Iako je svijest o rizicima usporila širu primjenu tehnologije računarstva u oblaku (cloud), aplikacije kojima se pristupa putem virtuelnog okruženja postaju sve popularnije zahvaljujući rješenjima poput modela upravljanja identitetima i pristupom u vidu usluge
Priredila: redakcija a&s Adrije
E-mail: redakcija@asadria.com
Dixons Carphone, britanska kompanija koja se bavi maloprodajom tehnologije, prijavila je u junu 2018. godine „neovlašteni pristup podacima“, odnosno svojim serverima, pri čemu je bilo ugroženo oko 1,2 miliona informacija koje sadrže lične podatke. Važno je napomenuti da je ovo prvi medijski ispraćen slučaj narušavanja sigurnosti podataka u jednoj velikoj evropskoj korporaciji nakon donošenja Opće uredbe o zaštiti podataka (GDPR) Evropske unije 25. maja 2018. godine. Ovaj slučaj samo naglašava činjenicu da se stavovi prema cyber sigurnosti moraju promijeniti, odnosno da u složenom svijetu poslovnog računarstva nije dovoljno imati samo „sigurnu arhitekturu“.
Šira primjena računarstva u oblaku
Danas poslovno računarstvo postaje sinonim za ono koje se dešava u oblaku. Ipak, ovaj vid računarstva uz usluge koje se pružaju u oblaku i dalje predstavljaju izazov za velike korporacije. U ranim danima tehnologije oblaka sigurnost je često bila razlog za njenu sporiju primjenu u poslovnom svijetu jer kompanije nisu bile spremne da se odreknu kontrole nad svojim „perimetrima“. Čini se da ova nespremnost polako nestaje. Prema najnovijem izvještaju o globalnoj IT cloud infrastrukturi, koji je predstavila kompanija International Data Corporation (IDC), do kraja 2019. godine više novca će se uložiti u infrastrukturu oblaka nego u tradicionalnu tehnologiju centara podataka. Ovo je važna prekretnica i pokazatelj sve šire prihvaćenosti cloud tehnologije.
I Institut Ponemon je radio istraživanje o globalnoj sigurnosti podataka u oblaku. Pokazalo se da 79% ispitanika smatra da su aplikacije u oblaku važne za njihovo poslovanje i da će se oni u naredne dvije godine još više oslanjati na njih. Ipak, 75% ispitanika istovremeno vjeruje da je upravljanje propisima o privatnosti i zaštiti podataka složenije kada je u pitanju oblak nego kada se koriste lokalni serveri. Samo 44% ispitanika ima definisane funkcije i odgovornosti za čuvanje osjetljivih informacija u oblaku u okviru svojih organizacija. Nedostatak kvalitetnih nadzornih procedura je nešto što zakonodavci neće blagonaklono tretirati u slučaju povrede sigurnosti podataka.
Pružatelji usluga u oblaku ulažu dosta vremena i truda kako bi uvjerili svoje najveće klijente da su njihove infrastrukturne usluge sigurne i usklađene s propisima. Amazon AWS je, naprimjer, ocijenjen kao dovoljno robustan da može zadovoljiti zahtjeve američkog Ministarstva odbrane za fizičko razdvajanje servera uz primjenu tehnika logičkog razdvajanja.
Povećanje pouzdanosti
Potpredsjednik kompanije Gartner Research Jay Heiser vjeruje da pružatelji usluga koji koriste model infrastrukture kao usluge (IaaS) sada nude dovoljno kvalitetnu pouzdanost i sigurnost da će do 2022. godine oko 95% svih sigurnosnih incidenata u oblaku „ići na dušu klijenata“. „Za sada se većina prijavljenih sigurnosnih incidenata u oblaku pokazala kao posljedica grešaka samih korisnika. Primjeri uključuju nepravilne konfiguracije resursa za pohranu, nekorištenje višefaktorske autentifikacije za zaštitu korisnika i administratora te nepravilno korištenje API-ja, tj. interfejsa za programiranje aplikacija“, kaže Jim Reavis, izvršni direktor industrijske grupe Cloud Security Alliance (CSA).
