Bezpieczeństwo systemu i usług chmurowych  

Błędy w oprogramowaniu, niewystarczająca liczba wykorzystanych gotowych usług bezpieczeństwa, zła konfiguracja zabezpieczeń i dostępów do usług to problemy, przez które najczęściej dochodzi do wycieku danych. Jakie są najważniejsze elementy bezpieczeństwa infrastruktury i przechowywania danych?  

Poznaj sposoby ochrony systemu i usług chmurowych – zobacz, jak to robimy w Ebicom!  

Case study – jak wygląda praca na platformie Azure?

W Ebicom pracujemy na platformie chmurowej Microsoft Azure. Jednym z powodów dlaczego wybraliśmy platformę Microsoft Azure jest jej wszechstronność oferowanych usług, jak i bezpiecznemu dostępowi do zasobów, który można dowolnie konfigurować. 

Dodatkową zaletą chmury Azure są jej wielopoziomowe zabezpieczenia wdrażanego oprogramowania i wieloskładnikowe uwierzytelnianie.  

Chmura Azure obsługuje wiele modeli szyfrowania, w tym szyfrowania po stronie serwera, do którego używane są np. klucze zarządzane przez daną usługę czy też klucze zarządzane przez klienta w Key Vault. 

Pracownicy Ebicom posiadają dostęp do platformy Azure, natomiast w zależności od wykonywanych czynności mają nadane odpowiednie uprawnienia. 

Do zarządzania tożsamościami i dostępem użytkowników do zasobów platformy Azure oraz kontrolą dostępów wykorzystywany jest Azure Active Directory. Rozwiązanie to umożliwia dodatkowe poziomy weryfikacji takie jak uwierzytelnianie wieloskładnikowe i zasady dostępu warunkowego. 

Poniżej przedstawiamy kilka bardzo ważnych usług Azure, które odpowiadają za bezpieczeństwo zasobów: 

• Subskrypcja 
• Virtual Network 
• Network Security Group 
• Defender for Cloud
• Firewall 
• Active Directory 
• Key Vault 
• Application Gateway + WAF (Web Application Firewall) 

Czym jest Subskrypcja? 

Kontrola dostępu na platformie Azure zaczyna się od Subskrypcji. Subskrypcja pełni rolę kontenera usług, która działa jako granica zabezpieczeń. Każda subskrypcja posiada administratora, który może dodawać czy modyfikować zasoby. Dodatkowo każda subskrypcja posiada również zdefiniowanych użytkowników z przypisanymi odpowiednimi uprawnieniami do zasobów.  

Azure Virtual Network 

Umożliwia bezpieczne łączenie zasobów platformy Azure jak i bezpieczną komunikację między sobą, Internetem czy sieciami lokalnymi. Jest to Twoja własna sieć w chmurze.  

Network Security Group 

Za pomocą zabezpieczeń sieci (Network Security Group), filtrujemy ruch sieciowy do i z zasobów platformy Azure. Grupa zabezpieczeń sieci zawiera reguły zabezpieczeń, które zezwalają lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy. Dla każdej reguły określamy źródło i obiekt docelowy, port i protokół.

Azure Defender for Cloud

Aby zwiększyć poziom bezpieczeństwa i zapewnić ochronę przed zagrożeniami do monitorowania infrastruktury, wykorzystujemy Azure Defender for Cloud.  

Usługa ta ułatwia zapobieganie zagrożeniom, wykrywanie ich jak i reagowanie na nie. Stan zabezpieczeń zasobów Azure jest analizowany w celu wyszukiwania potencjalnych luk w zabezpieczeniach. 

Poniżej kluczowe możliwości usługi: 

• wykrywa błędy konfiguracji utworzonych usług pod wdrażane aplikacje,  
• udostępnia rekomendacje dotyczące bezpieczeństwa utworzonych usług Azure pod dane rozwiązanie,  
• wykrywa ataki siłowe za pomocą protokołu RDP oraz ataki polegające na wstrzyknięciu kodu SQL,  
• zapewnia rekomendacje z możliwością wykonywania akcji, aby maksymalnie eliminować wykryte zagrożenia, 
• umożliwia czasowy dostęp do maszyn wirtualnych.

Azure Firewall 

Służy do zarządzania zabezpieczeń zasobów usługi Azure Virtual Network. Dzięki tej usłudze można tworzyć zasady łączności aplikacji i sieci w subskrypcjach i sieciach wirtualnych. Dzięki Azure Firewall można zezwolić na dostęp zewnętrzny jak i zablokować go do zasobów sieci wirtualnej. 

