Od czasu globalnej popularyzacji pracy zdalnej, zespoły cyberbezpieczeństwa stają przed coraz większymi wyzwaniami, aby zapewnić skuteczny i bezpieczny dostęp do krytycznych zasobów oraz danych organizacji, a także zagwarantować ich bezpieczne przechowywanie. Skomplikowane ataki phishingowe (wpływające krytycznie na bezpieczeństwo plików oraz infrastruktury), nie rzadko wspomagane AI, w wyniku których ujawniane są dane uwierzytelniające, pozwalają na ataki z zewnątrz lub instalowanie oprogramowania ransomware w infrastrukturze o znaczeniu krytycznym, czy zwyczajnie pozwalają przejrzeć nasze pliki przez osoby trzecie i do tego nieuprawnione. Luki typu zero-day umożliwiają złośliwym podmiotom zakłócanie dostępu do usług.
To tylko kilka przykładów zagrożeń, które prowadzą do utraty przez firmy pieniędzy, najważniejszych aktywów, wiarygodności i wizerunku rynkowego.
W artykule poniżej przedstawiam po krótce czym jest Model Zero Trust, oraz jak usługi Azure pomagają w spełnieniu wysokich standardów w zakresie bezpieczeństwa w chmurze.
Kosztowne cyberataki
W raporcie Cost of a Data Breach 2023 opublikowanym przez IBM, analizującym naruszenia danych, które miały miejsce między marcem 2022 r. a marcem 2023 r., średni koszt spowodowany takimi incydentami wyniósł 4,45 mln USD; suma ta wzrosła o 2,3% i 15,3% od 2020 roku.
Kluczowe staje się więc projektowanie infrastruktury IT organizacji tak, aby była jak najbardziej odporna na potencjalne zagrożenia i zapewniała odpowiedni poziom bezpieczeństwa danych czy samego centrum danych. Zatrudnienie specjalistów ds. cyberbezpieczeństwa doprowadzi do niezagrożonej i płynnej transformacji cyfrowej, oraz poprawi bezpieczeństwo przechowywania danych. Lecz nie możemy polegać tylko na technologii. Każda organizacja powinna zdefiniować i wdrożyć strategię zapobiegania włamaniom oraz edukować swoich pracowników w zakresie bezpiecznego poruszania się po cyfrowym ekosystemie, by tym samym zwiększyć bezpieczeństwo na każdym poziomie, nie tylko technologicznym.
Zamek i fosa, czyli podejście do bezpieczeństwa, które już się nie sprawdza
Przez wiele lat powszechne było podejście do bezpieczeństwa oparte na strategii znanej jako „zamek i fosa”, w którym zakładano, że każda osoba czy czynnik z zewnątrz stanowi zagrożenie, a środowisko wewnętrzne jest zaufane i bezpieczne.
Choć głęboko wadliwe, podejście to było niezwykle popularne i praktykowane, dopóki nie stanęliśmy przed koniecznością otwarcia wewnętrznych zasobów pracownikom zdalnym i przed wyzwaniem zapewnienia bezpiecznego dostępu do tych zasobów z dowolnego urządzenia, czy miejsca na świecie. Rozwiązaniem okazało się zastosowanie sieci VPN, tworzącej bezpieczną bramę z Internetu do Intranetu. Niestety, wraz z postępem technologicznym pojawiło się stale ewoluujące zagrożenie w postaci cyberataków. Obecnie technologia VPN i fizyczne ograniczenia dostępu nie mogą być jedynymi środkami zabezpieczającymi oraz zapewniającymi bezpieczeństwo przechowywania danych i zasobów organizacji, musimy szukać bardziej zaawansowanych rozwiązań.
Według raportu IBM, dwa najczęstsze początkowe rodzaje ataku to phishing i kradzież lub naruszenie danych uwierzytelniających – odpowiednio 16% i 15%. Co więcej, dwa najbardziej kosztowne rodzaje początkowych ataków to „malicious insider” (osoba wewnątrz organizacji, która decyduje się poświadczyć swoimi danymi wyciek informacji) i ponownie phishing, średnio 4,90 mln USD i 4,76 mln USD – co pokazuje jak kosztowny jest brak nacisku na odpowiednie zapewnienie bezpieczeństwa danych organizacji w przestrzeni cyfrowej i nie tylko.
