Cloudová bezpečnost: Zabezpečení dat a služeb v multicloudovém prostředí

Posted on by Lucie Čermáková

Cloudová bezpečnost: proč je jiná a co od ní očekávat

Cloudová bezpečnost je soubor technických, organizačních a procesních opatření, která chrání data, identitu, aplikace a infrastrukturu provozovanou v prostředí IaaS, PaaS a SaaS. Na rozdíl od on-premise platí model sdílené odpovědnosti: poskytovatel cloudu chrání fyzickou infrastrukturu a základní služby, zatímco zákazník zodpovídá za konfiguraci, identitu, data, aplikační logiku a dodržování compliance. Klíčem je automatizace, měřitelnost a bezpečnost zavedená od návrhu (security by design).

Model sdílené odpovědnosti (Shared Responsibility Model)

  • IaaS: poskytovatel zajišťuje datacentra, servery, síť, hypervizor; zákazník řeší OS, síťové politiky, aplikace, data a šifrování.
  • PaaS: poskytovatel navíc spravuje běhová prostředí a databázové služby; zákazník se soustředí na konfigurace, identitu, kód a data.
  • SaaS: poskytovatel spravuje aplikaci; zákazník nastavuje přístupová práva, datové politiky, integrace a DLP.

Nejčastější hrozby v cloudu

  • Nesprávná konfigurace (misconfiguration): veřejné bucket-y, široké IAM politiky, chybějící MFA.
  • Kompro­mitace identity: phishing, krádež přístupových klíčů, slabé sdílené účty.
  • Únik či ztráta dat: nedostatečné šifrování, chybné zálohy, neřízené sdílení v SaaS.
  • Dodavatelský řetězec: zranitelné knihovny, CI/CD integrace, malvertising v repozitářích.
  • Ransomware a destruktivní akce: útoky na úložiště, snapshoty a zálohy.
  • Privilege escalation a boční pohyb: slabé segmentace sítí a nedostatečné logování.

IAM a řízení přístupu: základní kámen

  • MFA všude: povinné pro lidské i privilegované účty, ideálně s phishing-rezistentními metodami (FIDO2, passkeys).
  • Princip nejmenších práv (PoLP): využívejte role založené na úlohách (RBAC/ABAC), dočasné přístupy a schvalovací toky.
  • Správa tajemství: centrální trezor (Secrets Manager), rotace klíčů, žádná tajemství v kódu či proměnných prostředí bez řízení.
  • Strojové identity: krátkodobé tokeny, workload identity federation, bez sdílených dlouhožijících klíčů.

Ochrana dat: šifrování, klasifikace a DLP

  • Šifrování v klidu i při přenosu: TLS 1.2+ a povinné šifrování úložišť a databází.
  • Správa klíčů: KMS/HSM, BYOK/HYOK, oddělené domény důvěry, přístup auditován a s víceúrovňovým schvalováním.
  • Klasifikace a označování: metadata, tagy a pravidla pro retenční a přístupové politiky.
  • DLP: detekce PII/PHI a finančních údajů v SaaS i úložištích, blokace exfiltrace a neřízeného sdílení.

Bezpečnost sítě: segmentace, Zero Trust a perimetr v cloudu

  • Segmentace: VPC/VNet, subnety, security groups, micro-segmentation pro East-West provoz.
  • Zero Trust: ověřuj explicitně, autorizuj minimálně, předpokládej průnik; síťové i aplikační politiky.
  • Edge služby: WAF, bot management, DDoS ochrana, CDN s TLS terminací a mTLS pro API.

Monitorování, detekce a reakce

  • Centralizované logování: activity logs, flow logs, auditní stopy u KMS, přístupů a změn konfigurací.
  • SIEM/SOAR: sběr signálů z CSPM, CWPP, CIEM, EDR/XDR a SaaS auditů; automatizované playbooky.
  • UEBA: detekce anomálií chování účtů, služeb a síťového provozu.
  • Runbooks a cvičení: table-top i technická cvičení, pre-approved kroky pro izolaci účtů a rollback změn.

Prevence chybné konfigurace: CSPM, CIEM a policy as code

  • CSPM (Cloud Security Posture Management): kontinuální kontrola konfigurací proti benchmarkům.
  • CIEM (Cloud Infrastructure Entitlement Management): přezkum a ořezávání oprávnění napříč účty a tenanty.
  • Policy as Code: OPA/Rego, Sentinel apod.; validace v CI/CD, blokace nevyhovujících deployů.

DevSecOps: bezpečnost v pipeline

  • Posun doleva: SAST/DAST/IAST, SCA (Software Composition Analysis) a sken IaC šablon (Terraform/ARM).
  • Supply chain: podepisování artefaktů (Sigstore, SLSA), reproducibilní buildy, závislosti z privátních repozitářů.
  • Bezpečná baseline: zlaté obrazy (golden images), hardened kontejnery a runtime profily.

