Dane w chmurze stają się standardem

Coraz więcej przedsiębiorstw przechowuje przynajmniej część swoich danych w chmurze. Często, nawet nie zdając sobie z tego w pełni sprawy. Współczesne narzędzia pracy bardzo często wykorzystują infrastrukturę chmurową, a użytkownicy korzystają z niej po prostu jako z kolejnej usługi informatycznej.

Środowisko chmurowe jest jednym z największych udogodnień współczesnej infrastruktury IT. W wielu przypadkach jest rozwiązaniem wygodniejszym, bardziej skalowalnym i bezpieczniejszym niż przechowywanie danych na własnych serwerach. Można wskazać wiele scenariuszy, w których chmura sprawdza się bardzo dobrze.

W tym artykule skupimy się jednak na zagrożeniach związanych z przechowywaniem danych w chmurze. Nie po to, aby zniechęcać do korzystania z tych rozwiązań, lecz aby pokazać jakie ryzyka warto brać pod uwagę.

Chmura prywatna i chmura publiczna

W uproszczeniu można wyróżnić dwa najczęściej spotykane modele środowisk chmurowych.

Chmura prywatna to środowisko tworzone przez organizację na własne potrzeby. Firma projektuje jego architekturę, kontroluje sposób zabezpieczenia danych oraz ma pełną wiedzę o tym gdzie dane są przechowywane i jak są chronione.

Zdecydowana większość przedsiębiorstw korzysta jednak z chmury publicznej. Jest ona dostarczana przez wyspecjalizowanych dostawców usług. W tym modelu firma korzysta z gotowej infrastruktury, ale jednocześnie często nie zastanawia się nad tym jak jest ona zbudowana i jakie ryzyka mogą się z nią wiązać.

Co w praktyce oznacza chmura

Dla wielu użytkowników chmura nie jest abstrakcyjnym pojęciem technologicznym. To konkretne usługi, z których korzystają każdego dnia.

Najczęściej są to:

• miejsca przechowywania plików takie jak OneDrive, Dropbox czy Google Drive

• serwery pocztowe takie jak Exchange Online, Gmail lub komercyjne usługi hostingowe

• przestrzenie pracy zespołowej takie jak SharePoint, Google Workspace czy Dropbox Business

Dla użytkownika są to po prostu narzędzia pracy. W rzeczywistości oznacza to jednak, że dane firmy znajdują się na serwerach zewnętrznych dostawców.

Dwa główne zagrożenia

W przypadku danych przechowywanych w chmurze można wskazać dwa główne rodzaje ryzyka:

• ujawnienie danych

• utrata danych

Ujawnienie lub kompromitacja danych

Do danych przechowywanych w chmurze mogą uzyskać dostęp osoby niepowołane.

Najczęściej dzieje się to w wyniku kilku typowych sytuacji.

Może to być pomyłka użytkownika. Pracownik udostępnia dokument publicznie albo wysyła dostęp do niewłaściwej osoby.

Może to być przejęcie konta przez osobę trzecią. Ataki phishingowe bardzo często polegają na wyłudzeniu danych logowania do usług chmurowych.

Nie można również wykluczyć błędu po stronie dostawcy usługi. W dużych organizacjach również pracują ludzie, a każdy system informatyczny może zawierać błędy.

Historia pokazuje, że nawet największe platformy chmurowe mogą doświadczać incydentów bezpieczeństwa.

Przykłady takich zdarzeń obejmują między innymi:

• Capital One w 2019 roku. Wyciek danych 106 milionów klientów związany z błędną konfiguracją środowiska chmurowego Amazon S3.

• Twitch w 2021 roku. Wyciek około 125 GB danych obejmujących kod źródłowy platformy i informacje finansowe streamerów.

• Microsoft Azure w 2022 roku. Ujawnienie około 2,4 TB danych dotyczących ponad 65 tysięcy organizacji w wyniku błędnej konfiguracji usług.

Celem przywołania tych przykładów nie jest straszenie użytkowników, lecz pokazanie, że nawet największe firmy technologiczne nie są całkowicie wolne od problemów.

Dlatego warto świadomie podejmować decyzję o tym, jakie dane przechowujemy w chmurze, a jakie lepiej utrzymywać we własnej infrastrukturze.

Utrata danych w chmurze

Drugim istotnym zagrożeniem jest utrata danych.

