În articolul anterior discutam principiile de securitate aplicate platformelor de cloud, ce au la bază modelul Zero Trust Security. Acesta este complet diferit de ideea de a concentra tehnologiile de securitate pentru crearea unui perimetru puternic securizat, cu scopul de a ține atacatorii în afara acestuia. Aplicarea măsurilor de securitate specifice infrastructurilor enterprise, se baza pe tratarea serviciilor și resurselor poziționate în acest perimetru securizat ca fiind credibile și protejate, tot ceea ce se afla în exterior fiind privit ca potențial ostil.
Noile principii de securitate pe baza cărora sunt dezvoltate actualele tehnologii de securitate în cloud
În epoca tehnologiilor cloud și a infrastructurilor hibride, aceste principii sunt înlocuite de o nouă atitudine față de nevoile de securitate bazată pe ideea asumării breșelor de securitate și a modelului de încredere zero (Zero Trust), ce scot în evidență realitatea zilelor noastre, ce forțează organizațiile să nu mai considere că apărarea perimetrului de siguranță este exclusiv apanajul specialiștilor de securitate. Organizațiile moderne, aflate în plin proces de transformare digitală a afacerii și infrastructurilor proprii sunt obligate să ofere acces la datele și serviciile proprii utilizatorilor și angajaților aflați atât în spatele soluțiilor de securitate firewall cât și în afara acestora.
Modelul încrederii zero (ZTM) a fost introdus de firma de analiză Forrester Research. După cum aminteam în prima parte a acestui articol, acesta introducea conceptul validării continue a securității în locul asumării directe a acesteia în funcție de poziționarea resurselor și a consumatorilor acestora. Totodată, pleacă de la ideea că, odată ce utilizatorii și dispozitivele acestora primesc acces la resursele organizației, nu va mai fi implicit asumat nivelul de securitate doar prin poziționarea consumatorilor în perimetrul organizației, acesta fiind continuu validat.
Implementarea tradițională a tehnologiilor de securitate este strâns legată de tipologia resurselor ce trebuie protejate și este realizată la nivelul organizației. Scenariile în care sunt implicate resurse ale mai multor organizații folosite în parteneriat din locații multiple, complică destul de mult modul de implementare și control al securității și ridică problema responsabilității partenerilor față de eventualele breșe de securitate și atacuri derulate asupra resurselor. Monitorizarea istorică a evenimentelor ce au loc în fiecare organizație va trebui corelată astfel încât să fie surprinse și aspectele legate de comportamentul utilizatorilor organizațiilor partenere. Acest lucru impune folosirea unor platforme de monitorizare și analiză poziționate în afara infrastructurilor auditate.
Poziționarea resurselor organizaționale în cloud pune la dispoziția utilizatorilor un număr mare de componente de infrastructură plasate la nivel global, simplificând modul în care organizațiile pot colabora pentru schimbul reciproc de date. Totodată împarte responsabilitatea implementării măsurilor de securitate între vendor (care furnizează infrastructura contra cost) și organizația ce deține și plătește subscripția cloud, acest model fiind numit model de responsabilitate partajată (Shared Responsability Model). Acest nivel de responsabilitate este strâns legat de tipul resurselor din cloud, cele de tip Infrastructure as a Service (IaaS) având o responsabilitate mai ridicată a organizației iar cel de tip Software as a Service (SaaS) pentru vendor, cum poate fi ușor identificat în imaginea 1.
Imaginea 1 - Shared Responsability Model, sursa Microsoft Docs
Pentru a înțelege cum se aplică acest principiu de partajare a responsabilității, să luăm spre exemplificare o mașină virtuală (VM) în Azure (resursă cloud IaaS) pe care organizația va ține o aplicație proprietară. În timp ce vendorul Microsoft este responsabil pentru securitatea mediilor de rețea fizice, a mediilor de stocare fizice și a platformei de virtualizare inclusiv update-urile serverelor fizice, organizația ce va utiliza această mașină virtuală are responsabilitatea de a securiza punctele de acces publice și interne către VM, update-urile periodice ale sistemului de operare al acesteia și securizarea aplicațiilor ce vor fi instalate în aceasta.
În cazul în care organizația decide ca în locul mașinii virtuale să folosească servicii Platform as a Service (PaaS), vendorul va proviziona și gestiona instanțele ce vor pune la dispoziția organizației serviciile necesare, garantând securitatea acestora, update-urile periodice ale sistemelor de operare si a platformei software, precum și monitorizarea, scalabilitatea și reziliența. Există însă o zonă de responsabilitate comună pentru serviciul de autentificare și autorizare , platforma de aplicație accesată (spre exemplu Web services sau SQL database) și controlul securității în rețea (expunerea endpointurilor, activarea serviciilor de firewall, DDoS sau VPN, deschiderea porturilor necesare, alocarea de adrese IP publice).
La o soluție Software as a Service, ca Microsoft 365, responsabilitatea vendorului Microsoft include și platforma de aplicație și controlul mediului de rețea (endpointurile sunt predefinite), responsabilitatea comună fiind doar pe zona platformei de identity. Indiferent însă de model, organizația va fi întotdeauna responsabilă pentru definirea conturilor de acces, a parolelor, protecția datelor personale și implementarea mecanismelor de governance, gestionarea accesului și activarea licențelor asociate utilizatorilor.
