Cine este responsabil de securitatea serviciilor Cloud

Focus (de , January 10, 2018)

În prezent, mai mult de două treimi din organizaţii se așteaptă ca furnizorii de servicii Cloud să aibă grijă de siguranţa datelor din „Nor“. Iar peste jumătate cred că este sarcina providerilor să asigure securitatea transferurilor de date între infrastructurile on-premises și mediile Cloud.

„Credinţa populară“ nu coincide însă întru-totul cu realitatea. Furnizorii de servicii Cloud sunt responsabili pentru protecţia fizică, operaţională și informatică a infrastructurilor tehnologice pe care le livrează, dar și companiile trebuie să asigure securitatea utilizării serviciilor Cloud subiacente.

Probleme la zi

Una dintre problemele actuale ale mediilor Cloud o reprezintă aplicaţiile care utilizează protocolul Open Authorisation (OAuth). În ultimii trei ani, numărul lor a crescut de la 5.500 la 276.000, iar analizele arată că cel puţin una din patru prezintă un risc crescut de securitate în mediul enterprise. Motivul – permisiunile extinse acordate de utilizatori, care acceptă astfel accesarea de către o terţă aplicaţie a fișierelor stocate în Cloud, dându-i dreptul de a modifica, șterge sau exporta datele. Ceea ce nu sună deloc bine în contextul GDPR.

Mai ales că este un risc cât se poate de real. În mai 2017, o falsă aplicaţie Google Docs a folosit protocolul OAuth prin a solicita utilizatorilor serviciilor Google accesul la conturile de Gmail. Utilizatorii care și-au dat acordul au permis aplicaţiei maliţioase să lanseze o campanie de phishing către toate contactele din contul compromis. Google a anunţat că doar 0,1% dintre utilizatori au fost afectaţi. Dar, la peste un miliard de conturi, se estimează că peste 300.000 de organizaţii au fost infectate.

Care sunt riscurile?

Problemele de securitate ale protocoalelor OAuth și managementul defectuos al datelor de cont creează breșe ușor de exploatat de către hackerii care ţintesc serviciile Cloud. Riscuri greu de controlat în condiţiile adopţiei extinse a mobilităţii în mediul enterprise, care facilitează utilizarea neautorizată a aplicaţiilor și serviciilor Cloud, scăpând controlului departamentelor IT.

Pentru o companie care folosește aplicaţii livrate as-a-Service dar utilizează modele de protecţie perimetrală caracteristice infrastructurilor on-premises, problemele sunt serioase. Pentru că nu poate ști dacă conturile utilizatorilor sunt compromise. Nu controlează ce categorii de date sunt încărcate, accesate și partajate în Cloud. Nu știe adresele IP de pe care se loghează utilizatorii cu drepturi privilegiate. Nu poate controla dacă un administrator a lăsat o sesiune deschisă permiţând accesul utilizatorilor neautorizaţi.

Există însă soluții…

… și se numesc Cloud Access Security Broker (CASB). Iar estimările sunt că, până în 2020, vor fi adoptate de 85% din companii.

Ca urmare a cererii pieţei, care începe să conștientizeze pericolul, tot mai mulţi vendori de sisteme de securitate lansează aplicaţii CASB. Cisco are deja propria soluţie – Cloudlock –, care se remarcă prin faptul că securizează mediile Cloud indiferent de cine, cum și de unde le accesează.

Ce este deosebit la Cloudlock? În primul rând faptul că soluţia Cisco este concepută pe o platformă API-based care permite să fie folosită imediat – Cloudlock este livrată ca serviciu, nu necesită un efort de integrare mare, nici configurări și dezvoltări complexe și nu are nicio limitare în ceea ce privește numărul de utilizatori finali.

