Od czasu globalnej popularyzacji pracy zdalnej, zespoły cyberbezpieczeństwa stają przed coraz większymi wyzwaniami, aby zapewnić skuteczny i bezpieczny dostęp do krytycznych zasobów oraz danych organizacji, a także zagwarantować ich bezpieczne przechowywanie. Skomplikowane ataki phishingowe (wpływające krytycznie na bezpieczeństwo plików oraz infrastruktury), nie rzadko wspomagane AI, w wyniku których ujawniane są dane uwierzytelniające, pozwalają na ataki z zewnątrz lub instalowanie oprogramowania ransomware w infrastrukturze o znaczeniu krytycznym, czy zwyczajnie pozwalają przejrzeć nasze pliki przez osoby trzecie i do tego nieuprawnione. Luki typu zero-day umożliwiają złośliwym podmiotom zakłócanie dostępu do usług.

To tylko kilka przykładów zagrożeń, które prowadzą do utraty przez firmy pieniędzy, najważniejszych aktywów, wiarygodności i wizerunku rynkowego.

W artykule poniżej przedstawiam po krótce czym jest Model Zero Trust, oraz jak usługi Azure pomagają w spełnieniu wysokich standardów w zakresie bezpieczeństwa w chmurze.

Kosztowne cyberataki

W raporcie Cost of a Data Breach 2023 opublikowanym przez IBM, analizującym naruszenia danych, które miały miejsce między marcem 2022 r. a marcem 2023 r., średni koszt spowodowany takimi incydentami wyniósł 4,45 mln USD; suma ta wzrosła o 2,3% i 15,3% od 2020 roku.

Kluczowe staje się więc projektowanie infrastruktury IT organizacji tak, aby była jak najbardziej odporna na potencjalne zagrożenia i zapewniała odpowiedni poziom bezpieczeństwa danych czy samego centrum danych. Zatrudnienie specjalistów ds. cyberbezpieczeństwa doprowadzi do niezagrożonej i płynnej transformacji cyfrowej, oraz poprawi bezpieczeństwo przechowywania danych. Lecz nie możemy polegać tylko na technologii. Każda organizacja powinna zdefiniować i wdrożyć strategię zapobiegania włamaniom oraz edukować swoich pracowników w zakresie bezpiecznego poruszania się po cyfrowym ekosystemie, by tym samym zwiększyć bezpieczeństwo na każdym poziomie, nie tylko technologicznym.

Zamek i fosa, czyli podejście do bezpieczeństwa, które już się nie sprawdza

Przez wiele lat powszechne było podejście do bezpieczeństwa oparte na strategii znanej jako „zamek i fosa”, w którym zakładano, że każda osoba czy czynnik z zewnątrz stanowi zagrożenie, a środowisko wewnętrzne jest zaufane i bezpieczne.

Choć głęboko wadliwe, podejście to było niezwykle popularne i praktykowane, dopóki nie stanęliśmy przed koniecznością otwarcia wewnętrznych zasobów pracownikom zdalnym i przed wyzwaniem zapewnienia bezpiecznego dostępu do tych zasobów z dowolnego urządzenia, czy miejsca na świecie. Rozwiązaniem okazało się zastosowanie sieci VPN, tworzącej bezpieczną bramę z Internetu do Intranetu. Niestety, wraz z postępem technologicznym pojawiło się stale ewoluujące zagrożenie w postaci cyberataków. Obecnie technologia VPN i fizyczne ograniczenia dostępu nie mogą być jedynymi środkami zabezpieczającymi oraz zapewniającymi bezpieczeństwo przechowywania danych i zasobów organizacji, musimy szukać bardziej zaawansowanych rozwiązań.

Według raportu IBM, dwa najczęstsze początkowe rodzaje ataku to phishing i kradzież lub naruszenie danych uwierzytelniających –  odpowiednio 16% i 15%. Co więcej, dwa najbardziej kosztowne rodzaje początkowych ataków to „malicious insider” (osoba wewnątrz organizacji, która decyduje się poświadczyć swoimi danymi wyciek informacji) i ponownie phishing, średnio 4,90 mln USD i 4,76 mln USD – co pokazuje jak kosztowny jest brak nacisku na odpowiednie zapewnienie bezpieczeństwa danych organizacji w przestrzeni cyfrowej i nie tylko.