Conform principiilor de proiectare aplicate infrastructurilor cloud si a arhitecturii de referință definite de Cloud Security Alliance, orice mediu va fi alcătuit din următoarele componente:
Sursa: Cloud Security Alliance
Prin urmare, implementarea mecanismelor de securitate trebuie să țină cont de această organizare, tehnologiile implicate fiind asociate și specializate pentru fiecare subcomponentă astfel:
Bussinesss Operation Support Services - BOSS (definit de SABSA Institute Enterprise Security Architecture): compliance , data governance, operational risk management, human resources security, security monitoring , legal services și internal investigations;
Information Technology Operation & Support - ITOS (definit de ITIL - Information Technology Infrastructure Library): IT Operation, Service Delivery și Service Support
Architecture services (definite de Open Group Architecture Framework - TOGAF Standard):
Presentation Services (consumer service platform, enterprise service platform, enpoints, speech recognition and handwritting)
Application Services (programming interfaces, security knowledge lifecycle, development process, integration, connectivity and delivery)
Information Services (service delivery and support, reporting services, data governance and risk management, security monitoring, user directory services)
Infrastructure Services (Internal Infrastructure - servers, storage, network, equipments, endpoint, mpatch management și Virtual Infrastructure - desktop, server, application virtualization, network, virtual workspaces, file based virtualization)
Security and Risk management (definit de JERICHO Forum Commandments):
Governance Risk & Compliance (compliance, policy, vendorm audit, IT Risk management, Technical Awareness and Training)
Privilege Management Infrastructure (identity management, authentication services, authorization services, privilege usage management)
Threat and Vulnerability Management (compliance testing, penetration testing, vulnerability management, threat management)
Infrastructure Protection Services (server, end-point, network, application)
Data protection (data lifecycle management, data loss prevention, intellectual property protection, cryptographic services)
Pentru o imagine completă a acestor componente va invit să studiați pagina oficiala Cloud Security Alliance și portalul CSA, unde sunt disponibile și principiile fundamentale de securitate ce ghidează vendorii de servicii cloud să asiste clienții serviciilor furnizate în gestionarea și analiza riscurilor de securitate prin unelte ca Cloud Security Alliance Cloud Controls Matrix (CCM) .
Cybersecurity Reference Architecture - sursa site-ul oficial Microsoft
Plecând de la modelul descris de CSA, Microsoft a definit și integrat în oferta de servicii cloud, principiile securității mediilor enterprise hibride cu titulatura Cybersecurity Reference Architecture:
Investiția anuală anunțată oficial de către Microsoft CEO Satya Nadella, de peste un miliard USD destinați cercetării și dezvoltării soluțiilor de securitate integrate în infrastructurile cloud services, a făcut posibilă dezvoltarea unor soluții inovative reprezentate de imaginea de mai sus și pe care le vom descrie în continuare. Microsoft investește și în start-up-uri ce dezvoltă soluții și produse avansate de securitate cum este compania israeliană Team8 și extinde permanent capabilitățile platformelor Windows și Office ce integrează Windows Defender și Windows Defender Security Center.
Principalele argumente ale vendorului Microsoft pentru alegerea ca principalul partener al clienților și pentru cybersecurity sunt:
angajamentul puternic față de securitatea cibernetică (investiții de peste 1 miliard anual, folosirea propriilor soluții de securitate găzduite în cloud, extinderea echipelor proprii de specialiști cu ingineri recunoscuți la nivel mondial inclusiv foști CISO);
abordarea securității pe trei axe: o platformă cuprinzătoare, inteligența artificială ce analizează volume mari de informații transmise prin mecanismele de telemetrie și parteneriate cu cei mai buni specialiști în securitate din întreaga lume;
angajamentul Microsoft față de securitate: Microsoft Trust Center
promotor al partajării celor mai bune practici în materie de securitate cibernetică (NIST, CSF, RFI, Microsoft Security Development Cycle);
Clienții soluțiilor cloud Microsoft iau contact cu o imagine de ansamblu cuprinzătoare asupra produselor și serviciilor de securitate cibernetică dezvoltate și aliniate pe baza principiilor protejează, detectează și răspunde, se întâlnesc față în față cu experți și lideri din domeniul securității primind informații referitoare la amenințări, servicii de securitate cibernetică, gestionarea riscurilor și învață cum să-și îmbunătățească nivelul de securitate cibernetică, având în Microsoft un consilier și un partener de încredere.Microsoft contribuie permanent la protejarea utilizatorilor împotriva amenințărilor informatice prin folosirea automatizării și a inteligenței artificiale încorporate în tehnologiile dedicate acestora, atât pentru utilizatorii enterprise cât și pentru cei home-use sau din mediile educaționale.
Pentru aceștia din urmă, principalele recomandări sunt menținerea sistemului de operare Windows actualizat la zi, folosirea facilităților Microsoft Family Safety pentru utilizatorii Windows PC, Android și Xbox, păstrarea fișierelor proprii în siguranță și permanent disponibile prin Onedrive, navigarea în siguranță pe Internet folosind Microsoft Edge și Microsoft Defender SmartScreen, crearea și gestionarea unor parole sigure de minim 12 caractere și evitarea reutilizării acestora și nu în ultimul rând folosirea platformei Microsoft Teams pentru educație.
Soluțiile de securitate dedicate mediilor enterprise se bazează pe integrarea capabilităților native de securitate ale platformelor folosite, pe simplitate și vizibilitate, principii enunțate de următoarea afirmație:
"Dacă faceți ca securitatea să fie dificilă, oamenii o vor ocoli. Cu Microsoft, primim capacități native, vizibilitate în mediul nostru operațional și simplitate pentru toți angajații."
de Monica Chiș