Poskytovatel vašeho cloudu není poskytovatelem vašeho zabezpečení - překvapeni?
Jenže to v ceně rozhodně není. Možná se o tom nemluví dostatečně nahlas, ale úspory, které přechod do cloudu z on-premise řešení umožňuje, se týkají různých oblastí jen ne zabezpečení.
Když firma přejde do cloudu, už se nemusí starat o hardware, ušetří na spotřebě a na nutnosti údržby a řešení problémů. To vše ano. Ale nikde v tom seznamu nenajdete odstranění nákladů na zabezpečení a odborníky, kteří ji zajišťují. Proč? Protože odchod z on-premise neznamená odchod z IT. I když cloudovou infrastrukturu nevidíte, pořád se na ni vztahují podobné principy a procesy.
Základní zásady
První důležitý bod, který musíte mít na mysli, je okamžitý update a upgrade operačního systému na nejnovější stabilní verzi. Když vám poskytovatel zpřístupní prostředí, kde si můžete nasadit virtuální stroj (VM), určíte si operační systém, který chcete, aby na stroji běžel. Tyto OS se tahají z image banky, kterou dává poskytovatel k dispozici.
Updaty a upgrady vycházejí pořád, takže není v silách poskytovatele udržovat je aktuální. To je na vás. A pak samozřejmě reboot.
Druhý důležitý bod je ochrana virtuálního serveru před průnikem zvenčí. Pokud si server nasazujete, ujistěte se, že buď
- není okamžitě připojený na veřejnou IP adresu
- nebo máte možnost ochrany pomocí hesla.
Nejlepší je mít možnost využít možnosti SSH klíče nebo si alespoň vybrat své heslo při objednávce služby.
Třetí důležitý bod se týká přístupnosti z internetu. Musíte si ujasnit, jestli případně jaké porty mají být dostupné. Například web musí být dostupný z internetu, takže tam je volba jasná. Pak jsou ale jiné systémy, které využíváte, a není potřeba je mít přístupné zvenku. Pak použijte VPN, všechny aspekty vaší firmy vám pak vřele poděkují.
Jak nasazovat virtuální servery bezpečně
Nyní se podíváme na postup, který vám odkryje to velké tajemství – jak na bezpečné nasazení virtuálního stroje, na co si dát pozor a hlavně – proč si musíte ve firmě nechat systémového administrátora (SA) a síťaře, i když už máte firemní IT v cloudu.
Nedivte se, popisujeme vystřelení Linux serveru.
- SSH klíč – ještě než se vůbec dostanete k samotnému serveru, je ideální, když do prostředí můžete nahrát SSH klíč a okamžitě zvýšit ranking svého zabezpečení.
- Privátní síť – Jakmile přistoupíte k nasazení čistého VM pouze s nainstalovaným operačním systémem, vystřelte ho na privátní síti. V tu chvíli váš server do internetu vidí, ale pro internet neexistuje.
- Správné porty – Ve firewallu si poté nastavíte porty, které budou zvenku otevřené. A tady se nám objevuje první potřeba spolupráce SA a síťaře. Potřebujete zjistit, které porty vlastně musí být otevřené, jestli některé, a jak systém upravit, aby neohrozil bezpečnost celého prostředí.
- Aktuální verze – A pak nastává bod, se kterým už jsme se setkali. Update, upgrade a reboot.
Jestli jste nyní zažili chvíle jako
- Co je to …?
- To jsme nevěděli…
- To jsme nedělali…
- Mysleli jsme, že to není nutné…
a podobně, je potřeba udělat kroky k nápravě, protože zabezpečení je velmi křehká věc – když ji neopečováváte správně, při malém tlaku se roztříští. Následkem pak může být ztráta dat, požadavky na výkupné, ztráta architektury nebo využití vašeho prostředí pro napadnutí jiného prostředí. Můžete se pak divit, kolik to stojí očistit například IP adresu.
Bezpečnost cloudu je zčásti zodpovědností poskytovatele – těžko vám dá přístup k datovému centru, abyste si tam dali mříže (to je nadsázka, samozřejmě). Ale velká část této zodpovědnosti leží a vždycky bude ležet na vás. Je to ta oblast, která není vidět, a ve které se vyznají pouze odborníci.
Systémový administrátor chápe potřeby vaší firmy, způsob fungování a ví, jak musí IT fungovat, aby firma fungovala. Síťař je tam od toho, aby s SA spolupracoval a zajistil, že pokrytí potřeb firmy bude prováděno bezpečně.
Setkali jsme se běžně s tím, že virtuální privátní servery (VPS) dostanete se všemi porty otevřenými do internetu. To je jako dát si na sebe obří terč s červenou šipkou a nápisem „Útočte sem“. Jenomže tato šipka míří na online prostředí, ve kterém máte například citlivá data.
Neberte zabezpečení na lehkou váhu. Můžeme říct, že v dnešní době je plně rozšířený kyberterorismus – nikdy nevíme, kdo se stane obětí kyberzločinu a může to být skutečně kdokoli. Máte ale příležitost sebrat útočníkům možnosti na vás útočit, tak je využijte a zeptejte se, co je třeba změnit.