Wiele z tych ataków może być spowodowanych zbyt dużym zaufaniem do podmiotów wewnątrz organizacji i brakiem odpowiednich systemów bezpieczeństwa, które zapobiegałyby atakom z zewnątrz.

Model Zero Trust jako dobre rozwiązanie nowoczesnych wyzwań i sposób na zapewnienie bezpieczeństwa danych w sieci oraz poza nią

W tym miejscu z pomocą przychodzi model bezpieczeństwa Zero Trust, który polega na podejściu  „nigdy nie ufaj, zawsze weryfikuj”, stojącym w opozycji do idei, że każdy użytkownik lub urządzenie powinno być domyślnie zaufane. Co jest obecnie najlepszym dla organizacji rozwiązaniem pod kątem podejścia do korzystania z bezpiecznej chmury dla biznesu.

Wiele organizacji stworzyło swoją infrastrukturę bardziej z domyślnymi niż jawnymi modelami zaufania, aby ułatwić dostęp i operacje pracownikom oraz zasobom. Atakujący wykorzystują to domyślne zaufanie w ramach infrastruktury, aby wprowadzać złośliwe oprogramowanie, a następnie przemieszczać się wewnątrz w poziomie, aby osiągnąć swoje cele”

– powiedział John Watts, wiceprezes ds. analityki w firmie Gartner.

Zero Trust to zmiana sposobu myślenia w celu przeciwdziałania tym zagrożeniom poprzez wymaganie stale weryfikowanego, precyzyjnie obliczanego i adaptacyjnego zaufania między użytkownikami, urządzeniami i zasobami.”

[Gartner PR Note: źródło].

Inny raport, przedstawiony przez firmę Okta, pokazuje, że znacząca liczba organizacji rozpoczęła już prace nad zdefiniowaniem i wprowadzeniem inicjatywy Zero Trust, rośnie też ogólne zainteresowanie tym podejściem, gdyż większość firm zauważyła iż jest to najlepsza dla nich droga uzyskania najbezpieczniejszej chmury dla biznesu. W 2021 roku 24% zgłoszonych organizacji aktywnie pracowało nad zdefiniowaniem inicjatywy Zero Trust, podczas gdy zaledwie dwa lata później statystyka ta osiągnęła 61% – przy czym 35% planuje rozpocząć prace nad wdrożeniem założeń Zero Trust w ciągu kolejnych 18 miesięcy.

Bezpieczeństwo w chmurze: liczba organizacji, które rozpoczęły już prace nad zdefiniowaniem i wprowadzeniem inicjatywy Zero Trust.

Źródło: Octa Report

Okta informuje również, że większość firm aktywnie inwestuje w swoje strategie Zero Trust by zwiększyć poziom bezpieczeństwa danych i zapewnić najwyższe standardy bezpieczeństwa. Z raportu wynika, że 80% zgłoszonych organizacji zwiększyło swoje budżety, 18% nie

Bezpieczeństwo w chmurze: jak firmy inwestują w swoje strategie Zero Trust.

Źródło: Octa Report

Najwyższe standardy cyberbezpieczeństwa. Model Zero Trust a bezpieczna chmura Azure

Microsoft Entra

Podstawą architektury Zero Trust jest zarządzanie tożsamością. W ramach platformy Azure odpowiedzialność za to biorą Microsoft Entra ID (dawniej Azure Active Directory) i Role Based Access Control (RBAC) zintegrowane ze wszystkimi usługami Azure, to te serwisy pozwalają na bezpieczny dostęp do chmury osobom posiadającym odpowiednie uprawnienia.

Microsoft Entra ID zapewnia najwyższe bezpieczeństwo infrastruktury chmurowej, a przede wszystkim umożliwia kontrolę nad tym kto ma dostęp do zasobów organizacji – we wszystkich środowiskach chmury publicznej, prywatnej czy hybrydowej, na wielu poziomach szczegółowości w przypisywaniu uprawnień, poprzez:

  • pojedyncze uprawnienia – takie jak odczytywanie plików w dyskach sieciowych,
  • definicje ról – które określają zestawy uprawnień, np. Cloud Developer,
  • i przypisania grupowe – przypisywanie tych samych reguł uprawnień do wielu osób, na przykład pracujących w tym samym zespole.

