Adopce cloudových služeb ve střední Evropě roste dvouciferným tempem a pro mnoho organizací se cloud stal výchozí platformou pro nové aplikace. Tento posun by měl ale zásadně změnit pohled firem na bezpečnost. Cloud není jen „cizí datacentrum“ – jde o dynamické, API-řízené prostředí, kde se infrastruktura vytváří a ruší v řádu minut. Je proto nutné přístup k bezpečnosti přizpůsobit specifikům tohoto prostředí, místo spoléhání se na tradiční on-premise návyky.
Mezi klíčová rizika cloudových řešení patří chybné konfigurace (misconfiguration), nadměrná oprávnění identit, nezabezpečená API, nedostatečná viditelnost a nepochopený model sdílené odpovědnosti. Ten určuje, že poskytovatel zajišťuje fyzickou infrastrukturu a základní služby, zatímco zákazník odpovídá za konfiguraci, identitu, data a přístup.
V praxi se ale tato hranice často stírá, typicky u PaaS služeb, kde zákazníci mylně předpokládají „plnou“ ochranu. S tím souvisí i odlišný rizikový profil jednotlivých modelů: u IaaS dominují chyby v síťové a systémové konfiguraci, u PaaS hrají hlavní roli API a správa identit, zatímco u SaaS jde především o účty, sdílení dat a napojení služby třetích stran.
Nejčastěji se setkáváme s veřejně přístupnými úložišti, slabou IAM (Identity and Access Management) politikou a absencí MFA (Multi-Factor Authentication) u privilegovaných účtů. Zásada nejnižšího oprávnění (least privilege) je sice v teorii jasná, v praxi ale často selhává – hlavně kvůli tlaku na rychlost a nedostatečné automatizaci. Oprávnění se postupně přidávají, ale jen zřídka odebírají.
Podceňovaná bývá i správa identit (IAM/CIEM – Cloud Infrastructure Entitlement Management), zejména u strojových identit a servisních účtů. Významné riziko představuje také shadow IT, tedy cloudové služby pořizované mimo IT a bez odpovídající governance. Monitoring a logování navíc často fungují jen částečně, bez vzájemné korelace a alertingu, což ve výsledku prodlužuje dobu detekce incidentu.
Ve veřejně známých případech vedla špatná konfigurace objektového úložiště k úniku milionů záznamů. Typická časová osa kyberútoku je dnes krátká – od vystavení zdroje k jeho zneužití může uplynout i méně než 24 hodin. Útočníci přitom využívají automatizované skenery, které systematicky hledají otevřené porty, chybně nastavené bucket policies, přístupové klíče nebo hesla uložená v prostém textu v repozitářích.
Naopak organizace s dobře nastaveným cloudovým monitoringem (tedy auditními logy a SIEM napojeným na cloudové prostředí) dokážou odhalit anomální přihlášení z netypické geolokace a útok zastavit během minut.
Základem je „bezpečnostní hygiena“. To zahrnuje vícefaktorové přihlašování (MFA), pravidelnou kontrolu oprávnění uživatelů (CIEM), řízení přístupů ke klíčům, certifikátům a heslům (PAM – Privileged Access Management), segmentaci sítí, šifrování dat a centrální logování pro korelaci a reakci na bezpečnostní incidenty (SIEM a SOAR – Security Orchestration, Automation and Response). Dále sem patří detekce chyb v konfiguraci (CSPM – Cloud Security Posture Management), ochrana workloadů (CWP – Cloud Workload Protection) a pravidelný patching.
Moderní přístup označovaný jako Zero Trust vychází z jednoduché zásady: nikomu automaticky nevěřit, ale každého uživatele i zařízení vždy ověřit. V cloudovém prostředí to znamená kontrolovat identitu, zařízení i kontext přístupu a omezovat oprávnění jen na nezbytné minimum.
Velkou roli hraje automatizace. Pokud se infrastruktura nastavuje pomocí šablon a předem definovaných pravidel, výrazně se snižuje riziko lidské chyby. Stejně důležité jsou pravidelné bezpečnostní audity, které odhalí slabá místa dříve, než je může útočník zneužít.
Právní a standardizační rámce pro cloudovou bezpečnost jako je ZoKB / NIS2, GDPR i ISO 27001 vyžadují, aby firmy řídily rizika, chránily osobní data, evidovaly přístupy a měly procesy pro řízení odpovědi na bezpečnostní incidenty. Ověření poskytovatele zahrnuje kontrolu certifikací (ISO 27001, SOC 2), smluvních závazků (DPA, SLA), umístění dat a auditních reportů.
V příštích dvou letech poroste význam ochrany serverless a multi-cloud prostředí a objeví se sofistikovanější, AI řízené útoky na cloudové identity a API. Toto jsou tři kroky, které může organizace udělat hned:
Cloud přináší rychlost a flexibilitu – ale jen tehdy, pokud je bezpečnost navržena jako integrální součást architektury, nikoliv jako dodatečná vrstva.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
