A konferencia egyik legfontosabb hangsúlya az adatok vizsgálatára vonatkozott. Biztonsági szempontból nagyjából elmondható, hogy a publikus felhők vannak leginkább kitéve a támadásoknak, míg a privát felhők a maguk zártkörű felhasználása miatt védettebbek. Ha egy vállalkozás adatai olyanok, amelyek amúgy is nyilvánossá tehetőek, akkor bekerülhetnek a publikus felhős környezetbe, az érzékeny információkat azonban csak privát felhőbe vagy saját hálózati körbe lehet elhelyezni. A szolgáltatásarchitektúra megválasztásakor pedig már eleve a biztonság mértékét is megválasztjuk.
Ha megnézzük, hogy mire irányulnak leggyakrabban a támadások felhős megoldások esetén, kiderül, hogy az adatokra, a szoftverekre, a szerverszolgáltatásra és magukra a hálózatokra is. A különbség csupán az, hogy védelemre nem a mi „portánkon” lesz szükség, hanem magánál a felhőszolgáltatónál.
A saját hálózatunkon lehet tudni, hogy milyen védelmet alkalmazunk, a külföldről biztosított publikus felhőnél pedig csak bízhatunk abban, hogy a szolgáltató rendszere megfelel a célnak. Nem véletlen, hogy az MNB ajánlásban határozta meg, hogy a hazai pénzintézetek milyen feltételekkel vehetnek igénybe felhőszolgáltatást, az átláthatóságot, a biztonságot például a szolgáltatási szerződésben is garantálni kell. Az Invitech esetében az ügyfelek bármikor felkereshetik a felhőszolgáltatásnak helyszínt adó adatközpontjukat, és megismerhetik az eljárásrendeket, a biztonságot növelő, szerződésben is rögzített megoldásokat. Így érthető, hogy egyre több pénzintézet költözik a cég adatközpontjaiba.
Hol a felhő? Hol az adat?
A felhő egyik alapvető lényege, hogy nem tudjuk, hogy az adatok hol is vannak pontosan. Maga a felhő elnevezés is onnan ered, hogy a különböző ismeretlen gépekből álló internetes hálózatot régebben sematikusan, felhővel ábrázolták a prezentációkon. Az adatok kezelésének szempontjából rendkívül fontos a fizikai helyszín, így lehet megtudni, hogy hol lehet helyreállítani őket.
A legtöbb esetben nem arra kíváncsiak, hogy a felhőszolgáltatónak pontosan melyik adatközpontjában tárolják az információt, hanem hogy melyik országban. Jó például tudni azt, hogy az adott szolgáltató csak Magyarországon működik-e (vagy legalábbis az Európai Unióban). Nem mindegy már az sem, ha az Egyesült Államokba kerülnek ki az információk egy tárhelyre, de a helyzet drasztikusan más, ha mondjuk Dél-Amerikába, Indiába vagy Kínába. Ez a tényező akkor lényeges igazán, ha gond van az adatokkal, mert egyáltalán nem mindegy, hogy milyen jogrend érvényes, ha a szolgáltatóval kell kommunikálni.
Meglehetősen szignifikáns az a tényező is, hogy az adott országnak be kell-e tartani az európai általános adatvédelmi rendeletet (GDPR-t), vagy sem, az Egyesült Államok esetében ez például nem érvényes. Ha állami intézményről van szó, akkor ez még lényegesebb kérdés lehet. Az önkormányzati és államigazgatási elektronikus rendszerek védelméről szóló törvény ugyanis előírja, hogy a nemzeti adatvagyont kezelő adatokat kizárólag külön engedéllyel szabad kivinni az Európai Unióba, az Európai Unióból pedig ugyanez szinte már lehetetlen.
