Manažér bezpečnosti: Cloudy sú zatiaľ príliš deravé

Z hľadiska manažéra bezpečnosti je riešenie umiestnené v cloude prístupnom cez web aj v rámci testovacieho prostredia príliš zraniteľné.

Tak to je skvelé načasovanie! Bol som na konferencii RSA, kde som sa sústredil na problematiku cloud computingu, a hneď potom som bol pozvaný na firemnú poradu, kde sme prediskutovávali náš prvý pokus o nasadenie tohto výpočtového modelu.

Naše oddelenie IT sa totiž rozhodlo pre kontrakt s poskytovateľom IaaS (Infrastructure-as-a-service, infraštruktúra ako služba), v rámci ktorého by došlo k hostingu časti nášho vývojárskeho prostredia. Ak sa tento prvotný projekt vydarí, mohli by byť na rade niektoré ďalšie časti nášho produkčného prostredia.

Pretože som si o tejto téme prečítal relatívne dosť informácií z technickej dokumentácie a navštívil som aj rôzne semináre, považoval som sa za dostatočne oboznámeného, aby som mohol klásť otázky, ktoré musia byť zodpovedané, aby som mohol zostať pokojný ohľadom iniciatívy otvárajúcej nové brány do našej siete a k našim dátam.

Spomínaný plán obsahuje myšlienku presunúť vlastné vývojárske prostredie pre prostredie SAP-u do cloudu. Naši vývojári zvyčajne testujú aplikácie so skutočnými produkčnými dátami. Keď použijú finančné dáta na testovacom serveri nášho vlastného dátového centra, nevzniká žiadny problém. Bolo by však niečo úplne iné, keby takýto server mal byť umiestnený niekde ďaleko a mimo našej kontroly. V tomto prípade by totiž naše hosťované servery boli v skutočnosti umiestnené v dátovom centre príslušného poskytovateľa hostingu.

Sú tu teda možné dve úrovne separácie. Plán zahŕňa konfiguráciu niekoľkých virtuálnych serverov s operačnými systémami Linux a Windows v zdieľanom prostredí systému VMware ESX Server. Dodávateľ cloudového riešenia od nás požaduje vytvorenie tunela VPN (Virtual Private Network, virtuálna privátna sieť). Nie som nijako nadšený z toho, že nebudeme mať kontrolu nad bodom, kde je VPN ukončená, a skutočnosť, že tento uzol je tvorený linuxovým serverom využívajúcim softvér VPN licencovaný ako open source, to nijako nemení.

Po zapracovaní mojich poznámok prameniacich z obavy o bezpečnosť náš dodávateľ chce, aby sme používali zdieľaný kľúč na autentifikáciu VPN zostavenej medzi zariadeniami. Plánu povinného použitia certifikátov pri vykonávaní autentizácie som sa bránil. Takisto som vytvoril pravidlá pre firewall, ktoré obmedzujú servery z infraštruktúry dodávateľa v tom, aby nemohli pristupovať ďalej do našej siete.

Jednoduché riešenie
Potom som si vzal na mušku webovo orientovanú správnu aplikáciu, ktorú naši technici musia používať. Ak porovnáte túto aplikáciu s naším súčasným riadením prístupu do dátového centra, sú zraniteľnosti tej novej také veľké, že by aj dospelého manažéra zabezpečenia rozplakala. Doteraz by záškodník musel poznať fyzické umiestnenie nášho dátového centra, ďalej získať visačku oprávňujúcu na to, aby mohol do budovy vstúpiť, a na to, aby sa do dátového centra dostal, musel by si zohnať ešte ďalšiu visačku a potom nejako prekabátiť biometrický skener - a takisto by musel presne vedieť, v ktorých rozvádzačoch má hľadať servery, ktoré si vyhliadol na útok.

V porovnaní s tým webová správna aplikácia vyžaduje len prihlasovacie meno a heslo, je prístupná odkiaľkoľvek cez internet a navyše všetci zákazníci používajú rovnakú adresu URL. Jediná vec, ktorú potom útočník potrebuje, je program zaznamenávajúci stlačené klávesy (Keystroke logger). A tu je ukážka, ako si náš dodávateľ cení zabezpečenie: Dáva klientom dočasné heslá bez požiadavky na ich zmenu po úvodnom prihlásení a ani nevynucuje použitie silných hesiel.

Mal som, samozrejme, ešte ďalšie otázky a odpovede moju dôveru nijako nepodnecovali. Ako by sme sa dozvedeli, keby došlo k neautorizovanej manipulácii s naším prostredím niekým zo zamestnancov, kto by bol rozhnevaný alebo chcel plánovite urobiť nejaké huncútstvo? „Hm, to nás nikdy nenapadlo, ale naša ponuka je zameraná výhradne na vývojové prostredia,“ znela ich odpoveď.

Dobre, ako je to teda so šifrovaním? „Pretože poskytujeme služby pre vývojárske prostredia, radíme zákazníkom, aby citlivé produkčné dáta vo vývojovom prostredí nepoužívali.“ Skutočne ich zákazníci vytvárajú dáta z ničoho alebo, naopak, skôr uplatnia tie, ktoré majú už k dispozícii v produkčnom prostredí?

Záver je taký, že musíme prejsť ešte dlhú cestu, kým budeme môcť nadviazať dôverný vzťah medzi infraštruktúrou poskytovateľov cloud computingu a sieťou našej firmy, pretože v zabezpečení je ešte priveľa oblastí, ktoré je nevyhnutné u nich zlepšiť.

Zdroj: computerworld.cz