Wiele z tych ataków może być spowodowanych zbyt dużym zaufaniem do podmiotów wewnątrz organizacji i brakiem odpowiednich systemów bezpieczeństwa, które zapobiegałyby atakom z zewnątrz.
Model Zero Trust jako dobre rozwiązanie nowoczesnych wyzwań i sposób na zapewnienie bezpieczeństwa danych w sieci oraz poza nią
W tym miejscu z pomocą przychodzi model bezpieczeństwa Zero Trust, który polega na podejściu „nigdy nie ufaj, zawsze weryfikuj”, stojącym w opozycji do idei, że każdy użytkownik lub urządzenie powinno być domyślnie zaufane. Co jest obecnie najlepszym dla organizacji rozwiązaniem pod kątem podejścia do korzystania z bezpiecznej chmury dla biznesu.
Wiele organizacji stworzyło swoją infrastrukturę bardziej z domyślnymi niż jawnymi modelami zaufania, aby ułatwić dostęp i operacje pracownikom oraz zasobom. Atakujący wykorzystują to domyślne zaufanie w ramach infrastruktury, aby wprowadzać złośliwe oprogramowanie, a następnie przemieszczać się wewnątrz w poziomie, aby osiągnąć swoje cele”
– powiedział John Watts, wiceprezes ds. analityki w firmie Gartner.
Zero Trust to zmiana sposobu myślenia w celu przeciwdziałania tym zagrożeniom poprzez wymaganie stale weryfikowanego, precyzyjnie obliczanego i adaptacyjnego zaufania między użytkownikami, urządzeniami i zasobami.”
[Gartner PR Note: źródło].
Inny raport, przedstawiony przez firmę Okta, pokazuje, że znacząca liczba organizacji rozpoczęła już prace nad zdefiniowaniem i wprowadzeniem inicjatywy Zero Trust, rośnie też ogólne zainteresowanie tym podejściem, gdyż większość firm zauważyła iż jest to najlepsza dla nich droga uzyskania najbezpieczniejszej chmury dla biznesu. W 2021 roku 24% zgłoszonych organizacji aktywnie pracowało nad zdefiniowaniem inicjatywy Zero Trust, podczas gdy zaledwie dwa lata później statystyka ta osiągnęła 61% – przy czym 35% planuje rozpocząć prace nad wdrożeniem założeń Zero Trust w ciągu kolejnych 18 miesięcy.
Źródło: Octa Report
Okta informuje również, że większość firm aktywnie inwestuje w swoje strategie Zero Trust by zwiększyć poziom bezpieczeństwa danych i zapewnić najwyższe standardy bezpieczeństwa. Z raportu wynika, że 80% zgłoszonych organizacji zwiększyło swoje budżety, 18% nie
Źródło: Octa Report
Najwyższe standardy cyberbezpieczeństwa. Model Zero Trust a bezpieczna chmura Azure
Microsoft Entra
Podstawą architektury Zero Trust jest zarządzanie tożsamością. W ramach platformy Azure odpowiedzialność za to biorą Microsoft Entra ID (dawniej Azure Active Directory) i Role Based Access Control (RBAC) zintegrowane ze wszystkimi usługami Azure, to te serwisy pozwalają na bezpieczny dostęp do chmury osobom posiadającym odpowiednie uprawnienia.
Microsoft Entra ID zapewnia najwyższe bezpieczeństwo infrastruktury chmurowej, a przede wszystkim umożliwia kontrolę nad tym kto ma dostęp do zasobów organizacji – we wszystkich środowiskach chmury publicznej, prywatnej czy hybrydowej, na wielu poziomach szczegółowości w przypisywaniu uprawnień, poprzez:
- pojedyncze uprawnienia – takie jak odczytywanie plików w dyskach sieciowych,
- definicje ról – które określają zestawy uprawnień, np. Cloud Developer,
- i przypisania grupowe – przypisywanie tych samych reguł uprawnień do wielu osób, na przykład pracujących w tym samym zespole.
Aby zapewnić zasadę najmniejszych uprawnień Zero Trust, funkcja Access Review umożliwia wydajne zarządzanie członkostwem w grupach, dostępem do aplikacji korporacyjnych oraz przypisywaniem ról. Proces zbiera informacje zwrotne od użytkowników, przełożonych oraz sugestie z Microsoft Entra ID w celu przeglądu i walidacji zestawu uprawnień do zasobów i danych w chmurze.
