5 najważniejszych zasad NCSC Cloud Security dotyczących zgodności
Istnieje wiele ważnych czynników, które należy wziąć pod uwagę przy wyborze dostawcy chmury dla przypadków użycia chmury. Dla organizacji z branż silnie regulowanych, zgodność z odpowiednimi przepisami jest jedną z najważniejszych rzeczy, o których należy myśleć. Niezależnie od tego, czy planujesz pojedyncze obciążenie w chmurze, czy hybrydową konfigurację wielu chmur, zachowanie zgodności dla wrażliwych danych w chmurze jest niezbędne.
14 zasad bezpieczeństwa w chmurze wydanych przez National Cyber Security Center (NCSC) stanowi wytyczne dla organizacji w Wielkiej Brytanii podczas oceny dostawców usług w chmurze. Ten artykuł koncentruje się na pięciu głównych zasadach bezpieczeństwa, które należy rozważyć z perspektywy zgodności, aby pomóc firmie wybrać odpowiedniego dostawcę usług w chmurze.
Zasada 1: Ochrona danych w trakcie przesyłania
Infrastruktury IT nowoczesnych firm są złożone, a dane regularnie przemieszczają się pomiędzy różnymi elementami sieci. Ochrona wrażliwych danych należących do klientów i pracowników w trakcie ich przemieszczania się między aplikacjami/urządzeniami biznesowymi a chmurą ma krytyczne znaczenie. Konieczne jest również, aby dostawca chmury chronił dane podczas tranzytu wewnątrz chmury, np. gdy dane są replikowane do innego regionu w celu zapewnienia wysokiej dostępności. Niektóre kluczowe kwestie, na które należy zwrócić uwagę i zapewnić zgodność z
przepisami w kontekście danych w tranzycie to:
- Twój dostawca chmury wymusza szyfrowanie, które uniemożliwia osobom
trzecim odczytanie poufnych danych.
- Dostawca chmury korzysta z połączeń światłowodowych, aby połączyć centra
danych w sposób prywatny.
- Dostawca korzysta z najnowszej wersji TLS, aby zapewnić uwierzytelnianie,
integralność i szyfrowanie danych w tranzycie.
Zasada 2: Ochrona i odporność aktywów
Zasada ta mówi, że dostawcy usług w chmurze powinni chronić dane firmy przed fizyczną ingerencją, utratą lub uszkodzeniem. W kontekście zgodności, ważnym aspektem tej zasady jest potrzeba wiedzy o tym, gdzie dane są przechowywane, przetwarzane i zarządzane. Różne przepisy mają różne wymagania dotyczące miejsca przechowywania chronionych danych. Na przykład, niektóre przepisy stanowią, że dane mogą być przekazywane tylko do firm o wystarczającym poziomie ochrony w zakresie przetwarzania danych osobowych. Jeśli Twoja firma zdecyduje się na dostawcę usług w chmurze, który nie zapewnia przejrzystości w zakresie lokalizacji danych, możesz nieświadomie naruszyć przepisy.
Zasada 3: Rozdzielenie klientów
Ostatnią rzeczą, jakiej pragnie Państwa firma, jest korzystanie z usługi chmury publicznej tylko po to, aby dowiedzieć się, że złośliwy haker uzyskał dostęp do Państwa wrażliwych danych, narażając najpierw innego klienta. Ten rodzaj scenariusza dotyczącego niezgodności może się zdarzyć, gdy nie ma wystarczającej separacji pomiędzy różnymi klientami usługi w chmurze.
Inną prawdopodobną sytuacją jest ta, w której konkurent aktywnie stara się wykorzystać Twoje dane. Konkurent może wiedzieć, że korzystacie z tej samej usługi w chmurze i że dostawca nie oddziela odpowiednio różnych klientów. Przed wyborem dostawcy usług, due diligence jest krytyczna pod względem posiadania pewności, że Twoje dane są oddzielone od danych innych klientów. Ta pewność może pochodzić od dostawcy, który może pokazać wyniki niezależnego testu penetracyjnego na swoich usługach. Aby uzyskać dodatkową pewność, być może warto zdecydować się na jedną z dużych nazw zamiast wybierać nowego i niesprawdzonego dostawcę usług w chmurze.
Zasada 10: Tożsamość i uwierzytelnianie
Sprawdzanie, czy użytkownicy są tymi, za których się podają, jest niezbędne dla celów zgodności z przepisami. Gdy ktokolwiek w firmie z dostępem do chmury próbuje z niej korzystać, powinno być wdrożone silne uwierzytelnianie i kontrola dostępu. Należy zwrócić uwagę na co najmniej następujące funkcje uwierzytelniania:
- Uwierzytelnianie wieloczynnikowe, aby użytkownicy usługi nie mogli logować się
po prostu za pomocą pary nazwa użytkownika-hasło.
- Możliwość korzystania z prywatnych połączeń sieciowych w celu uzyskania
dostępu do usługi w chmurze.
- Możliwość ograniczenia czasu trwania sesji logowania.
- Zastosowanie blokowania lub ograniczania kont, na których wykryto próby
logowania metodą brute force.
Zasada 14: Bezpieczne korzystanie z usługi przez Klienta
Ta zasada w mniejszym stopniu dotyczy dostawcy, a w większym - sposobu, w jaki firma korzysta z usług w chmurze. Wybrany przez Ciebie dostawca usług może mieć silną pozycję w zakresie bezpieczeństwa informacji, ale niewłaściwe korzystanie z usługi w chmurze przez pracownika może łatwo doprowadzić do naruszenia danych i kar za nieprzestrzeganie przepisów. Błąd ludzki pozostaje zdumiewająco częstą przyczyną naruszeń danych. W jednym z raportów stwierdzono, że 88 procent przypadków naruszenia danych wynika z błędów popełnionych przez pracowników. W walce z tym ryzykiem i zapewnieniu zgodności z przepisami powinny pomóc poniższe praktyki:
- Zmień kulturę firmy na taką, która stawia bezpieczeństwo na pierwszym miejscu,
dbając o ciągłą świadomość bezpieczeństwa cybernetycznego.
- Przekazać pracownikom, że mają obowiązek bezpiecznego korzystania z usług w
chmurze.
- Szkolić wszystkich, jak bezpiecznie korzystać z usług w chmurze w sposób, który
nie narusza zgodności z przepisami.
- Wykrywaj błędne konfiguracje chmury za pomocą rozwiązania do zarządzania
konfiguracją, takiego jak Tripwire's Configuration Manager. Błędne konfiguracje
są częstą przyczyną naruszeń danych w chmurze.
Myśli końcowe
Przedsiębiorstwa każdej wielkości muszą przestrzegać rosnącej liczby przepisów wdrażanych w celu ochrony wrażliwych informacji cyfrowych. Jeśli planujesz przenieść się do chmury, dokładnie przeanalizuj zasady bezpieczeństwa chmury NCSC, aby zapewnić sobie ochronę przed wysokimi karami związanymi z naruszeniem zgodności. I do walki z rozwiązaniem do zarządzania konfiguracją. Configuration Manager firmy Tripwire może pomóc w wykrywaniu błędnych konfiguracji w środowiskach wielochmurowych.