Ne keverjük a személyes bizalmat az IT-bizalommal!
Az idei HOUG-on Yuecel Karabuluttal, az Oracle nyilvános felhőszolgáltatásainak biztonságáért felelős vezetőjével beszélgettünk. A komoly kutatói háttérrel is rendelkező szakember általánosságban beszélt az IaaS és PaaS szolgáltatásokkal kapcsolatos biztonsági kérdésekről.
Torz és rossz előítéleteken alapul a legnagyobb felhős szolgáltatások (hogy egyértelmű legyen, ez jelen cikkben az IaaS és PaaS szolgáltatók kínálatát takarja) biztonságáról alkotott kép az üzemeltetők, informatikai döntéshozók jelentős részénél – mondja Yuecel Karabulut, az Oracle nyilvános felhőszolgáltatásainak biztonságáért felelős vezetője. A szakember korábban a VMware felhős portfóliójának biztonságáért felelt, emellett kimerítő kutatói háttérrel is rendelkezik. Ugyan Karabuluttal a hazai Oracle-felhasználók éves konferenciáján találkoztunk, beszélgetésünk vezérfonala általános (biztonsági) jellegű és nem Oracle-specifikus volt.
Szerinte sokan az elmúlt évek nagy adatszivárgásai alapján foglalnak állást, miközben a támadások célpontjai gyakorlatilag minden esetben "csak" nagy adatkezelők voltak, de nem a legnagyobb kaliberű felhős szolgáltatók voltak. Számos cégnél a telephelyi biztonság is több sebből vérzik, és ahelyett, hogy a hangsúlyt az alapvető működési biztonságra (operational security) fektetnék, elméleti veszélyek ellen próbálnak védekezni.
Kiemelte, hogy a nagy felhős (IaaS, PaaS) szolgáltatók üzleti modelljének egyik legfontosabb alappillére a biztonság, hiszen a megfelelően kialakított védelem egy minimálisan szükséges tényező a piaci siker (és egyáltalán a fennmaradás) érdekében. Ez magában foglalja az adatközpontok fizikai biztonságát, a személyzet hozzáférési lehetőségeinek maximális felügyeletét és a "szokásos" szoftveres biztonságot egyaránt. Ez mindegyik komoly szereplő számára létkérdés, ezért jellemzően az informatikai prioritási lista legelején van, míg az eltérő profilú cégeknél ez csak elvétve van így.
Karabulut szerint az előítéletek egy része a "piaci hadviselés" eredménye is, ugyanis a hagyományos informatikai biztonsági szolgáltatók és eszközfejlesztők aktívan próbálják megőrizni piaci pozícióikat – ezek a cégek az IaaS és még inkább a PaaS szolgáltatásoknál egyszerűen kiesnek a képből.
A szakember elmondta, hogy tapasztalata szerint sok cég küzd még a vélt és valós fenyegetések meghatározásával és szétválasztásával: a rendszeres frissítés, a szigorú hozzáférési szabályozás, a titkosítás, logmenedzsment és -elemzés, a többfaktoros hitelesítés helyett például a virtualizáció, a több bérlős modell (multi tenancy), az izoláció elméleti sérülékenységeivel foglalkoznak. Az ilyen hozzáállást megalapozó kutatásokat idealizált környezetben végzik, és bár akadémiai jelentőségük tagadhatatlan, könnyű belőlük fals benyomásokat szerezni.
A személyes bizalom nem lehet egyenlő az IT-biztonsági bizalommal
Karabulut egyik legérdekebb megjegyzése az volt, hogy a személyes bizalmat és az IT-biztonsági bizalmat még mindig nagyon sokan keverik, ennek pedig végső soron a biztonság issza meg a levét. A vállalati kultúra és a személyes kapcsolatok így túl nagy hatást gyakorolnak egy olyan területre, ahol egyébként pont olyan rendszereket kellene kialakítani, melyek a legkevésbé függnek a bizalomtól.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Szerinte a biztonsági fejlesztéseknek alapvetően a legkevesebb jogosultság (least privilege) felé kellene elmozdulnia, a root hozzáférésre alapuló architektúrákat fokozatosan elhagyva. A legmagasabb jogosultsági szintekkel rendelkező üzemeltetők (fiókjai) jelenleg a legzsírosabb célpontnak minősülnek, és az az alapfeltevés, hogy ezeket a fiókokat a cég és az érintett alkalmazottak is megvédik. Karabulut az üzemeltetési területek mentén is korlátozná a hozzáférési szabadságot: ilyenkor egy támadó akkor sem kaphatna teljhatalmat, ha amúgy adminisztrátori jogosultságot sikerül szereznie.
A szakember úgy látja, hogy hosszú távon az IaaS és PaaS szolgáltatóknak olyan platformokat kell biztosítania, melyeken semmilyen fennhatósága nincs, nem lehet az ügyféladatok felett. Így az információbiztonság kérdése elsősorban a vásárló operatív gyakorlatán múlna, nem pedig a felhőszolgáltató kompetenciájába vetett bizalmon.