Najprostszym scenariuszem jest przypadkowe lub celowe usunięcie danych przez użytkownika. Czasem takie zdarzenie zostaje zauważone dopiero po dłuższym czasie, kiedy odzyskanie plików nie jest już możliwe.

Kolejnym problemem może być złośliwe oprogramowanie, które szyfruje dane synchronizowane z usługą chmurową. W takim przypadku zaszyfrowane pliki trafiają również do chmury.

Najrzadszym, ale najbardziej nieprzewidywalnym scenariuszem jest awaria po stronie dostawcy usługi. Może ona oznaczać czasową niedostępność systemu albo utratę części danych.

Duże firmy technologiczne posiadają rozbudowane systemy zabezpieczeń i mechanizmy redundancji. Mimo to żaden dostawca nie jest w stanie dać absolutnej gwarancji dostępności danych.

Model współdzielonej odpowiedzialności

Korzystanie z usług chmurowych opiera się na modelu współdzielonej odpowiedzialności.

Dostawca chmury odpowiada za infrastrukturę techniczną. Obejmuje to serwery, sieci, centra danych oraz fizyczne zabezpieczenia systemów.

Użytkownik odpowiada natomiast za bezpieczeństwo własnych danych, konfigurację dostępu oraz sposób korzystania z usług.

W praktyce oznacza to, że nawet jeśli infrastruktura dostawcy jest bardzo dobrze zabezpieczona, błędna konfiguracja kont, brak kontroli dostępu lub brak kopii zapasowych nadal mogą prowadzić do utraty lub ujawnienia danych.

Dlatego bezpieczeństwo danych w chmurze wymaga aktywnego działania po stronie organizacji korzystającej z usług.

Model współdzielonej odpowiedzialności na przykładzie Microsoft 365
Żródło: https://www.veeam.com/blog/office365-shared-responsibility-model.html

Najczęstszy błąd firm korzystających z chmury

Najczęstszym błędem jest przekonanie, że skoro dane znajdują się w chmurze to są automatycznie zabezpieczone przed utratą.

W rzeczywistości większość usług chmurowych nie jest systemem backupu, lecz narzędziem do przechowywania i synchronizacji danych.

Jeżeli plik zostanie usunięty lub zaszyfrowany przez złośliwe oprogramowanie, zmiana ta może zostać natychmiast zsynchronizowana również w chmurze.

Kopia zapasowa danych z chmury

Najważniejszą zasadą bezpieczeństwa jest to, że dane przechowywane w chmurze również powinny być objęte kopią zapasową.

Coraz więcej organizacji traktuje backup danych z usług chmurowych jako standardową praktykę bezpieczeństwa. Brak takiej kopii zaczyna być postrzegany jako poważne zaniedbanie.

Istnieją różne modele wykonywania kopii zapasowej danych z chmury.

Jednym z nich jest kopiowanie danych z jednej chmury do drugiej. Pozwala to przechowywać dane w dwóch niezależnych środowiskach.

Drugim podejściem jest kopiowanie danych z chmury do własnej infrastruktury. To rozwiązanie łączy wygodę pracy w chmurze z posiadaniem kopii zapasowej pod pełną kontrolą organizacji.

W praktyce sprowadza się to do prostej zasady. Dane w chmurze są wygodne i często bardzo bezpieczne, ale nadal pozostają danymi, nad którymi nie mamy pełnej kontroli. Dlatego rozsądna strategia bezpieczeństwa zakłada posiadanie ich kopii w innym miejscu.

Kopia danych z chmury w Twojej firmie

Jeżeli korzystasz z usług takich jak Microsoft 365, Google Workspace, Dropbox czy innych platform chmurowych, warto sprawdzić, czy dane są objęte niezależną kopią zapasową.

Coraz więcej firm decyduje się na backup danych chmurowych do drugiego środowiska lub do własnej infrastruktury, aby ograniczyć ryzyko utraty informacji.

Jeżeli chcesz sprawdzić, jakie rozwiązanie będzie odpowiednie dla Twojej organizacji, zespół Helpwise może pomóc w zaprojektowaniu i wdrożeniu bezpiecznej kopii zapasowej danych z usług chmurowych. Wdrażamy rozwiązania sprawdzonych dostawców, takich jak AvePoint czy Veeam, dobierając technologię do specyfiki środowiska i potrzeb klienta.