Beneficiile arhitecturii API-based sunt însă mai numeroase:

Cloudlock nu poate fi „ocolit“ ca în cazul arhitecturilor Proxi prin utilizarea VPN-urilor;

Reduce la minimum degradarea performanţei aplicaţiilor și impactul asupra experienţei utilizatorilor;

Nu introduce noi vectori de atac sau puncte de intercepţie a traficului;
Analizează datele și modul de accesare al acestora și poate acţiona retroactiv;

Emite alerte în timp real asupra potenţialelor riscuri identificate;

Monitorizează și analizează nu doar traficul dintre infrastructurile on-premises și mediile Cloud, ci și cel Cloud-to-Cloud;

API-urile sunt dezvoltate de Cisco în colaborare cu principalii furnizori de servicii Cloud (Microsoft, Google, AWS, Salesforce, Slack, Okta, OneLogin, ServiceNow, Dropbox, Box etc.), lista crescând constant.

Pe scurt, Cloudlock asigură vizibilitate extinsă și conformitate cu regulile și politicile de securitate, ajutând administratori să ia măsuri în timp real pentru protecţia datelor, aplicaţiilor și serviciilor.

Cum funcționează?

În afara atuurilor menţionate anterior, Cloudlock integrează o serie de funcţionalităţi avansate. Cum este cea de „User and Entity Behavior Analytics“, cu ajutorul căreia depistează comportamentele anormale. Pentru aceasta, Cloudlock monitorizeaza toate activităţile din Cloud și dacă, de exemplu, un utilizator accesează un serviciu dintr-o anumită regiune geografică, iar apoi, peste câteva minute, dintr-o altă zonă aflată la sute de kilometri distanţă, semnalează o posibilă compromitere a contului.
(Se poate defini chiar o „viteză medie“, care, odată depășită, semnalează un potenţial risc.)

O altă funcţionalitate utilă este și cea de Data Loss Prevention. Cloudlock monitorizeaza datele cu caracter critic și semnalează tentativele de accesare din partea utilizatorilor neautorizaţi sau a celor care nu au drepturi de a realiza anumite acţiuni. Soluţia Cisco furnizează administratorilor IT informaţii în timp real asupra nivelurilor de risc și permite stabilirea unui sistem de reguli de alertare, pe baza cărora pot fi limitate sau revocate drepturile respectivilor utilizatori.
Cloudlock oferă protecţie avansată și împotriva utilizării neautorizate a aplicaţiilor Cloud care pot crea breșe de securitate. Exemplul cel mai frecvent sunt paginile web care includ butoane de tipul „Login with Google“ – o dată dat acceptul, utilizatorul permite de fapt respectivei aplicaţii să-i acceseze contul. Pentru blocarea acestui malware „Cloud-native“, Cloudlock folosește analize reputaţionale și evaluări de risc furnizate de serviciile de Security Intelligence. Pentru o protecţie superioară, Cloudlock se poate însă integra cu soluţii de tip Applications Firewall, care blochează utilizarea aplicaţiilor Cloud neautorizate.
În contextul GDPR, Cloudlock este o soluţie utilă și necesară pentru că ajută companiile să gestioneze și protejeze informaţiile sensibile, depistând în timp util activităţile suspecte. Soluţia Cisco controlează peste 300.000 de aplicaţii Cloud și poate verifica cine, cum și ce resurse accesează, precum și traficul Cloud-to-Cloud dintre aceste aplicaţii.
Se poate și mai mult

Așa cum aminteam, pentru a oferi o protecţie cât mai extinsă Cloudlock se integrează cu numeroase soluţii „consacrate“: firewall-uri de nouă generaţie (ASA cu FirePower), aplicaţii de tip Secure Web Gateway (Cisco Umbrella, Check Point SWG), soluţii de detecţie malware (Cisco AMP, VMRay, Check Point), sisteme SIEM (LogRhythm, IBM, ArcSight, Splunk) etc. Protecţia integrată a infrastructurilor on-permises și a mediilor Cloud prin management centralizat al serviciilor, aplicaţiilor și platformelor și automatizarea măsurilor de protecţie necesită însă serviciile unui integrator de sistem care trebuie să aibă experienţă și competenţe atât în domeniul tehnologiilor Cisco, cât și al soluţiilor avansate de securitate. Datanet Systems întrunește ambele condiţii: este principalul partener
Cisco în România și are numeroase proiecte în domenii cu cerinţe critice pe zona de securitate (financiar-bancar, telecom, utilităţi, medical etc.).

Material publicat în Cybersecurity Trends, nr. 4/2017

Tags: , , , ,

Trackbacks

Leave a Trackback