Azure Key Vault 

Usługa służy do bezpiecznego przechowywania i kontroli dostępu do tokenów, haseł, certyfikatów czy kluczy interfejsu API. Dostęp do Key Vault wymaga odpowiedniego uwierzytelniania i autoryzacji. Uwierzytelnianie odbywa się za pośrednictwem Azure Active Directory. 

Azure Application Gateway + WAF (Web Application Firewall) 

To natywna dla chmury usługa chroniąca aplikacje internetowe przed typowymi technikami hakowania w Internecie takimi jak wstrzykiwanie kodu SQL i lukami w zabezpieczeniach, np. umożliwiającymi wykonywanie skryptów między witrynami. Aplikacje internetowe są obecnie bardzo często narażone na złośliwe ataki wykorzystujące powszechnie znane luki w zabezpieczeniach.  

Jakie są najistotniejsze elementy ochrony danych w bazie danych?  

Aby dane w Twojej firmie były w pełni zabezpieczone, pamiętaj m.in. o tym: 

• Szyfruj kopie zapasowe baz danych, 
• Zapewnij dostęp do usługi po restrykcjach IP oraz monitoring z alertami, jeśli wykryto nietypowe zdarzenie lub potencjalnie szkodliwe próby uzyskania dostępu do bazy danych,
• Twórz pełne kopie zapasowe baz danych, przynajmniej raz w miesiącu i przechowuj przez kolejne minimum 3 miesiące,  
• Umożliwiaj przywrócenie istniejącej bazy danych, do dowolnego punktu, do 35 dni wstecz,  
• Replikuj bazy danych do innego Data Center (np. Data Center North Europe) tak aby mieć dodatkowe 3 kopie zapasowe w innym regionie, 
• Blokuj usługi przed przypadkowym usunięciem, 
• Zarządzaj dostępem użytkowników poprzez przypisywanie odpowiednich ról kontom użytkowników.

Jakie są najistotniejsze elementy ochrony danych na koncie Storage? 

Konto Storage służy nam do przechowywania dokumentów. Ponieważ w dokumentach zawarte są często wrażliwe dane, nie możemy pozwolić sobie na ich utratę lub kradzież. Dzięki kontu Storage zapewnione mamy: 

• Szyfrowanie danych,  
• Dostęp do usługi po dedykowanych kluczach,  
• Zblokowany publiczny dostęp, 
• Przechowywanie przypadkowo usuniętych danych do określonej liczby dni, np.: 30 dni,  
• Replikowanie danych konta Storage do innego Data Center (np. Data Center North Europe).  

W jaki sposób działa uwierzytelnianie użytkowników w Systemie IRIS?  

System IRIS posiada szereg elementów, które pomagają zachować bezpieczeństwo danych, np. automatyczne wylogowywanie z systemu po czasie zdefiniowanym w konfiguracji czy wymuszaniu zmiany hasła użytkownika po określonym czasie w konfiguracji systemu. System również pilnuje unikalności haseł. Podczas zmiany hasła użytkownik musi podać nowe hasło, którego jeszcze nie używał. 

Nowych użytkowników założyć może wyłącznie administrator systemu. Nadaje on im unikalną nazwę (login) oraz hasło początkowe. W każdej chwili może ich też zablokować, jeżeli nastąpi taka potrzeba. 

Użytkownicy muszą zmienić hasło początkowe na własne, zawierające minimum 8 znaków, w tym liczby i znaki specjalne oraz o odpowiedniej sile hasła, która jest konfigurowana w systemie. Zmiana hasła odbywa się za pomocą wysłanego e-maila z linkiem. Aktywacja linku w określonym czasie powoduje otwarcie formatki z możliwością zmiany hasła.  

Podczas zakładania konta dla nowego użytkownika, administrator przypisuje użytkownikowi odpowiednie uprawnienia dostępu do danych w systemie. 

Jak widać, ochrona aplikacji i danych w chmurze wymaga ściśle określonych warunków, kontroli oraz uwagi. Nie zalecamy przetwarzania danych bez wsparcia odpowiednich usług bezpieczeństwa, z uwagi na ilość zagrożeń, które mogą przysporzyć utraty finansów, klientów oraz wizerunku firmy.  

Warto wybrać bezpiecznego dostawcę, jakim jest np.: Microsoft i zaufać dedykowanym rozwiązaniom, które gwarantują pełne bezpieczeństwo naszych danych. 

Mimo, że chmura dostarcza wiele znakomitych narzędzi i usług dotyczących bezpieczeństwa to pamiętajmy, że pozostaje jeszcze kwestia ich prawidłowego skonfigurowania, czyli rola człowieka, która w całym procesie jest bardzo ważna.