Zabezpečení
Zdravotnické organizace ukládají osobní a potenciálně citlivá data zákazníků. Finanční instituce ukládají čísla účtů, zůstatky a historie transakcí. Maloobchodní prodejci ukládají historii nákupů, informace o účtech a demografické údaje o zákaznících. Bezpečnostní incident může citlivá data zpřístupnit, což by mohlo způsobit osobnostní újmu nebo finanční škodu. Jak zajistíte integritu dat zákazníka a zajistíte zabezpečení vašich systémů?
V této lekci se seznámíte s důležitými prvky pilíře zabezpečení.
Co je zabezpečení?
Zabezpečení spočívá v ochraně dat, která vaše organizace používá, ukládá a přenáší. Data, která vaše organizace ukládá nebo zpracovává, jsou v samém centru zabezpečitelných prostředků. Mohou mezi ně patřit citlivá data o zákaznících, finanční informace o vaší organizaci nebo nepostradatelná obchodní data, která podporují vaši organizaci. Zabezpečení infrastruktury, na které data existují, spolu s identitami používanými k přístupu k datům, je také velmi důležité.
Vaše data můžou podléhat přísnějším právním a regulačním požadavkům. Tyto dodatečné požadavky závisí na tom, kde se nacházíte, na typu dat, která ukládáte, nebo na odvětví, ve kterém vaše aplikace funguje.
Například ve zdravotnictví Spojených států existuje zákon nazývaný HIPAA (Health Insurance Portability and Accountability Act). Ve finančním odvětví se používá soubor bezpečnostních standardů PCI DSS (Payment Card Industry Data Security Standard) cílených na zpracování údajů platebních karet. Organizace, které ukládají data, na která se vztahují tyto zákony a standardy, musí zajistit, aby byla zajištěna určitá ochranná opatření pro ochranu těchto dat. V Evropě stanoví Obecné nařízení o ochraně osobních údajů (GDPR) pravidla, jak jsou chráněné osobní údaje, a definuje práva jednotlivců související s uloženými daty. Některé země nebo oblasti vyžadují, aby určité typy dat neopustěly svá ohraničení.
Když dojde k narušení zabezpečení, může to mít významný vliv na finance a pověst organizací i zákazníků. Porušení zabezpečení rozdělí důvěru, kterou zákazníci jsou ochotni instilovat ve vaší organizaci, a může ovlivnit dlouhodobý stav organizace.
Hloubková ochrana
Vícevrstevný přístup k zabezpečení vašeho prostředí zvyšuje stav zabezpečení. Vrstvy zabezpečení, často označované jako hloubková ochrana, můžeme rozdělit následujícím způsobem:
- Data
- Aplikace
- Virtuální počítače/výpočetní prostředky
- Sítě
- Hranice
- Zásady a přístup
- Fyzické zabezpečení
Každá vrstva se zaměřuje na jinou oblast, kde může dojít k útokům, a vytvoří hloubku ochrany, pokud jedna vrstva selže nebo útočník ji obchází. Pokud byste se chtěli zaměřit jen na jednu vrstvu, útočník by měl nefetterovaný přístup k vašemu prostředí, pokud by se dostal přes tuto vrstvu.
Řešení zabezpečení ve vrstvách zvyšuje úsilí, které musí útočník vynaložit, aby získal přístup k vašim systémům a datům. Každá vrstva má různé ovládací prvky zabezpečení, technologie a možnosti, které platí. Při stanovování ochran, které se mají zavést, se často zohledňují náklady. Potřebujete vyvážit náklady s obchodními požadavky a celkovým rizikem pro firmu.
Vaši architekturu plně nechrání žádný systém zabezpečení, řízení ani technologie. Zabezpečení je více než pouhá technologie; zahrnuje rovněž lidi a procesy. Vytvoření prostředí, které vypadá holisticky na úrovni zabezpečení a ve výchozím nastavení to vyžaduje, pomáhá zajistit, aby vaše organizace byla co nejbezpečnější.
Ochrana před běžnými útoky
V každé vrstvě existují některé běžné útoky, proti kterým chcete chránit. Následující seznam není vyčerpávající, pomůže vám ale získat představu, jak lze jednotlivé vrstvy napadnout a jaké typy ochrany budete potřebovat.
Datová vrstva: Zveřejnění šifrovacího klíče nebo použití slabého šifrování může ponechat vaše data zranitelná, pokud dojde k neoprávněnému přístupu.
Aplikační vrstva: Injektáž a spuštění škodlivého kódu jsou klasickými útoky v aplikační vrstvě. K běžným útokům patří útok prostřednictvím injektáže SQL a skriptování mezi weby (XSS).
Vrstva virtuálních počítačů/výpočetních prostředků: Malware je běžnou metodou napadení prostředí, který zahrnuje spuštění škodlivého kódu, aby ohrozil bezpečnost systému. Po výskytu malwaru v systému může dojít k dalším útokům, které vedou k odhalení přihlašovacích údajů a laterálnímu pohybu v celém prostředí.
Síťová vrstva: Využití nepotřebných otevřených portů k internetu je běžnou metodou útoku. Otevřené porty můžou zahrnovat také ponechání protokolů SSH nebo RDP otevřených virtuálním počítačům. Když jsou tyto protokoly otevřené, umožňují na vaše systémy útočit hrubou silou, kdy se k nim útočníci snaží získat přístup.
Hraniční vrstva: Útoky doS (Denial-of-Service) se v této vrstvě často objevují. Tyto útoky se snaží zahltit síťové prostředky, vynutit jejich přechod do offline režimu nebo znemožnit jejich reakci na oprávněné žádosti.
Zásady a vrstva přístupu: Tato vrstva je místo, kde probíhá ověřování pro vaši aplikaci. Do této vrstvy mohou patřit moderní ověřovací protokoly jako OpenID Connect, OAuth nebo ověřování založené na protokolu Kerberos, jako je Active Directory. Prozrazené přihlašovací údaje představují v této vrstvě riziko a je proto důležité omezit oprávnění identit. Chcete mít také zavedené monitorování a hledat možné ohrožené účty, jako jsou přihlášení pocházející z neobvyklých míst.
Fyzická vrstva: Neoprávněný přístup k zařízením prostřednictvím metod, jako jsou koncepty dveří a krádež bezpečnostních odznáček, může na této vrstvě dojít.
Společná odpovědnost za zabezpečení
Revizí modelu sdílené odpovědnosti můžeme tento model přepracovat v kontextu zabezpečení. V závislosti na typu služby, kterou vyberete, se do služby zabudují některé bezpečnostní ochrany, zatímco jiné zůstávají vaší zodpovědností. Pečlivé vyhodnocení služeb a technologií, které vyberete, jsou nezbytné, abyste měli jistotu, že poskytujete správné bezpečnostní mechanismy pro vaši architekturu.