Kontejnery a Kubernetes

  • Registry: sken zranitelností, podpis a omezení pull jen z důvěryhodných zdrojů.
  • Cluster: RBAC, Namespaces, NetworkPolicies, Pod Security, izolace privilegií a seccomp/apparmor.
  • Runtime: omezení egress/ingress, detekce úniků tajemství, admission controllery a policy enforcement.

Serverless a PaaS rizika

  • Krátkodobé přístupy: podpisy požadavků, identity poskytovatele a per-invocation permissions.
  • Event-driven útoky: validace zdrojů událostí, idempotence a throttling.
  • Observabilita: distribuované trasování, metriky cold start vs. bezpečnostní overhead.

Zálohy a obnova: poslední linie obrany

  • 3-2-1 princip: 3 kopie, 2 různá média/služby, 1 offline/immutable (Object Lock/WORM).
  • Oddělená identita: zálohovací účty/roly mimo běžný tenant, přísná práva jen pro restore.
  • Testy obnovy: pravidelná verifikace RPO/RTO, skripty pro plně automatizovaný disaster recovery.

Compliance, řízení rizik a governance

  • Rámce: ISO/IEC 27001, SOC 2, NIST 800-53/CSF, CIS Benchmarks; mapování kontrol na prostředí cloudu.
  • Data residency a soukromí: GDPR, lokalita dat, smluvní ujednání, DPIA a technické kontroly (pseudonymizace).
  • Tagging a rozpočty: nákladové i bezpečnostní tagy, guardrails a schvalování výjimek.

Pokročilé techniky ochrany dat

  • Konfidenční výpočet: TEEs (enklávy) pro ochranu dat za běhu.
  • Tokenizace a pseudonymizace: minimalizace práce s primárními identifikátory.
  • Plán pro post-kvantum: inventura kryptografie, agilní výměna algoritmů a správy klíčů.

Bezpečnost SaaS aplikací

  • SSO a podmíněný přístup: centralizovaná identita, zásady pro BYOD a rizikové přihlášení.
  • CASB/SSE: viditelnost stínového IT, řízení sdílení a DLP napříč SaaS.
  • Správa konfigurací: baseline tenantů, detekce odchylek a audit oprávnění.

Metriky a KPI pro cloudovou bezpečnost

  • MTTD/MTTR pro bezpečnostní incidenty a konfigurační odchylky.
  • Pokrytí policies v IaC, procento compliant zdrojů, počet toxic combinations práv.
  • Četnost rotace tajemství a klíčů, podíl účtů s MFA a phishing-rezistentní autentizací.

Tabulka: minimální baseline kontrol podle modelu služby

Oblast IaaS PaaS SaaS
IAM MFA, RBAC, strojové identity MFA, jemnozrnná oprávnění služeb SSO, podmíněný přístup, DLP
Šifrování KMS/HSM, BYOK, disk/objekt DB a messaging s KMS Tenantové šifrování, klíče zákazníka
Síť VPC, SG, WAF, DDoS Privátní endpointy, WAF IP allowlist, CASB/SSE
Monitoring SIEM, flow/activity logs Service logs, audit SaaS audit log, export do SIEM
Zálohy Immutable, cross-account Point-in-time restore Exporty, retenční politiky

Checklist implementace pro středně velkou organizaci

  1. Zaveďte SSO s MFA (FIDO2) a zrušte statické klíče; audit všech privilegovaných účtů.
  2. Zapněte šifrování všude, BYOK pro kritická data; nastavte key usage approvals.
  3. Nasazení CSPM a CIEM; definujte policy as code a guardrails v CI/CD.
  4. Segmentace sítě a WAF na hraně; privátní connectivity k PaaS a databázím.
  5. Centralizujte logy, připojte je do SIEM/SOAR; připravte a otestujte incident runbooky.
  6. Zálohy s WORM/immutability a air-gap; kvartální test obnovy.
  7. Katalog dat a klasifikace; DLP pravidla v SaaS (e-mail, úložiště, spolupráce).
  8. Bezpečnostní skeny kódu, IaC a kontejnerů; podpis artefaktů a politiky pro registr.

Ekonomika bezpečnosti v cloudu

Bezpečnostní design významně ovlivňuje náklady. Investice do automatizace (CSPM/CIEM, IaC, SOAR) snižují provozní riziko i run náklady. Pravidlo je jednoduché: čím dříve kontrolu zavedete v pipeline, tím levněji řešíte chyby. Drahé jsou zejména incidenty spojené s daty a identitou, proto patří mezi priority šifrování, DLP, IAM a zálohování.

Závěr: bezpečnost jako vlastnost platformy, ne přídavek

Cloud umožňuje bezpečnost škálovat, standardizovat a automatizovat. Úspěch stojí na jasné odpovědnosti, silném IAM, důsledné konfiguraci, měřitelnosti a připravenosti reagovat. Spojením Zero Trust, DevSecOps a governance získáte prostředí, které je odolné, auditovatelné a dlouhodobě udržitelné – bez brzdění inovací.

Related Posts

Role DPO

Co dělá DPO: dohled nad ochranou dat, konzultace DPIA, řízení incidentů a školení. Jak DPO pomáhá splnit požadavky úřadů a budovat důvěru.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *