<<< EFF cikk a megfigyelési iparágrólMit jelent az, hogy kiber? (cyber) >>>

Biztonságos a felhő?2020-04-19

Biztonságos felhő szolgáltatásokra építeni? Sok nagy IT cég nyújt felhő alapú szolgáltatásokat: levelezést, online drive-ot, fájlmegosztást, irodai csomagot, fényképtárat, stb. Jó ötlet rájuk bízni az adatainkat? A továbbiakban az otthoni felhasználásról és a nem "nagycéges" megoldásokról lesz szó. "Céges" esetben sok más dolog is felmerül: egy cég lényegében a teljes IT-jét kiszervezheti a felhőbe. Jelenti ez az irodai felhasználók menedzsmentjét, de akár virtualizálhatjuk a fejlesztő-környezetünket, szervereinket, és akkor nem kell foglalkoznunk azok üzemeltetésével, őrzésével, áramellátásával, és bármikor akár sokszorosára bővíthetjük kapacitásukat, akár automatizált módon. Ezekről itt most nem lesz szó, mert az otthoni felhasználásra fókuszálunk.

A nem válasz melletti legnyilvánvalóbb érv, hogy így a felhő-szolgáltató, mint "Nagy Testvér", mindent lát, amit csak csinálsz. Ne becsüld alá a megfigyelési-iparágat, és különösen ingyenes szolgáltatások esetén igaz, hogy nem vagy nemcsak ügyfele, hanem terméke vagy a szolgáltatónak. Megteheted, hogy feltöltés előtt titkosítod az adataidat (ez az ún. kliens-oldali titkosítás) - akár egy így működő felhő szolgáltató, pl. a Tresorit segítségével, akár úgy hogy magad titkosítod az adataidat -, de ekkor fel kell adnod, hogy szolgáltató feldolgozza adataidat, és "egyszerűen" csak adattárolóként, fájlszerverként használhatod.

A továbbiakban a felhő melletti biztonsági érvekről fogok írni. Igen, a felhő mellett is állnak biztonsági érvek, feltéve, hogy nem épp a szolgáltató az, akitől tartasz. Természetesen kényelmi szempontok is szólnak a felhő mellett, és a felhő segítségével új funkciókat, erős, és folyamatosan fejlesztett szolgáltatásokat érünk el, remekül kereshetünk adataink között, megoszthatjuk őket másokkal, és hivatkozhatunk mások adataira, pl. egy fényképen megjelölhetjük Facebook ismerőseinket. Itt most a biztonság pozitív oldaláról szeretnék írni, és nem ezen új lehetőségeket ecsetelem.

  1. Védelem kéretlen és rosszindulatú levelek ellen: A felhő szolgáltató rengeteg jó és rossz levelet lát, így sokkal több adat áll a rendelkezésére, hogy felismerje a spamet, vírusokat, csaló leveleket, mint bármilyen más védelmi rendszer, amit te magad állítanál fel. A Google Gmail szolgáltatásán fut ma keresztül talán a legtöbb ember levelezése, így a Gmail sok szempontból biztonságosabb megoldás, mintha a saját gépeden futtatnád a levelezőprogramot, és/vagy saját levelezőszervert használnál. A Gmailt folyamatosan frissítik, mindig naprakész, ismeri, hogy épp milyen kéretlen levelek keringenek.

    A levelezés általában véve egy érzékeny funkció, támadási felület, mert ez az egyik olyan pont, ahol kívülről érkező fájlokat fogadsz. Önmagában az is jelenthet védelmet, hogy böngészőben levelezel, mert ha rosszindulatú levet kapsz, az nem kerül automatikusan rá a számítógépedre, csak akkor, ha külön letöltöd. Ugyanakkor a böngésző maga is támadási felület, lehet érelme külön böngészőt használni a levelezéshez, nehogy egy rosszindulatú weblap belenyúlhasson valahogy.

  2. Biztonsági mentések: Senki sem fordulna olyan felhő szolgáltatóhoz, amely elveszíti az ügyfele adatait. Ezért a szolgáltató gondosan kidolgozott, szigorúan ellenőrzött mentési rendszert működtet. Redundáns módon tárolja az adataidat, a világ több pontján is tart mentést, mert az adatod nem veszhet el, ha egy-egy lemez bedöglik, és nem válhat elérhetetlenné, ha valamelyik telephelye épp nem üzemel. Valószínűleg jobb a rendszere, mint a tiéd, és fegyelmezettebben végzi a mentéseket, mint ahogy te tennéd. Gondolj bele, mikor készítettél utoljára biztonsági mentést az adataidról? Előfordult már, hogy tervezted, hogy mentesz, de mégis közbejött valami?

