O bezpieczeństwie w IT w ostatnich latach mówi się wiele. Temat nie ustaje, ponieważ każdego dnia jesteśmy świadkami coraz to bardziej wyrafinowanych cyberataków. Wraz z rosnącą liczbą aktualizacji systemów czy aplikacji, rośnie liczba cyberprzestępców, którzy za punkt honoru stawiają sobie łamanie kodu, wyłudzanie danych etc. Według miesięcznika Forbes[1] mamy do czynienia z pandemią cyberprzestępczości a Polska jest jednym z krajów „na celowniku” cyberprzestępców. Czy to się kiedyś skończy? Jakie rozwiązania dadzą nam gwarancję bezpieczeństwa i jakie znaczenie w tym obszarze mają rozwiązania chmurowe? O zastosowaniu rozwiązań cloudowych w obszarze zapewnienia bezpieczeństwa w IT na przykładzie narzędzi stosowanych w Diverse CG (DCG) mówi Przemysław Chmielecki - ekspert DCG w obszarze usług chmurowych, rozwiązań serwerowych, DevOps.
Jak wygląda bezpieczeństwo w wykonaniu DCG?
Przemysław Chmielecki: W DCG przykładamy dużą wagę do zapewnienia możliwie wysokiego poziomu bezpieczeństwa zarówno w obrębie dostarczanych usług dla klientów, jak i w ramach wewnętrznych rozwiązań na potrzeby developmentu. W praktyce oznacza to odpowiedni dobór narzędzi w chmurze Microsoft Azure, takich jak Key Vault do bezpiecznego przechowywania haseł[1], Azure Active Directory do bezproblemowej i szyfrowanej autentykacji i dostępu do usług[2], czy chociażby PaaS-owe rozwiązania bazodanowe, takie jak Azure SQL zapewniające najwyższy stopień bezpieczeństwa i elastyczności usługi[3].
Czy dobór odpowiednich narzędzi wystarczy? Brzmi to aż nazbyt prosto.
PCH: Narzędzia to jedno, ale w ramach poszczególnych projektów prowadzone są także testy penetracyjne oraz okresowe próby atakowania i łamania zarówno aplikacji, jak i infrastruktury. Służą one poprawie bezpieczeństwa przez zabezpieczeniu namierzonych podatności i w konsekwencji zwiększeniu odporności na kolejne ataki. Oczywiście wszystko odbywa się w paradygmacie etycznym.
Co dokładnie oznacza paradygmat etyczny?
PCH: Mówiąc o paradygmacie mam na myśli cel, którym w tym przypadku jest dokładne poznanie technik potencjalnego ataku. Poznanie celu daje nam możliwość lepszego przygotowania i w konsekwencji odpowiedniego zabezpieczenia przed atakiem[4].
Jakie znaczenie w tym obszarze mają rozwiązania chmurowe?
PCH: Korzystając z usług chmurowych firmy Microsoft jesteśmy jednocześnie chronieni przez szereg certyfikatów, o zgodność z którymi Microsoft dba od lat. Co ważne, są to gwarancje najbardziej aktualne, najnowsze. Spośród wielu wskazać można certyfikację gwarancji jakości na poziomie globalnym ISO, w obszarze finansowym SOX, rządowym ITAR, CJIS, NIST, czy sektorze zdrowotnym HIPAA[5]. Oczywista jest także pełna zgodność z RODO (GDPR). Co ciekawe, Microsoft Azure oferuje także szyfrowanie nie tylko na poziomie software’owym, ale i sprzętowym poprzez użycie dedykowanego HSM[6]. Warto też wspomnieć o rozwiązaniach wysokodostępnych – High Availability Disaster Recovery (HADR)[7] – które pozwalają na zabezpieczenie danych oraz zapewnienie dostępności oferowanej usługi niezależnie od nagłego zwiększenia zainteresowania (ruchu) czy wystąpienia awarii w centrum danych lub nawet zniszczenia całego site’u.
Jakie są trzy najważniejsze zasady dotyczące bezpieczeństwa?
PCH: Kluczem do sukcesu są przede wszystkim:
-
dokładność i uważność w pracy,
-
bycie „up-to-date,”
-
świadomość potencjalnych zagrożeń i wiedza, jak sobie z nimi poradzić.
Dziękuję za rozmowę.
PCH: Dziękuję.
[1] https://www.forbes.pl/gospodarka/globelne-koszty-cybeprzestepczosci-raport-mcafee-za-2017-rok/0k5qgr7(30.10.2019).
[1] https://azure.microsoft.com/en-in/services/key-vault/ (20.06.2019).
[2] Por. V. Bertocci (2016). Modern Authentication with Azure Active Directory for Web Applications, Redmond: Microsoft Corporation, s. 82.
[3] https://docs.microsoft.com/en-us/azure/security/azure-database-security-overview (20.06.2019).
[4] Zob. S. P. Oriyano (2016). Certified Ethical Hacker v9. Study Guide, Indianapolis: Wiley, s. 60. Tematykę szerzej omawiam w: P. Chmielecki (2019). Do hackers need ethics? [w:] Rynek – Społeczeństwo – Kultura, nr 1 (w druku).
[5] https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings (20.06.2019).
[6] https://docs.microsoft.com/en-us/azure/dedicated-hsm/overview (20.06.2019).
[7] W tym temacie poglądowo polecam moją prezentację do wykładu wygłoszonego podczas hackatonu HackYeah w Warszawie w 2018 roku [link].