Zarządzanie Chmurą – dlaczego największa luka bezpieczeństwa w chmurze to ludzie i jak temu zaradzić?
Zarządzanie Chmurą, jak wiele innych rzeczy w IT, obarczone jest tzw. czynnikiem ludzkim, który może stanowić największą lukę bezpieczeństwa. Jak temu zaradzić? Zapraszamy do lektury naszego tekstu!
Zarządzanie chmurą - fakty i mity
Na pytanie, czy chmura jest bezpieczna, nie można jednoznacznie odpowiedzieć „tak” lub „nie”. Odpowiedź jest, jak to bywa w IT, dużo bardziej skomplikowana. I jeśli chcielibyśmy odpowiedzieć jednym zdaniem, to odpowiedź powinna brzmieć „to zależy”.
Co jakiś czas na zagranicznych i polskich portalach branżowych pojawiają się „clickbaitowe” tytuły o tym, że nastąpił kolejny wielki wyciek danych z chmury. Jednak raz za razem, kiedy wczytujemy się w szczegóły okazuje się, że:
- nigdy nie jest to błąd w oprogramowaniu chmury,
- bardzo rzadko jest to wynikiem ataku hakerskiego,
- najczęściej jest to wynik działania pracowników firmy, która korzystała z usług chmury!
Te statystyki potwierdza również Gartner (niezależna firma badawcza, specjalizująca się w analizach IT). Według ich analityków do 2022 co najmniej 95% wszystkich problemów z bezpieczeństwem systemów chmurowych będzie wynikiem błędów w działaniu użytkowników. Np. zła konfiguracja ustawień, czy też niewłaściwe zarządzanie usługami chmurowymi.
Jest to realne zagrożenie dla każdego biznesu, ponieważ taki wyciek danych może spowodować wiele reperkusji:
- utratę zaufania klientów,
- zerwanie kontraktów ze strony partnerów handlowych,
- wielomilionowe kary RODO / GDPR z powodu wycieku danych osobowych.
Zarządzanie chmurą a bezpieczeństwo
Zarządzanie chmurą z jednej strony jest bardzo proste, ponieważ dostawcy chmurowi tacy jak AWS, Azure czy GCP wydają olbrzymie środki na to, aby dostarczyć nam niesamowicie dobre i bezpieczne narzędzia do obsługi serwerów w ich chmurach. Dla przykładu, roczne wydatki gigantów IT na prace rozwojowe wyglądają naprawdę imponująco:
- Amazon 22,6 miliardów dolarów
- Alphabet (Google) 16,6 miliarda dolarów
- Microsoft 12,4 miliardów dolarów
Są to środki na R&D, o których inne firmy nie mogą nawet pomarzyć. Efektem tego jest błyskawiczny rozwój i olbrzymia ilość nowych usług chmurowych, z których możemy codziennie korzystać. Liderem w tym jest chmura Amazon Web Services, która potrafi w ciągu roku wprowadzić ponad 1500 nowych usług i funkcjonalności. Jeśli zatrudniasz administratora do zarządzania chmurą, powinien on każdego dnia w pracy weryfikować prawie 7 nowości! I to przy założeniu, że jego obsługa serwerów skupia się tylko na jednej chmurze. A w dzisiejszych czasach coraz popularniejsze jest podejście multicloudowe, więc wymagałoby to od niego śledzenia nowości nie z jednej chmury, lecz z wielu vendorów.
Najczęstsze błędy w zarządzaniu chmurą
Niezależnie, czy Twój zespół zajmuje się administracją serwerami Linux czy administracją serwerami Windows to najczęściej popełnia następujące błędy w konfiguracji:
- tworzy konta z nadmiernymi uprawnieniami – 37%,
- nie zabezpiecza odpowiednio serwerów WW i innych rodzajów obciążeń serwerowych – 35%,
- nie stosuje 2FA (wieloskładnikowego uwierzytelnienia) przy dostępie do najważniejszych usług! – 33%.
Źródłem tych statystyk jest raport przygotowany wspólnie przez Oracle i KMPG, którego uczestnikami było 750 specjalistów cyberbezpieczństwa i informatyki z całego świata.
82% użytkowników chmury doświadczyło problemów związanych z bezpieczeństwem w wyniku pomyłki z Shared Responsibility Security Models.
Jak skutecznie zarządzać chmurą?
Co w takim razie zrobić, aby zniwelować to ryzyko. Skorzystać z pomocy firmy świadczącej usługi typu zdalny administrator, czy DevOps. Firmy, która specjalizuje się na przykład w zarządzaniu chmurą AWS. Dzięki temu zniwelujesz ryzyko wycieku danych.
Nasi DevOps-i stworzyli setki infrastruktur chmurowych dla różnych klientów. Począwszy od PoC dla startupów, poprzez wysoce wydajne infrastruktury, muszące spełniać rygorystyczne wymogi PCI DDS, HIPAA czy RODO / GDPR.
Do tego przechodzą dziesiątki szkoleń oraz posiadają olbrzymią ilość certyfikatów potwierdzających ich wiedzę