8 kritičnih grešaka koje firme rade pri migraciji na cloud
Cloud sigurnost je neophodna radi migracije podataka, koja se događa gotovo u svakoj tvrtki danas.
Prema Gartnerovim projekcijama, više od 85 posto organizacija prihvatit će načelo cloud-first do kraja 2025. godine. Trend je jednako izražen u jugoistočnoj Europi, gdje sve više tvrtki prepoznaje prednosti cloud infrastrukture, od smanjenja operativnih troškova do povećane fleksibilnosti, skalabilnosti i dostupnosti resursa.
No usred tog digitalnog optimizma, jedan ključan aspekt prečesto pada u drugi plan: sigurnost u oblaku.
Brojke su alarmantne. Prema IBM-ovu izvješću Cost of a Data Breach, prosječan trošak povrede podataka na globalnoj razini iznosi 4,88 milijuna dolara.
Još nas više čak 82 posto povreda uključuje podatke pohranjene u cloud okruženjima, bilo da se radi o javnom, privatnom ili hibridnom oblaku. Većina tih incidenata mogla se spriječiti da su tvrtke na vrijeme prepoznale i izbjegle najčešće sigurnosne propuste tijekom procesa migracije.
Ovaj vodič detaljno raščlanjuje osam najkritičnijih grešaka koje tvrtke rade prilikom prijelaza na cloud. Svaka greška objašnjena je u kontekstu stvarnih posljedica, a za svaku nudimo konkretne korake za izbjegavanje.
Bez obzira jeste li IT menadžer, CTO, CISO ili vlasnik tvrtke koji planira migraciju, ovaj članak pomoći će vam da taj proces provedete sigurno, strukturirano i bez nepotrebnih rizika.
Greška broj 1: loša procjena rizika prije migracije
Zamislite da gradite kuću bez prethodnog ispitivanja tla na kojem će stajati. Isto rade tvrtke koje pokreću migraciju na cloud bez temeljite procjene sigurnosnih rizika.
Ova greška je najčešća i potencijalno najskuplja jer se sve ostale sigurnosne mjere grade na temeljima početne analize.
Zašto je sigurnosni audit neizbježan
Prije nego što ijedan podatak napusti vaš lokalni poslužitelj, nužno je provesti sveobuhvatan sigurnosni audit postojeće IT infrastrukture. Taj audit mora identificirati koje podatke posjedujete, gdje se nalaze, tko im pristupa, koliko su osjetljivi i koji regulatorni zahtjevi se na njih primjenjuju.
Bez takvog pregleda, doslovno premještate postojeće probleme iz jednog okruženja u drugo, samo što su u oblaku ti problemi znatno izloženiji vanjskim prijetnjama.
Za razliku od lokalne infrastrukture, cloud okruženje po svojoj prirodi pruža širu površinu napada.
Resursi u oblaku dostupni su putem interneta, konfiguracijske pogreške trenutačno su iskoristive, a tradicionalni perimetar mrežne zaštite u cloud arhitekturi praktički ne postoji.
Ranjivosti koje se najčešće previđaju
Mnoge tvrtke prilikom planiranja migracije fokusiraju se isključivo na tehničke aspekte poput kapaciteta, performansi i kompatibilnosti, a zanemare sigurnosne ranjivosti.
Među najčešće previđenim problemima nalaze se zastarjele aplikacije s poznatim ranjivostima, nesigurni API pozivi, nekontrolirane pristupne točke te takozvani shadow IT sustavi, odnosno aplikacije i usluge koje zaposlenici koriste bez znanja IT odjela.
Slijepe točke postaju ulazne točke za napadače nakon dovršene migracije.
Okviri za procjenu rizika i kontrolna lista
Preporučujemo korištenje priznatih okvira poput NIST Cybersecurity Frameworka ili standarda ISO 27001 kao polazne točke za strukturiranu procjenu rizika.
Prije početka migracije osigurajte da ste proveli potpuni inventar podataka i aplikacija koje se sele u oblak, klasificirali podatke prema razini osjetljivosti, identificirali sve korisnike i njihove razine pristupa, pregledali postojeće sigurnosne politike u kontekstu cloud okruženja.
Zatim, testirali ranjivosti svih aplikacija predviđenih za migraciju, dokumentirali sve poznate rizike s planom ublažavanja te odredili jasne sigurnosne KPI pokazatelje za mjerenje uspješnosti.