Aby zapewnić zasadę najmniejszych uprawnień Zero Trust, funkcja Access Review umożliwia wydajne zarządzanie członkostwem w grupach, dostępem do aplikacji korporacyjnych oraz przypisywaniem ról. Proces zbiera informacje zwrotne od użytkowników, przełożonych oraz sugestie z Microsoft Entra ID w celu przeglądu i walidacji zestawu uprawnień do zasobów i danych w chmurze.

Dzięki takim informacjom specjaliści ds. bezpieczeństwa IT mogą aktualizować reguły dostępu użytkowników, dodając lub usuwając uprawnienia – skutecznie pracując nad osiągnięciem dostępu just-in-time i just-enough-access (JIT i JEA).

Kolejną podstawową funkcją Microsoft Entra jest moduł dostępu warunkowego (Conditional Access) – scentralizowany silnik do zbierania sygnałów, podejmowania decyzji i egzekwowania zasad zdefiniowanych w całej organizacji.

Moduł ten, wraz z Microsoft Entra ID, umożliwia stosowanie zasady „zawsze weryfikuj”. Definiując zasady w obu usługach, zespół ds. bezpieczeństwa IT może zapewnić bezpieczne usługi przechowywania danych w chmurze i zasobów organizacji bez ograniczania produktywności użytkowników, gdziekolwiek i kiedykolwiek pracują.

Ponadto Microsoft Entra ID może wymuszać środki bezpieczeństwa w zakresie tożsamości i uwierzytelniania użytkowników, poprzez logowanie jednokrotne (SSO) lub obowiązkowe uwierzytelnianie wieloskładnikowe (MFA).

Wdrażanie Zero Trust Network Access (ZTNA) za pomocą technologii chmury Azure

Dzięki mechanizmowi weryfikacji tożsamości w Microsoft Entra, zasady Zero Trust mogą zostać wprowadzone do zasobów organizacji – poprzez Zero Trust Network Access (ZTNA).

Koncepcja ta wprowadza podstawowe zasady Zero Trust do dostępu do sieci, by dbać o najwyższy standard bezpieczeństwa danych w chmurze. Korzystając z brokera tożsamości, w naszym przypadku Microsoft Entra, każdy użytkownik musi zostać zweryfikowany przed uzyskaniem dostępu do dowolnego zasobu, aplikacji w sieci organizacji czy pliku w chmurze. Co więcej, komunikacja wewnątrz sieci powinna być monitorowana i zgodna z zasadą „nigdy nie ufaj, zawsze weryfikuj”.

Azure Storage w sieci, czyli bezpieczne usługi przechowywania w chmurze

Usługa Azure Storage zapewnia różne sposoby przechowywania danych w chmurze, ale wszystkie mają jedną wspólną cechę – ideę domyślnego bezpieczeństwa. Żadne dane w usługach Azure Storage nie są domyślnie publicznie dostępne przez Internet, zapewniając tym samym bezpieczeństwo danych w chmurze.

Dostęp do usług przechowywania może być przydzielany za pomocą kliku mechanizmów zabezpieczeń, takich jak:

  • Sygnatura dostępu współdzielonego (SAS Token) – zapewniają środki do autoryzacji dostępu bez poświadczeń użytkownika, tylko z określonym zestawem uprawnień i w określonych ramach czasowych.
  • Token JWT OAuth2 – Tokeny JWT mogą być generowane przez Microsoft Entra, taki token przekazuje uprawnienia użytkownika, umożliwiając autoryzację do usług przechowywania.
  • Dostęp przez prywatny punkt końcowy – odpowiedzialny za możliwość zezwolenia na dostęp w całości przez punkt końcowy zintegrowany z prywatną siecią wirtualną. Dostęp do danych w Azure Storage mogą uzyskać tylko klienci podłączeni do wyznaczonej sieci wirtualnej.

Szczególnie dwie ostatnie metody dostępu zapewniają model Zero Trust. Podsumowując, dzięki poprawnie zdefiniowanym uprawnieniom i usługom Azure Storage dostępnym w sieci organizacji, użytkownicy mają szeroki i bezpieczny dostęp zgodnie z tym, czego rzeczywiście potrzebują.