Jačanju povjerenja u oblak trebalo je dosta vremena i truda, kaže on. „Najbolje prakse su implementirane i ponavljane tokom vremena“, objašnjava Reavis, „a rani korisnici clouda su dijelili iskustva kako bi kreirali detaljnije sigurnosne planove, kao što su preciznije smjernice za jačanje otpornosti sistema. Edukacija i kontakti sa državnim i regulatornim tijelima s ciljem odobravanja pružanja cloud usluga bili su ključni za jačanje poslovnog povjerenja.“ Od alata za upravljanje odnosima s kupcima u prodaji do onih za zajednički rad i dijeljenje sadržaja, cloud usluge su postale dio unutrašnjeg funkcioniranja kompanija.
Ključni sigurnosni izazovi
Ako je poslovni svijet većinski prihvatio tehnologiju oblaka, koji su specifični izazovi koje treba riješiti kako bi se smanjila prateća složenost njene sigurnosti, a istovremeno olakšalo upravljanje uslugama? Chris Martin, tehnički direktor britanske telekomunikacijske kompanije Powwownow, kaže da pored jačanja otpornosti infrastrukture na napade, za šta su zaduženi pružatelji usluga u oblaku, postoje četiri dodatne ključne oblasti na koje se treba fokusirati. „Identifikacija korisnika je veoma važna, kao i osiguravanje da podaci o klijentima ne budu slučajno podijeljeni s konkurentom koji koristi istog provajdera usluga u oblaku. Tu je i ograničavanje pristupa podacima samo na konkretne zaposlenike koji ga moraju koristiti jer im je to u opisu radnog mjesta. Na kraju, imamo i šifriranje podataka u tranzitu i mirovanju kako bi se smanjio rizik od iskorištavanja podataka u slučaju da dođe do kršenja njihove sigurnosti ili kompromitovanja“, kaže Martin.
Reavis iz udruženja CSA navodi kvalitetno šifrovanje, upravljanje ključevima, API pristup i pristup log-datotekama kao ključne adute sigurnosti za pružatelje usluga u oblaku. On smatra i da bi klijenti trebali provjeravati ključne standarde i propise, kao što su ISO 27001, standardi kontrole organizacija usluga (SOC) i usklađenost s GDPR uredbom kao pokazatelje kvalitetnog upravljanja. U IT odjelima i dalje postoji zabrinutost zbog gubitka kontrole, posebno kada su u pitanju pristup i korisničke privilegije te mogućnost praćenja ponašanja korisnika prilikom pristupa cloud uslugama. U istraživanju koje je radio Gemalto 51% ispitanika kaže da je teže ograničiti pristup uslugama koje se pružaju u oblaku, dok 43% smatra da nedovoljno poznaju sve cloud usluge koje se koriste u njihovoj kompaniji.
IT u sjeni
U tom smislu, usluge u oblaku su postale skoro „previše“ dostupne. Naprimjer, nekom timu je danas lako početi koristiti popularnu aplikaciju za dijeljenje sadržaja i zajednički rad kao što su Slack ili Dropbox, a da im pri tome ne treba ništa više osim web-preglednika i mogućnosti plaćanja preko kreditne kartice kompanije. Ovo je taj „IT u sjeni“ zbog kojeg direktori informatičke sigurnosti nemaju mira. Sa stanovišta zaposlenika, mnoge usluge u oblaku su brze, jednostavne za upotrebu i fleksibilne, kao i dizajnirane da podrže inovacije u segmentima u kojem ih korporacijski IT ne može pratiti.
„Nema ničega sumnjivog u pronalaženju kvalitetnog rješenja koje će pomoći vama i vašem odjelu da budete uspješni. Mnoga se revolucionarna rješenja uvode preko kreditne kartice i plaćaju na način da IT odjeli ne znaju za to“, navodi Per Werngren, predsjednik Microsoftove partnerske mreže IAMCP. Iz perspektive menadžera informatičke sigurnosti, tzv. IT u sjeni predstavlja problem jer se poslovni podaci o kompaniji mogu dijeliti preko infrastrukture u oblaku nad kojom oni nemaju kontrolu. To dovodi do sigurnosnog rizika, nedostatka prave odgovornosti i nepostojanja dokumentovane evidencije korištenja u slučaju da nešto krene naopako. Međutim, čak i kod odobrenih usluga uključivanje upravljanja identitetom u korporativne IT sisteme predstavlja stari izazov. Tu ključnu ulogu igra širenje kontrole koju administratori sa svojih mreža prenose na sam oblak.
Ko je ko i šta kažu brojke?