Ezért a felhőszolgáltatók esetében lényeges kérdés, hogy a szolgáltató meg tudja-e mondani, hogy fizikailag melyik országban vannak az adatok. Volt már arra példa, hogy kiderült, hogy a Microsoft egyik felhőalapú szoftvere egyszer csak egy amerikai szerverre mentette le az adatokat. Ebben az esetben pedig a hazai közintézményeknek azonnal le kell tiltania az adott szolgáltatást. Emellett persze a nagyobb vállalkozásoknak sem mindegy, hogy hol kezelik az adatokat. Amikor kiderült, hogy a Microsoftnál a vállalati csevegőalkalmazásnak például nincs európai szervere, akkor azt szintén több vállalat is letiltotta.
Pódiumbeszélgetés a Trend FM és az Invitech közös konfernciáján
Forrás: HVG
A biztonság is bizalmi kérdés
Az applikációkkal kapcsolatos támadások, mint a rosszindulatú programoké, a cookie-k meghamisítása, a weblapok rejtett mezőinek a manipulálása éppúgy megjelennek itt is, mint a hagyományos rendszerek esetében. Ezenkívül a felhőszolgáltatók szintjén is vannak fenyegetések, mint a virtuális szerver kihasználása, de a klasszikus SQL-támadás kérdése is szóba jöhet. Ahogyan a vállalkozásokon belül, úgy a felhő esetében is a legveszélyesebb persze a rosszindulatú bennfentes, hiszen a támadások jelentős részében ez az, ami meghatározó. Ráadásul nem is biztos, hogy egy belsős szándékosan vesz részt egy támadásban, lehet, hogy csak figyelmetlenségből. Ha azonban valóban szándékos a károkozás, óriásivá válik a biztonsági kockázat. Ha a saját rendszerünk válik védtelenné, akkor csak a mi információink kerülnek veszélybe, ha viszont a felhőszolgáltatás, akkor mindenki, aki használja azt.
Érdemes azt is tudni, hogy a domain nevek meghamisításának, a klasszikus scriptingtámadásoknak vagy túlterheléses támadásoknak a felhő jobban ki van téve. Nem azért, mert gyengébb, hanem mert egy sikeres felhőtámadás sokkal nagyobb eredménnyel kecsegtet, hiszen ha egy hacker feltör egy felhőt, sokkal híresebb lehet, vagy akár több érzékeny adatot szerezhet meg, esetleg egy konkurens cégtől magasabb sikerdíjat zsebelhet be.
A jelentős erőforrásokkal rendelkező felhőszolgáltatók biztonsági csapata ezért versenyben áll a hackerekkel, hiszen ha nem tudnak ellenállni egy támadásnak, akkor nagymértékben csökken irányukba a bizalom, és bár egyelőre nem könnyű egyik felhős környezetből a másikba költözni, ha egy szolgáltatóban már nem bíznak, oda nem érkeznek új ügyfelek, és a régiek is megpróbálnak távozni. Elemi érdekük tehát a biztonság, amelynek tanúsítására független szakértőket is felkérnek tesztelésre, így ezek a tanúsítványok is segíthetnek eldönteni, hogy egy adott szolgáltató megfelelő mértékben foglalkozik-e a védelemmel.
Mindemellett illúzió lenne azt gondolni, hogy bármilyen biztonsági megoldással teljeskörűen védhetjük magunkat. Közismert tény, hogy a hackerek sokszor jóval a biztonságért felelős szakértők előtt járnak, amely lehet akár fél év is. A felhőszolgáltatók szakértői viszont legalább versenybe szállnak velük, és az erőforrások mellett a legfrissebb védelmet állítják harcba, így pár hónapra csökkenthetik a hátrányt.
Végül, ha a biztonságról döntünk, érdemes mérlegelni, hogy a felhőszolgáltató biztonsági csapatában bízunk-e jobban vagy a saját megoldásainkban, hiszen százszázalékos védelem amúgy sem létezik. Fontos tudatosítanunk, hogy nem várhatunk mindent a felhőszolgáltatóktól, a magunk oldalán sem feledkezhetünk meg soha a biztonságtudatosság kialakításáról.
Forrás: Invitech, hvg.hu
