O bezpečnosti dat v cloudu se hovoří od samého počátku poskytování tohoto typu služeb. Nejprve se podniky využívání cloudu bránily – právě kvůli obavám o bezpečnost –, aby dnes převážil argument, že poskytovatel cloudové služby dokáže zabezpečit systémy a data na mnohem vyšší úrovni, než lze dosáhnout v běžném podnikovém datacentru.
Tento argument má bezpochyby racionální základ. Zatímco poskytovatelé cloudových služeb, tedy alespoň takoví, kteří mají příslušné certifikace, musejí disponovat celými týmy pro zajištění provozu a bezpečnosti, v běžné firmě se musí o vše postarat několik lidí z oddělení IT. Ti mají ale současně na starost i celý provoz, podporu uživatelů a mnoho dalších každodenních záležitostí. Problematika kybernetické bezpečnosti je navíc natolik složitá a neustále se rozrůstající, že rozhodně nemůže být záležitostí jednotlivců, ale celých týmů, ve kterých má každý svoji roli a specializaci. Znamená to, že je cloud opravdu bezpečný?
Postarat se musíte sami
Vždy záleží na tom, jakou optikou se na cloudové služby díváme. Pokud se bavíme o službách veřejného cloudu, jako je Microsoft Azure, Google Cloud nebo Amazon Web Services, spočívá jejich bezpečnost v tom, že jejich provozovatelé chrání aplikace a služby svých zákazníků především z hlediska dostupnosti. To znamená, že redundancí datových center zajišťují odolnost proti výpadkům a pomocí technologií na detekci a prevenci brání útokům typu DDoS. Také zpravidla chrání veškerá přenášená data pomocí šifrování.
Nicméně, podstatnou část konfigurace zabezpečení už poskytovatelé veřejného cloudu nechávají na samotných zákaznících – a poskytují jim za tímto účelem potřebné nástroje a funkce. To znamená, že si zákazníci musejí sami nakonfigurovat například zálohování dat, přístupová oprávnění pro své uživatele, správu šifrovacích klíčů a certifikátů i řadu dalších parametrů. Konečná odpovědnost za zabezpečení a ochranu dat tedy vždy leží na zákazníkovi. A jeho cloud je tedy jen tak bezpečný, jak správně si ho dokáže konfigurovat. Ale zvládají uživatelé veřejného cloudu jeho bezpečnou konfiguraci?
Zbytečné chyby v nastavení
Jak to s bezpečností cloudu vypadá v praxi, zjišťovali výzkumníci společnosti Qualys ve studii 2023 Qualys TotalCloud Security Insights. Odhalili přitom, že zásadní mezery v konfiguraci z hlediska zabezpečení dat má v průměru asi polovina instancí u třech zmíněných poskytovatelů veřejného cloudu. Mezi nejčastější prohřešky patří vystavení cloudových instancí do internetu s veřejnou IP adresou, přestože není jejím cílem poskytování služeb veřejnosti, a pak používání softwaru bez ošetření jeho známých zranitelností. To je jeden z nejčastějších prohřešků, který stojí na začátku významné části úspěšných kybernetických útoků, bez ohledu na to, zda jde o cloud, nebo lokální systémy a sítě.
Někdy je až překvapivé, k jakým základním bezpečnostním prohřeškům v cloudu opakovaně dochází. Například až 99 procent disků používaných v Azure není šifrovaných nebo jejich uživatelé nepoužívají vlastní šifrovací klíče s pravidelnou rotací. Pro nadpoloviční většinu uživatelů není aktivováno vícefaktorové ověřování (MFA) a velmi často se pro větší pohodlí upřednostňuje otevřený přístup ke službám prostřednictvím internetu, tedy bez použití daleko bezpečnější VPN.
Aktivování funkcí na šifrování dat a vícefaktorové ověřování přitom často spočívá jen v označení daných předvoleb v nastavení cloudové služby a je zpravidla poskytováno bez jakéhokoli příplatku. Jde-li o pohodlnost nebo neznalost, asi není důležité, ale jasně se ukazuje, že uživatelé služeb veřejného cloudu na zabezpečení příliš nedbají. Podobně tristní je také situace v zálohování, kdy se až příliš často zapomíná na princip sdílené odpovědnosti, který uživatelům cloudových služeb ukládá povinnost zálohovat si vlastní data.
Cloud nemusí být složitý
Konfigurace cloudových prostředí není jednoduchá a ve firmách často chybějí specialisté, kteří zvládnou s platformami veřejného cloudu správně pracovat. Přitom často není nutné využívat pro podnikové aplikace komplexní cloudové platformy typu AWS či Azure, které vyžadují rozsáhlé odborné znalosti. Alternativou je aplikační hosting v cloudu, tedy využívání služeb konkrétních aplikací poskytovaných prostřednictvím internetu.
Formou aplikačního hostingu se často využívají například účetní a ekonomické aplikace, systémy pro personalistiku, CRM a další úlohy. Zajištění bezpečnosti a dostupnosti aplikací využívaných formou aplikačního hostingu je úkolem poskytovatele služby, který se stará také o aktualizace operačních systémů i aplikací a zálohování dat svých klientů. Parametry služby musejí být ošetřeny smlouvou a poskytovatel aplikačního hostingu musí prokázat své kompetence – například prostřednictvím certifikací spojených s bezpečnostní dat a řízením rizik.
U aplikačního hostingu zůstávají zachovány všechny výhody cloudových služeb, jako je spolehlivost, škálovatelnost a možnost využívat je odkudkoli prostřednictvím internetu. Finanční model je zpravidla postaven na měsíčním poplatku za požadovaný počet uživatelů a je tedy mnohem jednodušší a transparentnější než účtování za využití platforem veřejného cloudu. A co může být velkou výhodou – s lokálními poskytovateli aplikačního hostingu se domluvíte česky a budou mnohem pružnější při konfiguraci svých služeb podle specifických požadavků.
Když do cloudu, tak bezpečně
Přenos podnikových systémů a aplikací do cloudu je trendem a dává smysl z hlediska ekonomického i kyberbezpečnosti. Jako každý jiný nástroj je ale i cloud nutné umět správně používat, a především si také zvolit správnou službu pro daný účel.
•