolgáltatót tömörítő Cloud Security Alliance (CSA) oldalán olvasható: a felhőplatform biztonsága szempontjából az összes érdekelt fél együttműködése kritikus fontosságú. Csakhogy sem az érintettek tudása, sem a kérdésről kialakított véleménye nem egységes. Hiányoznak azok az iránymutatások, amelyek pontosan elmagyaráznák a feleknek, hogy a különböző felhős modelleknél (ezekről összeállításunk első részében írtunk) mi a CSP és mi az ügyfél kompetenciája. (Utóbbiak sokszor arról is túl kevés információval, tudással bírnak, hogy melyik felhős modellnél milyen eszközökkel és folyamatokkal növelhetik a biztonságot.)

Az okok csak részben kereshetjük az ügyfelek tájékozatlanságában, ugyanis – mint azt a CSA is megállapítja – a szolgáltatók között sem alakult ki teljes közmegegyezés arról, hogyan kell megvalósítani a megosztott felelősségre épülő biztonsági modellt. Pedig magára a modellre mint közismert fogalomra hivatkozik szinte mindenki. Csak egészen mást jelent például a Google-nél, az AWS-nél és egy regionális szolgáltatónál. A Cloud Security Alliance épp azért jött létre, hogy elindulhasson a szabványosítási folyamat. Létrehoztak többek között egy a szolgáltatók és ügyfeleik által is használható biztonsági keretrendszert, a Cloud Controls Matrixot, amely segít a felelősségi körök pontos meghatározásában.

Sík mezőben hármas út, jobbra, balra szertefut, a középső célra jut

Térjünk vissza az alapkérdéshez: kinek mi a teendője, hogy biztonságos legyen a felhő? Három lehetőség van: 1. elsősorban a CSP dolga a biztonság; 2. elsősorban az ügyfél felel a biztonságért; 3. a felelősség megoszlik a CSP és ügyfelei között. Bár sok ügyfél még mindig abban a tévhitben költözik felhőbe, hogy onnantól a biztonság teljes mértékben a CSP felelőssége, modelltől függően több kevesebb területen továbbra is az ügyfél vállára nehezednek bizonyos (és nagyon fontos) teendők. Ezt írja le az elosztott felelősségi modell, amely egyre általánosabban elfogadottá válik, ha pontos tartalma szolgáltatónként változik is.

Az alap durva megközelítésben az, hogy a CSP felel az infrastruktúráért, beleértve a szoftvert, a hardvert, a hálózatot és a létesítményeket (adatközpontok fizikai védelme illetéktelen behatolástól, természeti katasztrófától stb.). Az ügyfél pedig felel a tartalomért, konfigurálja és menedzseli a vendég operációs rendszer biztonságát (frissítések, biztonsági javítások telepítése stb.), az általa telepített alkalmazásokat, segédprogramokat, valamint a felhőszolgáltató által biztosított hálózatbiztonsági felügyeleti eszközöket. Az AWS megközelítőleg ezt követi: szolgáltatói kompetenciája az infrastuktúra szoftveres rétegéig terjed, onnantól pedig minden az ügyfél felelőssége az adatok kliensoldali és szerveroldali titkosításától és integritásellenőrzésétől a hálózati adatforgalom védelmén és a platformok, alkalmazások stb. menedzselésén át az ügyféladatokig. De az AWS külön felhívja a figyelmet, hogy a felelősség szolgáltatásonként változhat.

Biztonsági teendők felhőbe költözéskor

A szolgáltató…
  1. Gondolja újra a kockázatokat az ügyfél nézőpontjából, és ellenőrizze, hogy működnek-e az adott kockázatokat csökkentő mechanizmusok.
  2. Dokumentálja az ügyfél számára a kockázatok kezelésére használt belső kontrollokat.
  3. Adjon pontos dokumentációt az ügyfélnek a rendelkezésre álló biztonsági funkciók használatához.
  4. Hozzon létre felelősségi mátrixot, amely megmutatja, hogy az ügyfelet hogyan segíti a szolgáltatás a különböző compliance előírások betartásában (ebben bátran lehet támaszkodni a Cloud Security Alliance eredményeire, melyek mindig tükrözik az aktuális szakmai közmegegyezést).
Az ügyfél…
  1. Először határozza meg a biztonsági követelményeket, és csak utána válassza ki a felhőszolgáltatót, ellenkező esetben nehezebb lesz érvényesíteni a szervezet számára fontos biztonsági szempontokat.
  2. Egységesítse a hagyományos és a felhőalapú IT-ra vonatkozó vállalati governance programot. A felhőbe költöztetés ugyanis mindig házirend-módosításokkal jár.
  3. Rögzítse részletekbe menően szerződésben, hogy meddig terjed a CSP és a saját felelőssége.
  4. Hozzon létre felelősségi mátrixot, amely meghatározza a felek (köztük a CSP) biztonsági szerepkörét és felelősségét.

A Microsoft is hasonló módon skálázza a felelősséget. Az Azure ide vonatkozó ismertetője hangsúlyozza: az adatok, a végpontok, a fiókok védelme és a jogosultságkezelés minden esetben az ügyfél kötelessége. A Microsoftnál szolgáltatástípusonként (IaaS, PaaS, SaaS…) is változik a felelősség. Például az infrastruktúraszolgáltatásnál csak a fizikai rétegért felel, azon túl minden az ügyfélre hárul. A platformszolgáltatásnál azonban közös felelősség terheli a Microsoftot és az ügyfelet a hálózatfelügyeletért és az alkalmazásokért, valamint az azonosságkezelésért és a directory infrastruktúráért.

Ez azonban csak a váz. Az ördög pedig itt különösen jól el tud rejtőzni a részletekben, hiszen a felhő belépésével jellemzően még bonyolultabbá válik az IT-infrastruktúra. A bonyolultabb struktúra pedig bonyolultabbá teszi a megosztott felelősséget, mert könnyebb a másik felet hibáztatni, ha valami elromlik.

A konklúzió tehát az, hogy bármennyire is nem tűnik adott pillanatban prioritásnak, a felhőbe költözésnél kiemelt figyelmet kell szentelni a compliance, a biztonság és az irányítás területének

(lásd keretes írásunkat). Ha a felek hosszú távú együttműködésben gondolkodnak, az ügyfélnek és a CSP-nek is elemi érdeke, hogy a lehető legpontosabban lefektesse a felelősségi köröket. Itt is igaz ugyanis a régi mondás: a hosszú barátság (ügyfélkapcsolat) alapja a pontos elszámolás.

Forrás: Bitport

Kapcsolódó cikkek: