Ce trebuie să știi atunci când utilizezi o platformă cloud

de: Bogdan Cristea
27 01. 2016

În cazul în care te numeri printre utilizatorii novici ai platformelor cloud, sunt câteva lucruri importante pe care ar trebui să le știi.

În prezent, Microsoft, Google și Apple sunt considerați cei mai importanți furnizori de servicii de tip cloud. Cele trei companii au avut, însă, de suferit în urma infiltrării hackerilor în rețelele proprii. Unul dintre aceste exemple este cazul Apple. În urma incidentului “Celebgate” au fost scoase la iveală poze personale ale celebrităților ce utilizau platforma iCloud, cauzând astfel multe titluri nedorite în presă.

Furnizorul britanic de tehnologie Code Spaces a intrat în faliment anul trecut, în urma șantajului unor hackeri, care ulterior au șters date importante de pe platforma de tip cloud Amazon Web Services. În 2013, un certificat SSL expirat al platformei de tip cloud Azure. a gigantului Microsoft, le-a oferit hackerilor oportunitatea de a se infiltra în Xbox Live și într-o mulțime de alte platforme de tip cloud.

Atacurile au crescut cu 45% la nivel global în ultimul an, conform datelor companiei de securitate cloud Alert Logic. Un studiu al companiei Forrester Research arată că, în următorii cinci ani, cheltuielile companiilor pentru a consolida protecția platformelor de tip cloud vor fi de aproximativ 2 miliarde de dolari.

Între timp, utilizatorii novici sunt cei mai expuși riscurilor, din cauza lipsei de informații și a dificultății de a folosi noi metode pentru a organiza utilizatorii, datele, în vederea securizării acestora. În acest condiții, vă prezentăm mai jos câteva lucruri pe care orice utilizator novice al platformelor cloud ar trebui să le știe.

Familiariarea cu zonele din cadrul cloud-ului

În momentul selectării companiei care oferă serviciile cloud, utilizatorii să ceară lista furnizorilor cu care aceștia colaborează. Platforma de tip cloud este un mediu dinamic a cărui arhitectură necesită actualizare frecventă pentru a face față amenințărilor.

De asemenea, companiile trebuie să verifice care sunt limitele modelelor de securizare comune ce vin la pachet cu serviciile de tip cloud. Trebuie să se asigure că înțeleg pe deplin responsabilitățile furnizorului de servicii dar şi pe ale companiei. Unele dintre serviciile cloud, precum IaaS, transferă companiilor responsabilitatea de a securiza aplicațiile şi datele din platforma de tip cloud.

Noi aplicaţii, noi modalităţi de protecţie

Pentru a securiza accesul în aplicațiile de tip cloud, trebuie să fie dezvoltată o schemă granulară de acces la date. Se poate obține asta prin distribuirea drepturilor de acces în funcție de roluri, poziție în companie şi proiecte. Acest lucru va aduce încă un nivel de protecție atunci când hackerii vor reuși să fure datele de logare în sistem ale angajaților.

Pentru a imbunatatii securitatea procesului de autentificare pot fi implementate sisteme cu dublă autentificare, verificarea nivelului de securitate al echipamentului utilizatorului conform politicilor de securitate stabilite şi implementarea unor parole valabile pentru o singură utilizare. Cei de la Fortinet recomandă chiar modificarea ID-urilor utilizatorilor odată cu autentificarea inițială.

Importanța criptării datelor

Criptarea nu poate preveni întotdeauna furtul datelor sau hacking-ul, dar poate proteja afacerea prin prevenirea unor amenzi foarte mari din partea organismelor de reglementare atunci când un astfel de eveniment apare.

Compania trebuie să ceară furnizorului platformei cloud detalii legate de sistemul de criptare a datelor. Una dintre informațiile esențiale este cea legată despre cum sunt criptate datele nefolosite, cele în folosință și cele în proces de transfer. Pentru a înțelege ce date trebuie criptate, trebuie să se cunoască locul unde sunt stocate: pe serverele furnizorului platformei cloud, pe serverele unui terţ, laptop-urile angajaților, computerele de birou sau echipamente conectate prin USB.

Noţiunea de shadow IT

Nu sunt puține rapoartele și analizele care arată că utilizarea neautorizată a aplicațiilor și serviciilor de tip cloud, sau shadow IT, este în creștere în rândul afacerilor. Faptul că aceste acțiuni nu sunt controlate aduc o mare amenințare de securitate și de asemenea reprezintă o provocare pentru guvernanți.

Din acest motiv, noua ta aplicație de tip cloud va reprezenta un factor de risc. Unul dintre scenarii este momentul în care angajații unei companii se folosesc de smartphone pentru a deschide un fișier. Cel mai probabil, telefonul va reproduce o copie a fișierului, care în momentul unui backup automat va fi trimisă într-un spațiu de stocare online neautorizat. Astfel, datele securizate  ale companiei tocmai au fost copiate într-o locație nesecurizată.

Prevenind accesul la shadow IT nu va stopa dezvoltarea acestuia în cadrul organizațiilor. De aceea, este mult mai eficient să se inițieze un proces de educare a utilizatorilor, alături de care să fie implementate tehnologii ce pot gestiona asemenea probleme. Criptarea datelor, monitorizarea rețelelor și unelte de management al securității sunt foarte utile în aceste condiții.