Greška broj 2: Kako radi model dijeljene odgovornosti
Jedna od najopasnijih zabluda u vezi s računarstvom u oblaku jest uvjerenje da je cloud davatelj usluga odgovoran za sve aspekte sigurnosti.
To jednostavno nije točno. Upravo ta pogrešna pretpostavka dovodi do ozbiljnih sigurnosnih praznina koje napadači rado iskorištavaju.
Svaki veliki cloud provider, bilo da je riječ o AWS-u, Microsoft Azureu ili Google Cloudu, jasno definira takozvani model dijeljene odgovornosti. Prema tom modelu, cloud davatelj usluge brine se za sigurnost same cloud infrastrukture, što uključuje fizičke poslužitelje, mrežnu opremu i virtualizacijski sloj.
Klijent je odgovoran za sigurnost svega što stavlja u oblak, dakle za podatke, korisničke račune, konfiguracije i aplikacije.
Ako ne razumijemo ovaj model, ne možemo napraviti dobru sigurnosnu strategiju. Bez njega, tvrtke ostavljaju kritične segmente zaštite nepokrivene u uvjerenju da se netko drugi već brine o tome.
Razlike prema vrsti cloud usluge
Opseg vaše odgovornosti značajno se razlikuje ovisno o tipu usluge.
Kod IaaS modela klijent je odgovoran za operativni sustav, aplikacije, podatke i cjelokupno runtime okruženje.
Kod modela PaaS klijent upravlja aplikacijama i podatcima, dok provider preuzima odgovornost za operativni sustav i infrastrukturu.
Kod modela SaaS klijent je odgovoran za podatke i upravljanje korisničkim pristupom, dok davatelj usluge pokriva praktički sve ostalo.
Što tvrtke najčešće krivo pretpostavljaju
Tvrtke često vjeruju da automatsko sigurnosno ažuriranje znači potpunu zaštitu ili da cloud provider automatski radi sigurnosne kopije podataka.
U stvarnosti, mnoge od tih funkcija morate eksplicitno konfigurirati i aktivirati sami. Jasno razgraničenje odgovornosti eliminira sigurnosne praznine koje nastaju iz pretpostavki.
Greška broj 3: Slaba kontrola pristupa
Prema Verizonovu izvješću o povredama podataka, čak 74 posto svih povreda uključuje ljudski faktor, a kompromitirani korisnički podatci i dalje su najčešći vektor napada.
Unatoč tome, upravljanje identitetom i pristupom ostaje zanemarena komponenta cloud sigurnosti u brojnim organizacijama.
Temelji upravljanja identitetom i pristupom
IAM, odnosno Identity and Access Management, predstavlja okvir politika i tehnologija koji osigurava da pravi korisnici imaju pravi pristup pravim resursima u pravo vrijeme.
U cloud okruženju, gdje su resursi dostupni s bilo koje lokacije i uređaja, robustan IAM sustav nije luksuz nego preduvjet za sigurno poslovanje.
Svaki korisnik, aplikacija i servis koji pristupa vašem cloud okruženju mora imati jasno definiran identitet s precizno određenim dozvolama. Načelo najmanjih privilegija mora biti temelj pristupa, što znači da svaki korisnik dobiva isključivo one dozvole koje su nužne za obavljanje njegova posla.
Višefaktorska autentifikacija kao obavezna mjera
Ako postoji jedna jedina mjera koja može dramatično poboljšati sigurnost vašeg cloud okruženja, to je uvođenje višefaktorske autentifikacije za sve korisničke račune bez iznimke.
Prema Microsoftovim podacima, MFA može spriječiti više od 99,9 posto napada na korisničke račune.
Microsoft
Unatoč tome, mnoge tvrtke još uvijek koriste samo lozinke kao jedinu zaštitu, čak i za administratorske račune s punim pristupom infrastrukturi.
Najčešće greške u praksi uključuju dijeljenje administratorskih pristupnih podataka među zaposlenicima, izostanak redovite revizije korisničkih dozvola, aktivne račune bivših zaposlenika, korištenje slabih lozinki te previše korisnika s administratorskim privilegijama.
Greška broj 4: Neenkripcija osjetljivih podataka
Podaci su najvrjednija imovina svake organizacije, no iznenađujuće je koliko tvrtki seli osjetljive informacije u oblak bez odgovarajuće enkripcije. Posljedice mogu biti razorne, ne samo financijski nego i pravno te reputacijski.
