Cloud computing: Vaše data ukládáme šifrovaně

Fyzická bezpečnost datacenter, ve kterých jsou cloudy provozovány bývá zpravidla na velmi vysoké úrovni. Občas sice nějaké lehne popelem, ale jsou zde mnohém větší rizika, např. únik informací.

To se řeší řízením přístupu a šifrováním. Šifrování je vůbec takové magické slovo. Šifrují zločinci, agenti ve filmech, a spousta dalších institucí a poskytovatelů. A na ty se podíváme. Když je něco šifrované, tak je to přeci zabezpečené nejlépe, jak to jde. Opravdu?

Všichni jsem zvyklí, že ve webovém prohlížeči je vedle adresy ikona zámku:

Ta nám ukazuje, že komunikace mezi naším prohlížečem a serverem v internetu je šifrovaná. Když bude někdo po cestě komunikaci odposlouchávat, tak si ji nepřečte. Dnes je použití HTTPS (protokol TLS) standard všude, dříve to byla doména internetových bankovnictví.

Takže data jsou chráněna při komunikaci-přenosu (setkáme se s označením „in transit“), to je levá strana dalšího obrázku. Ale kromě přenosu máme data i v dalších stavech. Když doputují, kam mají, tak je server z šifrovaného tunelu „vybalí“ a bude je zpracovávat (setkáme se s pojmy „in memory“, „in use“) a ukládat („at-rest“). Více zde.

Šifrované ukládání, na obrázku úplně vpravo, je také známé všem. Můžeme si ho zapnout na svém iOS nebo Android telefonu, ale povinné je u drtivé většiny zaměstnavatelů na svěřeném notebooku. Většinou mu ajťáci říkají Full Disk Encryption. Jako uživatelé musíme při zapnutí zadávat buď PIN nebo heslo, případně vkládat kartu s čipem. Tím se zpřístupní šifrovací klíč, dostane se do paměti a data při čtení z disku online dešifruje a naopak při zápisu je šifruje, Hovoří se o tzv. transparentním šifrování v reálném čase nebo také o šifrování on-the-fly.

Takže když nám někdo telefon, tablet, notebook,.. ukradne, zapomeneme ho v hospodě, atd. tak si nálezce naše data jen tak nepřečte, což je super.

Podobně chrání data při ukládání i různí poskytovatelé, setkáme se s označením „data-at-rest encryption“. Na serverech může být implementováno stejně jako na notebooku v OS (tj. v MS Windows jde o Bitlocker, tak to řeší například Azure) nebo na aplikační vrstvě (což je nejčastější, například Amazon AWS, Google cloud, Salesforce,..), občas doplněné o šifrování na databázové vrstvě (tam se potkáme s označením Transparent Data Encryption).

Pro úplnost šifrování na HW úrovni, které je běžná např. u SSD disků v notebooku není u serverů tolik populární, šifrované storage jsou drahé a mají technická omezení.

Je vlastně jedno, který způsob je zvolen, vždy probíhá online a transparentně. Což je skvělé, protože aplikace poskytovatele dostává data dešifrovaně a ta jsou přitom uložena šifrovaně. Navíc i zálohy dat jsou šifrovány.

Takže udělali jsme maximum, naše data (resp. našich klientů) jsou zašifrovaná a když sever nabourá hacker, tak jsme safe? Ne. Je v tom samozřejmě háček. Tedy dva háky.

První spočívá v tom, že data šifruje poskytovatel. Šifrovací klíč má on, nikoliv my. A dopředu prozradím, že další článek o Key Management Service a Bring Your Own Key (BYOK) na tom nic nezmění.

Druhý hák řešení dostane, protože se nekryje před online riziky. Ochrana dat pomocí data-at-rest šifrování tj. online šifrování je účinná jen vůči offline rizikům. Takže pokud někdo ukradne disk ze storage v RAID poli v zamčeném racku v hlídaném datacentru (takže nepravděpodobné), tak si nic nepřečte. Ale nechrání to proti většině pravděpodobnějších hrozeb, pár příkladů:

Hrozba (jen příklady, ne úplný výčet) Data-at-rest šifrování Stav dat
Únik dat z TLS tunelu, například nová zranitelnost typu Heartbleed NE In transit
Únik dat z hacklých front-end serverů poskytovatele NE In transit
Únik dat z hacklých API nebo aplikačních serverů NE In use
Únik dat způsobený zaměstnancem poskytovatele (například obnoví naše data jinému klientovi) NE In use
Zneužití přístupových oprávnění legitimního uživatele (ať už běžný nebo privilegovaný) NE In use
Vydání dat na základě oprávněné žádosti vládní instituce (podezření na trestnou činnost) NE In use / At-rest
Kompromitované DB a souborové servery, ukradená média se zálohami ANO At-rest
Krádež disků z datového centra ANO At-rest

Jak je vidět, šifrování data-at-rest není lék na všechno, i když se tak poskytovatelé snaží tvářit. Naopak k úniku dat dochází častěji způsoby, před kterými nás principiálně nedokáže chránit.

Příště se podíváme na další populární slovo – BYOK.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Cloud computing: Vaše data ukládáme šifrovaně” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: