Odpovědnost za zabezpečení cloudu je věcí samotných firem; stále více z nich si to uvědomuje a nepokládá to pouze za problém poskytovatele cloudu. Organizace Cloud Security Alliance publikovala v této souvislosti studii analyzující bezpečnostní problémy cloudu.
Průzkum (výsledky jsou založeny na průzkumu mezi experty) ukazuje, že poskytovatelé cloudu přitom svou práci odvádějí dobře, protože s nimi související rizika (ztráta/únik dat ze strany poskytovatele, zranitelnosti sdílených cloudových technologií, dostupnost služeb v důsledků útoků DDoS apod…) nebyla aktuálně považována za významná.
Za rizikové se na prvním místě podle studie pokládají úniky dat, k nimž se dostanou koncoví uživatelé se škodlivými úmysly (vnější i vnitřní nepřátelé). Podniky mívají pro cloud špatně nastavená řízení přístupu, lidé se dostávají i k datům, která nepotřebují. Z důvodu rychlosti přístupu podniky často data v cloudu nešifrují. Data v cloudu by ovšem měla mít přiřazena (různou) obchodní hodnotu a z toho by se pak odvíjelo i to, nakolik vyžadují speciální ochranu i za cenu nižšího uživatelského komfortu/rychlosti aplikace. Více by se měla používat dvoufaktorová autentizace a omezit účty s příliš mnoha oprávněními (za vznikající bezpečnostní rizika jsou přitom často přímo odpovědní ti, kdo systémy spravují). Využívat by se měly systémy IAM (identity and access management), s jejichž pomocí lze minimalizovat rizika krádeže přístupových údajů/účtů. S tím souvisí i to, že by podniky měly lépe sledovat, jak vlastně jejich zaměstnanci s cloudovými službami pracují, včetně práce mimo firmy (z domova, ze soukromých mobilních zařízení)…
Podniky mají své cloudy běžně špatně nakonfigurovány, změny konfigurací mívají často za následek oslabení zabezpečení. Zde by pomohla větší automatizace a implementace systémů, které by na vznik bezpečnostních mezer preventivně upozorňovaly, eventuálně bezpečnostní zásady vynucovaly i v cloudu, což může mít třeba podobu uzamknutí určitých nastavení.
Jako další problém byla v průzkumu zmíněna bezpečnostní rizika související s rozhraními API, nedostatečná viditelnost cloudu a to, že poskytovatelé neseznamují v dostatečně míře své zákazníky s bezpečnostními opatřeními, která provádějí sami – např. jak často se provádějí penetrační testy, jaké ty poslední přinesly výsledky a jaké byly v reakci na to podniknuty kroky. Každá cloudová služba by měla být schválena člověkem, který je za zabezpečení cloudu v rámci podniku odpovědný. Běžným zdrojem bezpečnostních rizik je rovněž situace, kdy si jednotlivá oddělení objednávají cloudové služby ve vlastní režii, a vytvářejí tak stínové IT.
Zdroj: ZDNet