Enkripcija u mirovanju i u prijenosu
Cloud sigurnost zahtijeva enkripciju podataka u oba stanja. Enkripcija u prijenosu štiti podatke dok putuju mrežom, primjerice od korisničkog uređaja do cloud poslužitelja, a protokoli poput TLS 1.3 predstavljaju današnji standard.
Enkripcija u mirovanju štiti podatke dok su pohranjeni na cloud diskovima, u bazama podataka ili u pohranama objekata. Oba oblika enkripcije moraju biti aktivna istovremeno jer zaštita samo jednog segmenta ostavlja drugi izloženim.
Upravljanje ključevima enkripcije i usklađenost s GDPR-om
Enkripcija je tek toliko snažna koliko je siguran sustav upravljanja ključevima. Za organizacije s visokim sigurnosnim zahtjevima preporučuje se korištenje vlastitih ključeva ili hardverskih sigurnosnih modula putem alata poput AWS KMS-a, Azure Key Vaulta ili Google Cloud KMS-a.
Za tvrtke koje posluju u Europskoj uniji ili obrađuju podatke europskih građana, enkripcija nije samo preporuka nego regulatorni zahtjev.
GDPR eksplicitno navodi enkripciju kao jednu od tehničkih mjera zaštite osobnih podataka, a neusklađenost može rezultirati kaznama do 20 milijuna eura ili 4 posto globalnog godišnjeg prihoda.
Greška broj 5: Nedostatak vidljivosti i monitoringa
Jednostavno rečeno, ne možete zaštititi ono što ne vidite.
Mnoge tvrtke migriraju na cloud računarstvo, a zatim nastave koristiti iste razine nadzora koje su imale u lokalnom okruženju. Problem je u tome što je cloud okruženje višestruko dinamičnije i distribuiranije, što zahtijeva potpuno novi pristup monitoringu.
U oblaku se resursi stvaraju i gase u minutama, korisnici pristupaju s raznih lokacija i uređaja, a konfiguracije se mijenjaju kroz automatizacijske skripte. Bez kontinuiranog nadzora, sigurnosni incident može proći nezamijećeno danima ili čak tjednima.
IBM kaže da prosječno vrijeme za otkrivanje i suzbijanje povrede podataka iznosi 258 dana, a svaki dan kašnjenja eksponencijalno povećava ukupnu štetu.
Suvremeni alati za nadzor cloud sigurnosti uključuju CSPM rješenja za automatsko otkrivanje pogrešnih konfiguracija, SIEM platforme za centralizaciju i korelaciju sigurnosnih zapisa te CWPP platforme za zaštitu radnih opterećenja u realnom vremenu.
Zapise poput AWS CloudTraila, Azure Monitora i Google Cloud Logginga trebate centralizirano prikupljati, pohranjivati i redovito analizirati uz automatizirane sustave upozorenja za detekciju sumnjivih aktivnosti.
Greška broj 6: Zanemarivanje sigurnosti mreže
Prijelaz na cloud ne znači da mrežna sigurnost postaje manje važna. U cloud okruženju mrežna arhitektura postaje složenija, a površina napada šira. Segmentacija mreže, pravilna konfiguracija vatrozida, sigurne VPN veze i zaštita API sučelja ključni su elementi obrane.
Nikada ne smještajte sve resurse u jednu ravnu mrežu.
Segmentirajte ih prema funkcijama i razinama osjetljivosti, s precizno definiranim pravilima komunikacije između segmenata. Svako pravilo vatrozida treba slijediti načelo zatvaranja svega i otvaranja samo onoga što je nužno.
Za povezivanje lokalne infrastrukture s oblakom koristite šifrirane tunele, a za pristup zaposlenika koji rade na daljinu implementirajte Zero Trust mrežni pristup koji provjerava svaki zahtjev neovisno o izvoru.
Greška broj 7: Neadekvatna obuka zaposlenika
Najsofisticiranije tehničke mjere ne pomažu ako jedan zaposlenik nepažljivo klikne na phishing poveznicu.
Stalno upozoravamo da 95 posto sigurnosnih incidenata uključuje ljudsku pogrešku. Učinkovit program obuke mora uključivati početnu edukaciju za nove zaposlenike, kvartalne radionice o aktualnim prijetnjama, simulirane kampanje phishinga, specifičnu tehničku obuku za IT osoblje te jasnu dokumentaciju sigurnosnih politika i procedura.