Informiranost o tome ko pristupa čemu i gdje, jedan je od ključnih principa savremene sigurnosti. U tome ključnu ulogu ima i mogućnost da se politike pristupa ograniče i mijenjaju. Administratori moraju imati kapacitet da „ručno“ promijene korisnikovu mogućnost pristupa podacima i, naprimjer u slučaju unapređenja ili otkaza, isto urade i automatski, ako se na korisnikovom nalogu otkrije neobično ponašanje. Principi “sigurnog dizajna” zahtijevaju kontinuiranu procjenu rizika na osnovu mrežne aktivnosti.
Američka telekomunikacijska kompanija Verizon radila je izvještaj o kršenju sigurnosti podataka za 2018. godinu. U njemu se navodi da je broj slučajeva povreda podataka povezanih s korisničkim akreditivima koji su ukradeni pomoću malvera bio toliki da ih se moralo izostaviti iz samog istraživanja. „Ovo su validni slučajevi kršenja“, ističu autori, „ali bi zbog velikog broja (više od 43.000) mogli zasjeniti sve ostale.“ Čak i bez ovih cifri, u 1.799 potvrđenih slučajeva povreda podataka koji su poslužili kao osnova za Verizonov izvještaj, ukradeni ili zloupotrijebljeni akreditivi bili su povezani s gotovo 50% napada.
Da situacija bude gora, oko 67% ispitanika u Gemaltovom istraživanju smatra da je upravljanje korisničkim identitetom nešto teže u oblaku nego u tradicionalnom IT okruženju. To je jedna od rijetkih stavki koja se nije poboljšala u protekle tri godine.
Loše je što nivo povjerenja ne raste uprkos tome što rješenja za upravljanje identitetom u oblaku već postoje. Upravljanje identitetom i pristupom kao uslugom (IDaaS) je relativno novi, ali i brzorastući sektor za koji Gartner predviđa da će činiti 40% svih usluga povezanih s identitetima do 2020. godine.
Šta je IDAAS?
IDaaS model je obećani „sveti gral“ digitalne sigurnosti, u smislu da je praktičniji za korištenje i sigurniji od tradicionalnih tehnologija. Model se temelji na principu nazvanom Smart Single Sign On (SSO), što znači da zaposlenici imaju jedan identitet pomoću kojeg se prijavljuju na usluge koje su im potrebne tokom radnog dana, a na osnovu unaprijed definirane politike pristupa. To SSO model čini praktičnijim rješenjem jer zaposlenici moraju pamtiti samo jednu lozinku i koristiti jedan dodatni token za dvostruku autentifikaciju po potrebi. SSO je i sigurnija opcija jer ograničavanje broja potrebnih akreditiva znači manju šansu da ih se zaboravi ili ponovo iskoristi za druge usluge. SSO autentifikacija je tradicionalno bila dio paketa usluga koje se hostiraju na lokalnom nivou, npr. Microsoft Active Directory. Prijenos ovih usluga u oblak nije uvijek jednostavan, a u nekim slučajevima je i nemoguć. Mnogi smatraju da rješenje leži u tome da se i samo upravljanje sigurnošću i identitetima prebaci u oblak.
„Šira primjena oblaka je donijela i IdaaS. Organizacije sada imaju pristup jedinstvenom rješenju za prijavu za pristup oblaku koje podržava infrastruktura za autentifikaciju“, kaže Jason Garbis, potpredsjednik sektora proizvoda u kompaniji Cyxtera, koja se bavi mrežnom sigurnošću. Sigurnost u oblaku podrazumijeva da se korisnici prijavljuju na jedinstveni portal putem kojeg IT odjeli imaju kontrolu nad upravljanjem. To im omogućava da autentificiraju korisnike za široki spektar usluga i protokola. IDaaS se pokazao posebno važnim u projektima digitalne transformacije u kompanijama.
„Za potrebe digitalne transformacije kompanije obično angažuju mnogo različitih vanjskih ugovarača i dobavljača u okviru svojih projekata. To proizvodi dodatni sigurnosni izazov: kako oni mogu zaštititi svoje mreže i kreirati siguran ambijent, a da istovremeno vanjskim akterima dopuste pristup svojim sistemima? Tu na scenu ulazi IDaaS tako što omogućava automatizirano i fleksibilno odobravanje te zabranu pristupa i upravljanje identitetima“, kaže Garbis. On objašnjava da je IDaaS nastao iz želje da se kompanijama omogući da povećaju svoju brzinu i agilnost, a da zadrže cjeloviti uvid u kontrolu pristupa.