Maszyny wirtualne w sieci

Aby w pełni wykorzystać możliwości chmury biznesowej, konieczne jest zaplanowanie wykorzystania maszyn wirtualnych w sieci zgodnie z modelem Zero Trust. Taka strategia powinna obejmować wytyczne dotyczące sposobu tworzenia zasobów, integrację monitorowania i podstawy sieciowe dla komunikacji w sieci.

Możliwym rozwiązaniem dla niektórych organizacji może być albo zdefiniowanie zestawu ścisłych procesów udostępniania wspomnianych zasobów, albo stworzenie narzędzia do abstrakcji dostawcy chmury i wprowadzenia standardów jako punktu odniesienia przy używaniu zasobów chmury biznesowej.

Pierwszym elementem takiej strategii powinna być segmentacja zasobów w chmurze. Korzystając z wielowarstwowego podejścia do uprawnień użytkowników, logiczne grupowanie zasobów można osiągnąć za pomocą grup zasobów, subskrypcji i grup zarządzania w ramach platformy Azure.

Aby zapewnić bezpieczeństwo maszyn wirtualnych inicjowanych w sieci, konieczne jest również zdefiniowanie zasad dla systemu operacyjnego i działających na nim aplikacji. Można je egzekwować za pomocą funkcji takich jak Secure Boot, vTPM i Virtual Machine Extensions.

Następnie należy zdefiniować strategię bezpieczeństwa dostępu do maszyn wirtualnych. Włączenie publicznego adresu IP na każdej maszynie wirtualnej i ochrona ich za pomocą poświadczeń konta użytkownika mogą być kuszące, ale otwierają również drzwi dla złośliwych podmiotów, które mogą próbować wymusić dostęp do danych w chmurze.

Alternatywne podejścia obejmują korzystanie z usługi Azure Bastion, która umożliwia dostęp do maszyn wirtualnych za pośrednictwem przeglądarki internetowej lub korzystanie z MFA i dostępu warunkowego w celu zalogowania się do maszyny wirtualnej połączonej z Microsoft Entra ID.

Bezpieczeństwo w chmurze Azure

Azure Firewall Premium

Po zdefiniowaniu zasad zarządzania tożsamościami, wraz z zabezpieczeniami danych w pamięci masowej i zasobów obliczeniowych, Zero Trust Network Access wymaga rozszerzonych zabezpieczeń ruchu sieciowego. Aby to osiągnąć, usługa Azure Firewall Premium zapewnia bogaty zestaw funkcji do monitorowania, wykrywania i zapobiegania potencjalnym zagrożeniom dla danych w chmurze organizacji.

Azure Firewall może monitorować ruch przychodzący, wychodzący i wewnętrzny w sieci organizacji. Chmura Azure integruje swój kanał Threat Intelligence, stale aktualizowany danymi o źródłach złośliwej aktywności. Warto korzystać z włączonej funkcji w trybie Alert i Deny, co jest najlepszym sposobem na osiągnięcie zasady „zawsze weryfikuj” modelu Zero Trust.

Następnym krokiem powinno być włączenie funkcji TLS Inspection, która monitoruje zaszyfrowany ruch sieciowy pod kątem potencjalnej nielegalnej i złośliwej aktywności. Generuje ona certyfikat SSL na poczekaniu, przy użyciu dostarczonego przez klienta certyfikatu CA, działając jako proxy w połączeniu między klientem a zabezpieczoną siecią prywatną bezpiecznie przekazując szyfrowane dane.

Inną funkcją, uzupełniającą TLS Inspection, jest system wykrywania i zapobiegania włamaniom (IDPS). Koncentruje się on na niezaszyfrowanym ruchu, ale po włączeniu funkcji TLS Inspection działa również w przypadku zaszyfrowanej aktywności sieciowej.

IDPS umożliwia automatyczne ostrzeganie i odmowę dostępu dla każdej komunikacji, która wygląda podejrzanie. Kładzie nacisk na wykrywanie złośliwego oprogramowania, serwerów dowodzenia i kontroli botnetów, zestawów exploitów oraz dzikiej, złośliwej aktywności pomijanej przez tradycyjne metody zapobiegania. Dzięki ponad 67 000 regułom i ponad 20-40 nowym, wdrażanym codziennie, ten system wykrywania złośliwego oprogramowania ma niewielką liczbę fałszywych alarmów.