Dzięki takim informacjom specjaliści ds. bezpieczeństwa IT mogą aktualizować reguły dostępu użytkowników, dodając lub usuwając uprawnienia – skutecznie pracując nad osiągnięciem dostępu just-in-time i just-enough-access (JIT i JEA).
Kolejną podstawową funkcją Microsoft Entra jest moduł dostępu warunkowego (Conditional Access) – scentralizowany silnik do zbierania sygnałów, podejmowania decyzji i egzekwowania zasad zdefiniowanych w całej organizacji.
Moduł ten, wraz z Microsoft Entra ID, umożliwia stosowanie zasady „zawsze weryfikuj”. Definiując zasady w obu usługach, zespół ds. bezpieczeństwa IT może zapewnić bezpieczne usługi przechowywania danych w chmurze i zasobów organizacji bez ograniczania produktywności użytkowników, gdziekolwiek i kiedykolwiek pracują.
Ponadto Microsoft Entra ID może wymuszać środki bezpieczeństwa w zakresie tożsamości i uwierzytelniania użytkowników, poprzez logowanie jednokrotne (SSO) lub obowiązkowe uwierzytelnianie wieloskładnikowe (MFA).
Wdrażanie Zero Trust Network Access (ZTNA) za pomocą technologii chmury Azure
Dzięki mechanizmowi weryfikacji tożsamości w Microsoft Entra, zasady Zero Trust mogą zostać wprowadzone do zasobów organizacji – poprzez Zero Trust Network Access (ZTNA).
Koncepcja ta wprowadza podstawowe zasady Zero Trust do dostępu do sieci, by dbać o najwyższy standard bezpieczeństwa danych w chmurze. Korzystając z brokera tożsamości, w naszym przypadku Microsoft Entra, każdy użytkownik musi zostać zweryfikowany przed uzyskaniem dostępu do dowolnego zasobu, aplikacji w sieci organizacji czy pliku w chmurze. Co więcej, komunikacja wewnątrz sieci powinna być monitorowana i zgodna z zasadą „nigdy nie ufaj, zawsze weryfikuj”.
Azure Storage w sieci, czyli bezpieczne usługi przechowywania w chmurze
Usługa Azure Storage zapewnia różne sposoby przechowywania danych w chmurze, ale wszystkie mają jedną wspólną cechę – ideę domyślnego bezpieczeństwa. Żadne dane w usługach Azure Storage nie są domyślnie publicznie dostępne przez Internet, zapewniając tym samym bezpieczeństwo danych w chmurze.
Dostęp do usług przechowywania może być przydzielany za pomocą kliku mechanizmów zabezpieczeń, takich jak:
- Sygnatura dostępu współdzielonego (SAS Token) – zapewniają środki do autoryzacji dostępu bez poświadczeń użytkownika, tylko z określonym zestawem uprawnień i w określonych ramach czasowych.
- Token JWT OAuth2 – Tokeny JWT mogą być generowane przez Microsoft Entra, taki token przekazuje uprawnienia użytkownika, umożliwiając autoryzację do usług przechowywania.
- Dostęp przez prywatny punkt końcowy – odpowiedzialny za możliwość zezwolenia na dostęp w całości przez punkt końcowy zintegrowany z prywatną siecią wirtualną. Dostęp do danych w Azure Storage mogą uzyskać tylko klienci podłączeni do wyznaczonej sieci wirtualnej.
Szczególnie dwie ostatnie metody dostępu zapewniają model Zero Trust. Podsumowując, dzięki poprawnie zdefiniowanym uprawnieniom i usługom Azure Storage dostępnym w sieci organizacji, użytkownicy mają szeroki i bezpieczny dostęp zgodnie z tym, czego rzeczywiście potrzebują.
Maszyny wirtualne w sieci
Aby w pełni wykorzystać możliwości chmury biznesowej, konieczne jest zaplanowanie wykorzystania maszyn wirtualnych w sieci zgodnie z modelem Zero Trust. Taka strategia powinna obejmować wytyczne dotyczące sposobu tworzenia zasobów, integrację monitorowania i podstawy sieciowe dla komunikacji w sieci.
Możliwym rozwiązaniem dla niektórych organizacji może być albo zdefiniowanie zestawu ścisłych procesów udostępniania wspomnianych zasobów, albo stworzenie narzędzia do abstrakcji dostawcy chmury i wprowadzenia standardów jako punktu odniesienia przy używaniu zasobów chmury biznesowej.