Daljinski pristup lokaciji
Kontrola sigurnosti oblaka putem samog oblaka administratorima također daje mogućnost da utvrde konkretne politike pristupa u zavisnosti od same lokacije, što može biti ključno u eri mobilnog poslovanja. Naprimjer, ako se zaposlenik prijavi izvan ureda, od njega se može tražiti dodatni faktor za autentifikaciju. Ako se prijavljuje s radnog mjesta, naglasak se može staviti na praktičnost.
Tu su i dodatne prednosti. „IDaaS se mnogo brže implementira u poređenju s tradicionalnim lokaliziranim sistemima za upravljanje identitetima. On nudi i moderno i praktično korisničko iskustvo“, kaže Yogesh Patel, glavni analitičar podataka u kompaniji Callsign, koja razvija softver za autentifikaciju zasnovan na inteligenciji. Standardi kao što je SAML čine IDaaS platforme vrlo efikasnim za web-aplikacije. Proizvodi kao što su Zendesk, Office 365 i Salesforce podržavaju najnoviji SAML 2.0 protokol. Izazov s kojim će se suočiti pružatelji IDaaS usluga u budućnosti neće biti integracija više identiteta u oblaku, nego uključivanje tradicionalnih ureda u sistem. „Mnoge organizacije se još bore s integracijom ovih novih sistema sa svojom zastarjelom infrastrukturom. Pri tome mislim na zrele sisteme koji omogućavaju vođenje poslovanja“, kaže Patel.
Kako IDaaS platforme sazrijevaju kao tehnologija, one se počinju direktno baviti ovim problemima. Naprimjer, Gemaltov SafeNet Trusted Access sistem će uskoro dobiti podršku za prijave na osnovu tzv. infrastrukture javnih ključeva (PKI). To uključuje ogromnu većinu autentifikatora baziranih na CBA i konvergentna rješenja bazirana na značkama koja se trenutno koriste. To će organizacijama koje ulažu u PKI proizvode za logički i fizički pristup omogućiti da koriste iste tokene za pristup aplikacijama u oblaku ili u virtuelnim okruženjima.
Opet o GDPR-u
Kakve veze IDaaS ima s Općom uredbom o zaštiti podataka (GDPR)? Kvalitetna autentifikacija je put prema ispunjavanju zahtjeva o usklađenosti s propisima o zaštiti ličnih podataka, gdje god se oni primjenjivali. Nova potreba je i ona koja se tiče mogućnosti da se zaposlenima u multinacionalnim firmama omogući pristup podacima na osnovu toga gdje se nalaze, a ne samo prema onome što rade. Organizacija može, naprimjer, poželjeti da osigura da podaci iz Evropske unije budu vidljivi samo zaposlenima na njenom području. Uz adekvatne politike i platforme, to je mnogo lakše učiniti uz primjenu sigurnosti zasnovane na oblaku nego uz korištenje zasebnih platformi u odvojenim zemljama. Sve ove stvari se mogu riješiti pomoću IDaaS modela. Važno je, međutim, napomenuti da kada je riječ o sigurnosti u oblaku, ne postoji jedinstveno rješenje za sve probleme – potrebna je slojevita odbrana.
“IDaaS je oblast koja se brzo razvija, a u teoriji predstavlja i pogodan način da riješite pitanje upravljanja identitetom u mnogim kompanijama. Ipak, mnoge IT menadžere opterećuje pitanje odabira dobavljača i rizika da odabrani dobavljač postane žrtva velikog napada ili ugrožavanja podataka, što može ugroziti i pristup podacima vaše organizacije”, kaže Martin, predstavnik kompanije Powwownow. Budućnost sigurnosti u oblaku leži u kombinaciji sofisticiranih vidova odbrane i kvalitetnije obuke. “Mislim da ćemo u narednih nekoliko godina biti svjedoci jačeg oslanjanja na automatizaciju kako bismo držali korak s veličinom i dinamičnom prirodom oblaka”, kaže Reavis iz CSA. Prema njemu, konačna efikasnost će zavisiti od oslanjanja na DevOps koncepte, vještačku inteligenciju, mašinsko učenje i blockchain. „Poboljšanje edukacije i podizanje svijesti je najvažniji zadatak za organizacije koje žele osposobiti svoju radnu snagu u sigurnosti i pratiti nove trendove u ovoj oblasti. Nije dovoljno da sigurnosni menadžeri potroše jednu sedmicu godišnje da odu na predavanje. Ovaj proces mora biti kontinuiran kako bi se održao korak s promjenama“, zaključuje Reavis.