Azure Firewall udostępnia również takie funkcje jak rozbudowane reguły routingu, filtrowanie adresów URL, wyjątki reguł, integracja z Microsoft Defender, Azure DDoS Protection i wymuszone tunelowanie w celu dalszego zabezpieczenia całej sieci, w efekcie zabezpieczając całą chmurę biznesową.

Dalsza część artykułu o tym jak chmura publiczna Azure pozwala spełnić standardy modelu Zero Trust oraz jak AI może pomagać lub zagrażać bezpieczeństwu danych i zasobów firmy dowiesz się z drugiej części artykułu:

Bezpieczeństwo chmury Azure: Jak zapewnić model Zero Trust i wykorzystać AI na swoją korzyść? (cz.2)

_Wszystkie wpisy z tej kategorii

blogpost
Artykuły

Wpływ sztucznej inteligencji na branżę obsługi klienta

Obsługa klienta, choć często niedoceniana, jest istotnym działem nowoczesnych firm, odpowiedzialnym za utrzymywanie i wzmacnianie relacji z klientami. W ostatnich latach rewolucja w obsłudze klienta następuje na skutek wdrożenia licznych rozwiązań AI. Wsparcie sztucznej inteligencji umożliwia organizacjom realizację wydajnej, spersonalizowanej i responsywnej obsługi klienta, umożliwiając budowanie silnych relacji na konkurencyjnym rynku. Ale spójrzmy prawdzie w […]

Czytaj więcej
blogpost
Artykuły

Przemysł motoryzacyjny a sztuczna inteligencja

Branża motoryzacyjna przechodzi rewolucję napędzaną przez szybki rozwój technologii sztucznej inteligencji (AI). Sztuczna inteligencja, w tym rozwój autonomicznych pojazdów, embedded AI, wizja komputerowa, przetwarzanie języka naturalnego i uczenie maszynowe w branży motoryzacyjnej, zmienia wszystko, od sposobu produkcji samochodów po interakcję z klientami. Z tego artykułu dowiesz się, w jaki sposób innowacje w zakresie sztucznej inteligencji: […]

Czytaj więcej
blogpost
Artykuły

5 najlepszych praktyk analityki w czasie rzeczywistym

Analityka w czasie rzeczywistym rewolucjonizuje proces podejmowania decyzji, dzięki zapewnieniu natychmiastowego wglądu w działania strategiczne. Odkryj kluczowe strategie sukcesu, od optymalizacji czasu analityki, po wspieranie płynnego udostępniania danych ponad granicami organizacyjnymi. Dowiedz się jak wykorzystać potencjał analityki w czasie rzeczywistym, w celu usprawnienia operacji i uzyskania przewagi konkurencyjnej. Wprowadzenie W szybko zmieniającym się świecie cyfrowym, […]

Czytaj więcej
blogpost
Artykuły

Czy sztuczna inteligencja zdominuje wizję przyszłości i rozwoju cloud computing?

Początek roku to okres wzmożonych podsumowań minionych miesięcy, a także przygotowywania planów na kolejne. W tym czasie pojawia się wiele mniej lub bardziej trafnych predykcji na temat tego, czego możemy spodziewać się w najbliższej przyszłości w ramach oferowanych przez dostawców usług w chmurze. W przypadku chmury obliczeniowej możemy z dużym prawdopodobieństwem przewidzieć, co w takich […]

Czytaj więcej
blogpost
Artykuły

Bezpieczeństwo chmury Azure: Jak zapewnić model Zero Trust i wykorzystać AI na swoją korzyść? (cz.2)

W poprzednim artykule poruszyliśmy temat czym jest model Zero Trust i dlaczego jest tak istotny w zapewnieniu najwyższego poziomu bezpieczeństwa zasobów firmy w chmurze i poza nią. W tej części będziemy kontynuować przegląd usług chmury publicznej Azure a także skupimy się na wątku AI w temacie bezpieczeństwa. Microsoft Defender dla chmury Microsoft Azure to rozległe […]

Czytaj więcej
blogpost
Artykuły

7 sposobów jak widoczność danych zwiększa efektywność produkcji

XXI wiek to czas kiedy dane odgrywają coraz większą rolę, a trend ten zauważalny jest również w branży produkcyjnej. Gromadzenie ich to jednak za mało. Dopiero dzięki dostępowi do danych operacyjnych i zapewnieniu ich widoczności w czasie rzeczywistym, firmy mogą monitorować linie produkcyjne, identyfikować wąskie gardła i podejmować oparte na danych decyzje, również z wykorzystaniem sztucznej inteligencji (AI) i uczenia maszynowego (ML).