Pierwszym elementem takiej strategii powinna być segmentacja zasobów w chmurze. Korzystając z wielowarstwowego podejścia do uprawnień użytkowników, logiczne grupowanie zasobów można osiągnąć za pomocą grup zasobów, subskrypcji i grup zarządzania w ramach platformy Azure.
Aby zapewnić bezpieczeństwo maszyn wirtualnych inicjowanych w sieci, konieczne jest również zdefiniowanie zasad dla systemu operacyjnego i działających na nim aplikacji. Można je egzekwować za pomocą funkcji takich jak Secure Boot, vTPM i Virtual Machine Extensions.
Następnie należy zdefiniować strategię bezpieczeństwa dostępu do maszyn wirtualnych. Włączenie publicznego adresu IP na każdej maszynie wirtualnej i ochrona ich za pomocą poświadczeń konta użytkownika mogą być kuszące, ale otwierają również drzwi dla złośliwych podmiotów, które mogą próbować wymusić dostęp do danych w chmurze.
Alternatywne podejścia obejmują korzystanie z usługi Azure Bastion, która umożliwia dostęp do maszyn wirtualnych za pośrednictwem przeglądarki internetowej lub korzystanie z MFA i dostępu warunkowego w celu zalogowania się do maszyny wirtualnej połączonej z Microsoft Entra ID.
Azure Firewall Premium
Po zdefiniowaniu zasad zarządzania tożsamościami, wraz z zabezpieczeniami danych w pamięci masowej i zasobów obliczeniowych, Zero Trust Network Access wymaga rozszerzonych zabezpieczeń ruchu sieciowego. Aby to osiągnąć, usługa Azure Firewall Premium zapewnia bogaty zestaw funkcji do monitorowania, wykrywania i zapobiegania potencjalnym zagrożeniom dla danych w chmurze organizacji.
Azure Firewall może monitorować ruch przychodzący, wychodzący i wewnętrzny w sieci organizacji. Chmura Azure integruje swój kanał Threat Intelligence, stale aktualizowany danymi o źródłach złośliwej aktywności. Warto korzystać z włączonej funkcji w trybie Alert i Deny, co jest najlepszym sposobem na osiągnięcie zasady „zawsze weryfikuj” modelu Zero Trust.
Następnym krokiem powinno być włączenie funkcji TLS Inspection, która monitoruje zaszyfrowany ruch sieciowy pod kątem potencjalnej nielegalnej i złośliwej aktywności. Generuje ona certyfikat SSL na poczekaniu, przy użyciu dostarczonego przez klienta certyfikatu CA, działając jako proxy w połączeniu między klientem a zabezpieczoną siecią prywatną bezpiecznie przekazując szyfrowane dane.
Inną funkcją, uzupełniającą TLS Inspection, jest system wykrywania i zapobiegania włamaniom (IDPS). Koncentruje się on na niezaszyfrowanym ruchu, ale po włączeniu funkcji TLS Inspection działa również w przypadku zaszyfrowanej aktywności sieciowej.
IDPS umożliwia automatyczne ostrzeganie i odmowę dostępu dla każdej komunikacji, która wygląda podejrzanie. Kładzie nacisk na wykrywanie złośliwego oprogramowania, serwerów dowodzenia i kontroli botnetów, zestawów exploitów oraz dzikiej, złośliwej aktywności pomijanej przez tradycyjne metody zapobiegania. Dzięki ponad 67 000 regułom i ponad 20-40 nowym, wdrażanym codziennie, ten system wykrywania złośliwego oprogramowania ma niewielką liczbę fałszywych alarmów.
Azure Firewall udostępnia również takie funkcje jak rozbudowane reguły routingu, filtrowanie adresów URL, wyjątki reguł, integracja z Microsoft Defender, Azure DDoS Protection i wymuszone tunelowanie w celu dalszego zabezpieczenia całej sieci, w efekcie zabezpieczając całą chmurę biznesową.
Dalsza część artykułu o tym jak chmura publiczna Azure pozwala spełnić standardy modelu Zero Trust oraz jak AI może pomagać lub zagrażać bezpieczeństwu danych i zasobów firmy dowiesz się z drugiej części artykułu:
Bezpieczeństwo chmury Azure: Jak zapewnić model Zero Trust i wykorzystać AI na swoją korzyść? (cz.2)