Mennyire biztonságos a nyilvános felhő?

Amikor valamilyen adatot nyilvános felhőbe mentünk vagy szinkronizálunk, már akkor is valamelyest bennünk lehet a félsz, amikor mindezt magánszemélyként, kevésbé fontos vagy titkos információkkal tesszük. Mert ugyebár onnantól, hogy kiadjuk a kezünk közül, másokra bízzuk – ráadásul a felhő esetében sokszor ismeretlenekre, akik fizikailag ismeretlen helyen tárolják majd, és persze abba se látunk bele, hogy az általuk ígért biztonságot pontosan milyen megoldások szavatolják.

Ráadásul manapság egyre-másra lehet olvasni különféle olyan híreket, amelyekben felhő alapú tárhelyek biztonsági hibáiról, adatszivárgásokról, titkosítási problémákról esik szó. Épp ezért még hatványozottabb az aggodalom mértéke akkor, ha vállalatként keresünk nyilvános felhőtárhelyet valóban érzékeny adatoknak. Persze alternatív megoldásként ott a privát felhő (vagy akár a betonbiztosnak gondolt, ám jóval kevésbé rugalmas belső tárhelyek), de közben pont a flexibilitás, a távmunka, a sok-lokációs működés szólhat egy valóban hatékony nyilvános szolgáltató mellett. Már csak az a kérdés, mennyire adott feléjük a vállalati informatikai döntéshozók bizalma.

A Check Point Software és a Cybersecurity Insiders ezt a kérdést vizsgálta az általuk kiadott 2020-as felhőbiztonsági tanulmányban, amelyben összegyűjtik az összes olyan kihívást, amelyekkel a nagyvállalatok biztonsági személyzetének szembe kell néznie, amikor nyilvános felhőt használnak adattárolásra és egyéb munkafolyamatokra.

Bizalom gyenge lábakon

A jelentés szerint a nyilvános felhőkkel kapcsolatos biztonsági kérdések továbbra is nagy kihívást jelentenek: a válaszadók 75%-a nyilatkozott úgy, hogy „nagyon aggódik” vagy „rendkívüli módon aggódik” miattuk. A kihívást még összetettebbé teszi, hogy 68% azt mondta, az általa képviselt szervezet kettő vagy több nyilvános felhőszolgáltatót is használ. Ez azt jelenti, hogy a biztonsági csapatnak több helyi biztonsági eszközt és menedzsment konzolt kell használnia a különböző környezeteknek való megfelelés miatt. A jelentés leftonsoabb eredményei további érdekes részletekre világítanak rá.

A nyilvános felhőkkel összefüggő, legnagyobb biztonsági veszélyek között a felhőplatform hibás konfigurációja (68%) a 2019-es hasonló jelentésben betöltött harmadik helyről az élre ugrott. Ezt követi a jogosulatlan hozzáférés (58%), a nem elég biztonságos interfészek (52%) és a felhasználói fiókok eltérítése (50%). A bevezetéssel kapcsolatban legnagyobb problémaként a válaszadók a megfelelően képzett alkalmazottak hiányát nevezték meg (55%) – a tavalyi felmérésben ez még az ötödik helyen szerepelt. 46% említette a költségvetési korlátokat, 37% az adatvédelmi problémákat, 36% pedig a szervezet telephelyein működtetett biztonsági rendszerekkel való integráció hiányát.

A nyilvános felhő és a meglévő biztonsági eszközök összefésülésével kapcsolatban 82% nyilatkozott úgy, hogy a hagyományos biztonsági megoldásaik vagy egyáltalán nem, vagy csak korlátozottan tudnak működni a felhő környezetekben – 2019-ben a válaszadóknak a 66%-a jelölte ezt meg problémaként, ami felhívja a figyelmet a felhő-biztonsággal kapcsolatos nehézségeknek az elmúlt 12 hónapban tapasztalt növekedésére. A kockázatokat rangsorolva az adatkiszivárgás veszélyét a válaszadók 52%-a tekintette a nyilvános felhőkben nagyobbnak, mint a hagyományos, telephelyeken működő IT környezetekben. Mindössze 17% gondolja alacsonyabbnak a kockázatot, míg 30% véleménye szerint ugyanakkora a kockázat mindkét környezet esetében.

Fontosak a pénzügyek is: a szervezetek 59%-a számol azzal, hogy a következő 12 hónap során növekedni fog felhőbiztonsági költségvetése. A szervezetek átlagosan a biztonsági költségvetésük 27%-át allokáljak felhőbiztonságra. A Check Point Software cloud termékvonalának vezetője, TJ Gonen a jelentést elemezve elmondta, hogy a szervezetek felhő-migrációja és -alkalmazása előrébb jár, mint a biztonsági szakembereik lehetőségei a támadásokkal és az adatszivárgásokkal szembeni védelem terén. Meglévő biztonsági megoldásaik csupán korlátozott védelmet nyújtanak a felhőkkel kapcsolatos fenyegetésekkel szemben, miközben szakembereik sokszor nem rendelkeznek a biztonsági és megfeleltetési folyamatok fejlesztéséhez szükséges szakértelemmel.