Czytaj więcej
blogpost
Artykuły

Obliczenia kwantowe: Kot Schrödingera zadomowił się w chmurze

Zapnij pasy i dołącz  do mnie w podróży do świata, w którym kot może być zarówno martwy, jak i żywy, a cząsteczka może znajdować się w dwóch miejscach jednocześnie. Odkryjemy fascynujący świat obliczeń kwantowych (Quantum Computing) i ich rolę w przetwarzaniu w chmurze.

Czytaj więcej
blogpost
Artykuły

Optymalizuj zapasy i oszczędzaj dzięki trafnemu prognozowaniu popytu w handlu detalicznym

Odkryj, dlaczego prognozowanie popytu jest kluczowym elementem w handlu detalicznym. Tradycyjne metody mają swoje ograniczenia w erze cyfrowej transformacji, ale nowoczesne rozwiązania oparte na sztucznej inteligencji i uczeniu maszynowym pozwalają na bardziej precyzyjne prognozowanie. Sprawdź, jakie możliwości oferują nowe technologie i jak mogą wpłynąć na prognozowania popytu w łańcuchu dostaw.

Czytaj więcej
blogpost
Artykuły

W jaki sposób sztuczna inteligencja wpłynie na prognozowanie popytu w łańcuchu dostaw?

Sprawdź, jak sztuczna inteligencja rewolucjonizuje zarządzanie łańcuchem dostaw, poprawiając prognozowanie popytu i efektywność operacji. Kliknij, aby dowiedzieć się więcej.

Czytaj więcej
blogpost
Artykuły

(r)Ewolucja w zarządzaniu danymi produkcyjnymi. Platformy danych w chmurze

Platformy danych oparte na chmurze stają się przełomem w zarządzaniu danymi produkcyjnymi. W przeszłości firmy zmagały się z zarządzaniem ogromnymi ilościami danych generowanych przez procesy produkcyjne bez wsparcia automatyzacjami, AI i często w modelu rozproszonym tzn. dane pochodziły i były wyświetlane w różnych źródłach. Nie było to ani wygodne, ani efektywne. Na szczęście ten czas już minął.

Czytaj więcej
blogpost
Artykuły

Jak AI Data Discovery pomaga firmom produkcyjnym?

Odkryj przyszłość przemysłu produkcyjnego dzięki usłudze AI Data Discovery i chmurze! Poznaj, jak te technologie i usługi eliminują straty i zwiększają efektywność branży produkcyjnej.

Czytaj więcej
blogpost
Artykuły

Predictive Maintenance (konserwacja predykcyjna) – biały kruk vs realistyczne rozwiązanie?

Jak donosi Forbes i szereg innych, niedawno opublikowanych raportów na temat najbliższej przyszłości branży produkcyjnej, predictive maintenance jest postrzegane jako jeden z niekwestionowanych, wiodących trendów na rok 2022, jeśli chodzi o Przemysł 4.0. Już dziś można zaobserwować pojawiające się zapotrzebowanie na zaawansowaną analitykę i prognozowanie oparte na sztucznej inteligencji. Mimo niewątpliwej wartości, która się z […]

Czytaj więcej
blogpost
Artykuły

5 kroków do udanego wdrożenia analityki przemysłowej – etap w transformacji cyfrowej przedsiębiorstwa

Cyfrowa transformacja dzieje się na naszych oczach. Aby dotrzymać kroku konkurencji, coraz więcej firm produkcyjnych stosuje nowoczesne technologie i odchodzi od tradycyjnego podejścia na rzecz koncepcji Przemysłu 4.0

Czytaj więcej

Zostańmy w kontakcie

Skontaktuj się