Sigurnost pritom ne smije biti nešto što se nameće odozgo.
Ona treba postati dio organizacijske kulture u kojoj zaposlenici prijavljuju sumnjive aktivnosti bez straha, a vodstvo aktivno podržava i sudjeluje u sigurnosnim inicijativama.
Greška broj 8: Neusklađenost s propisima
Regulatorni zahtjevi nisu birokratska prepreka nego okvir koji štiti vaše poslovanje i vaše klijente. Tvrtke u Hrvatskoj moraju voditi računa o GDPR-u za obradu osobnih podataka, sektorskim propisima poput regulativa HNB-a za financijski sektor te zahtjevima za pohranu podataka unutar nacionalnih granica za javnu upravu.
GDPR zahtijeva da u svakom trenutku znate gdje se vaši podatci nalaze, tko im pristupa i u koje svrhe se koriste.
Pri odabiru cloud providera morate provjeriti lokacije podatkovnih centara, pravne osnove za prijenos podataka izvan EU-a i potpisati ugovore o obradi podataka. Automatizirani revizijski tragovi ključni su za dokazivanje usklađenosti prilikom inspekcija ili u slučaju incidenta.
Akcijski plan za sigurnu migraciju na cloud
Sada kada razumijete najčešće greške, evo strukturiranog plana za njihovo izbjegavanje.
Počnite formiranjem multidisciplinarnog sigurnosnog tima koji uključuje stručnjake za cloud sigurnost, mrežne inženjere, stručnjake za usklađenost i predstavnike poslovnih odjela.
Potom provedite temeljitu procjenu svih aplikacija, podataka i procesa predviđenih za migraciju te klasificirajte imovinu prema osjetljivosti.
Prije same migracije dizajnirajte ciljnu sigurnosnu arhitekturu koja obuhvaća mrežnu segmentaciju, IAM politike, strategiju enkripcije, sustav nadzora i plan odgovora na incidente. Koristite provjerene okvire poput CIS Benchmarksa ili AWS Well-Architected Frameworka.
Migrirajte u fazama, počevši s manje kritičnim sustavima. Svaka faza mora uključivati sigurnosno testiranje prije prelaska na sljedeću. Provedite penetracijsko testiranje, simulirajte scenarije napada i testirajte plan odgovora na incidente.
Konačno, uspostavite kontinuirani ciklus poboljšanja.
Cloud sigurnost nije jednokratan projekt nego trajan proces koji zahtijeva redovite preglede postavki, ažuriranje politika, obuku zaposlenika i praćenje najnovijih preporuka.
Za strukturirani pristup oslonite se na standarde ISO 27001, ISO 27017 i ISO 27018 za upravljanje informacijskom sigurnošću u oblaku, NIST SP 800-144 za smjernice o sigurnosti javnog cloud computinga, CSA Cloud Controls Matrix kao okvir specifičan za cloud sigurnost te CIS Benchmarks za konkretne konfiguracijske preporuke za svakog velikog cloud providera.
Zaključak
Migracija na cloud donosi neosporne poslovne prednosti, ali samo ako se provede s ozbiljnim pristupom sigurnosti.
Osam grešaka koje smo analizirali, od nedovoljne procjene rizika i nerazumijevanja dijeljene odgovornosti, preko slabe kontrole pristupa i izostanka enkripcije, do nedostatka monitoringa, zanemarivanja mrežne sigurnosti, neadekvatne obuke zaposlenika i nepažnje prema regulativi, nisu neizbježne.
Svaka se može spriječiti pravilnim planiranjem, pravim alatima i predanom provedbom.
Cloud sigurnost zahtijeva proaktivan pristup. Troškovi prevencije uvijek su višestruko niži od troškova saniranja sigurnosnog incidenta.
Tvrtke koje danas ulože u izgradnju snažnih sigurnosnih temelja bit će spremne za izazove budućnosti, od prijetnji temeljenih na umjetnoj inteligenciji do sve složenijih regulatornih zahtjeva.
Napravite prvi korak danas. Preuzmite besplatnu kontrolnu listu za sigurnu migraciju na cloud, zakažite sigurnosnu konzultaciju s našim stručnjacima ili se prijavite na mjesečni newsletter o cloud sigurnosti. Vaši podatci, vaši klijenti i vaše poslovanje zaslužuju najbolju moguću zaštitu.
