Zabezpečení

• 10 min

Zdravotnické organizace ukládají osobní a potenciálně citlivá data zákazníků. Finanční instituce ukládají čísla účtů, zůstatky a historii transakcí. Maloobchodní prodejci ukládají historii nákupů, informace o účtech a demografické údaje o zákaznících. Bezpečnostní incident může citlivá data zpřístupnit, což by mohlo způsobit osobnostní újmu nebo finanční škodu. Jak zajistíte integritu jejich dat a zabezpečení svých systémů?

V této lekci se dozvíte o důležitých prvcích pilíře zabezpečení.

Co je zabezpečení?

Zabezpečení spočívá v ochraně dat, která vaše organizace používá, ukládá a přenáší. Data, která vaše organizace ukládá nebo zpracovává, jsou v samém centru zabezpečitelných prostředků. Mohou mezi ně patřit citlivá data o zákaznících, finanční informace o vaší organizaci nebo nepostradatelná obchodní data, která podporují vaši organizaci. Zabezpečení infrastruktury, na které se tato data nacházejí, a identit používaných pro přístup k ní, je rovněž kriticky důležité.

Vaše data mohou být předmětem dalších právních i regulačních požadavků v závislosti na tom, kde sídlíte, na typu ukládaných dat nebo na odvětví, ve kterém vaše aplikace působí.

Například ve zdravotnictví Spojených států existuje zákon nazývaný HIPAA (Health Insurance Portability and Accountability Act). Ve finančním odvětví se používá soubor bezpečnostních standardů PCI DSS (Payment Card Industry Data Security Standard) cílených na zpracování údajů platebních karet. Organizace ukládající data, na která se tyto zákony a standardy vztahují, musí zajistit určitá bezpečnostní opatření pro ochranu těchto dat. V Evropě stanoví Obecné nařízení o ochraně osobních údajů (GDPR) pravidla, jak jsou chráněny osobní údaje, a definuje práva jednotlivců související s uloženými daty. Některé země vyžadují, aby určité typy dat neopustily jejich hranice.

Pokud dojde k narušení zabezpečení, může to mít podstatný dopad na finance a pověst organizací a zákazníků. To naruší důvěru, kterou zákazníci do vaší organizace vkládají, a může to mít vliv na její dlouhodobý stav.

Hloubková ochrana

Pokud chcete své prostředí více zabezpečit, použijte přístup založený na více vrstvách. Vrstvy zabezpečení, často označované jako hloubková ochrana, můžeme rozdělit následujícím způsobem:

• Data
• Aplikace
• Virtuální počítače/výpočetní prostředky
• Sítě
• Hranice
• Zásady a přístup
• Fyzické zabezpečení

Každá vrstva se zaměřuje na jinou oblast, kde může dojít k útokům, a přidává úroveň ochrany pro případ, kdy jedna vrstva selže nebo je útočníkem překonána. Kdybychom se zaměřili jen na jednu vrstvu, útočník by měl po jejím překonání neomezený přístup k vašemu prostředí.

Řešení zabezpečení ve vrstvách zvyšuje úsilí, které musí útočník vynaložit, aby získal přístup k vašim systémům a datům. Každá vrstva bude používat odlišné kontrolní mechanizmy, technologie a funkce zabezpečení. Při stanovování ochran, které se mají zavést, se často zohledňují náklady. Náklady budete muset vyvážit s firemními požadavky a celkovým rizikem pro firmu.

Neexistuje jeden systém zabezpečení, kontrolní mechanizmus nebo technologie, které by plně chránily vaši architekturu. Zabezpečení je více než pouhá technologie; zahrnuje rovněž lidi a procesy. Nejzabezpečenější prostředí pro svou organizaci vytvoříte, když budete zabezpečení řešit komplexně a budete ho všude povinně vyžadovat.

Ochrana před běžnými útoky

V každé vrstvě existuje několik běžných útoků, před kterými se budete chtít chránit. Následující seznam není vyčerpávající, pomůže vám ale získat představu, jak lze jednotlivé vrstvy napadnout a jaké typy ochrany budete potřebovat.

• Datová vrstva: Při vyzrazení šifrovacího klíče nebo použití slabého šifrování mohou být vaše data ohrožena, pokud dojde k neoprávněnému přístupu.

• Aplikační vrstva: Klasickými útoky v aplikační vrstvě jsou injektáž a spuštění škodlivého kódu. K běžným útokům patří útok prostřednictvím injektáže SQL a skriptování mezi weby (XSS).

• Vrstva virtuálních počítačů / výpočetních prostředků: Malware je běžnou metodou napadení prostředí. Zahrnuje spuštění škodlivého kódu, který ohrožuje systém. Jakmile je v systému malware, může dojít k dalším útokům vedoucím k odhalení přihlašovacích údajů a k laterálnímu pohybu v celém prostředí.

• Síťová vrstva: Běžným způsobem útoku jsou nepotřebné otevřené porty do internetu. Patří sem i ponechání otevřeného přístupu k virtuálním počítačům přes protokoly SSH nebo RDP. Když jsou tyto protokoly otevřené, umožňují na vaše systémy útočit hrubou silou, kdy se k nim útočníci snaží získat přístup.

• Hraniční vrstva: V této vrstvě se často vyskytují útoky na dostupnost služby (DoS). Tyto útoky se snaží zahltit síťové prostředky, vynutit jejich přechod do offline režimu nebo znemožnit jejich reakci na oprávněné žádosti.

• Vrstva zásad a přístupu: V této vrstvě se u aplikace provádí ověřování. Do této vrstvy mohou patřit moderní ověřovací protokoly jako OpenID Connect, OAuth nebo ověřování založené na protokolu Kerberos, jako je Active Directory. Prozrazené přihlašovací údaje představují v této vrstvě riziko a je proto důležité omezit oprávnění identit. Chceme mít také zřízené monitorování, které zjišťuje možné zneužití prozrazených účtů, například přihlášení z neobvyklých míst.

• Fyzická vrstva: V této vrstvě může docházet k neautorizovaným přístupům do objektů metodami, jako je držení dveří nebo odcizení přístupových karet.

Společná odpovědnost za zabezpečení

Když přehodnotíme model společné odpovědnosti, můžeme ho přepracovat do kontextu zabezpečení. V závislosti na vybraném typu služby budou některá bezpečnostní opatření do služby integrovaná, ale za ostatní budete stále odpovídat vy. Abyste své architektuře zajistili vhodné kontrolní mechanizmy zabezpečení, musíte pečlivě vyhodnotit vybrané služby a technologie.

Prověřte své znalosti