    Ugyanakkor, hogy ha nincs net, akkor nem éred el, amit csak a szolgáltatónál tárolsz. Szintén problémát okozhat, hogy ha minden adatodat egy könnyen kezelhető központi helyen tartod, mert épp a könnyű kezelhetőség miatt könnyen le is törölheted az összeset.

    Ha a nálad is meglévő adatokat a felhőbe szinkronizálod (ilyen pl. a OneDrive / GDrive / Dropbox / Tresorit vagy az IMAP levelezés), akkor minden előnyét élvezed annak, hogy nálad vannak az adataid, de a világ nagyon sok pontján van róluk folyamatos biztonsági másolat is. Mindemellett esetleg visszaállíthatsz korábbi verziókat is, ha valamit elrontottál. Mellesleg, bárhol vagy, eléred az összes adatodat.

    Ha komolyan gondolkozol felhő alapú adattárolásban, ismerd meg, hogy a szolgáltató milyen mentési/visszaaállítási funkciókkal rendelkezik, pl. hány előző verziót tart fent a fájljaidból, és legyen terved a nagyobb rendszer-visszaállításokra. Ezen túl azt javaslom, időnként készíts egy-egy saját, offline mentést is, mert így kevésbé szolgáltatod ki magadat a felhőnek.

  3. Biztonságos belépés: A szolgáltatóknál használhatsz kétfaktoros authentikációt (amelyiknél nem, azt a szolgáltatót lehet, hogy jobb elkerülni), és folyamatosan fejlesztik, hogy a legmodernebb beléptetési megoldásokat is használhasd.

    Sok oldal támogatja, hogy valamely felhő szolgáltatás segítségével (pl. Google, Facebook vagy Twitter fiókoddal) lépjél be. Így nemcsak kevesebb jelszavad van, de automatikusan megkapod a szolgáltató erős azonosításának előnyeit. Ha saját szervered van, megvalósíthatsz rá kétfaktoros beléptetést. De vajon meg is valósítottad?

    Te is kezelhetsz sok jelszót biztonságos módon (pl. egy jelszókezelő segítségével, esetleg felhővel kombinálva), de ehhez némi fegyelmezettség szükséges. Kevésbé biztonság-tudatos felhasználók lehet, hogy jobban járnak ha a Facebookon (vagy Google-ben stb.) használnak erős jelszót és kétfaktoros beléptetést, és máshova e felhő szolgáltatókon keresztül lépnek be. (Ez annál mindenképp jobb, mintha valakinek mindenhol "Alma1" a jelszava.)

    Légy óvatos: A felhő nagy előnye, hogy bárhonnan eléred az adataidat, egyúttal azt is jelenti, hogy bárki más is megpróbálhatja bárhonnan elérni az adataidat. Ha "gyenge" módon is elérhető a fiókod (széthagyod a jelszavadat / gyenge jelszót választasz / nem használsz második faktort stb), más is ki- és bejárkálhat a fiókodba. A felhőben MINDIG állíts be kétfaktoros beléptetést.

  4. Biztonsági frissítések, biztonságos üzemeltetés: Ha nem épp a felhő-szolgáltató az, akitől adataidat félted, valószínűleg sokkal biztonságosabban üzemelteti a rendszerét, mint ahogy te tennéd. Profi szakemberei és automatizált folyamatai vannak, a szervereit rendszeresen frissíti (teszteli, telepíti és beállítja a biztonsági frissítéseket), beszerzi, és telepíti a tanúsítványokat, megújítja őket, ha lejárnának, és folyamatosan figyeli, hogy nem próbálják-e meg feltörni, és lépéseket tesz a támadások ellen.

    Vigyázz: A szolgáltató szolgáltatást nyújt, és nem felel azért, hogy te hogyan használod a szolgáltatást. Ha rosszul állítod be, akkor boldog-boldogtalan eléri az adataidat.

  5. Leltár. A szolgáltató az alapján számláz, hogy mennyit használod (fizetős fiók esetén). Bármi más elromolhat a szolgáltatónál, de a számlázási rendszere szinte biztos, hogy működni fog. Ennek kapcsán nyilvántartást kapsz arról, hogy mid van nála, hol, és kivel osztottad meg, ehhez alapos nyilvántartást kellene vezetned (és az emberek/cégek többsége nem tesz ilyet).

Nagyon találó Bruce Schneier feudális biztonság analógiája: "hűséget esküszöl" a felhő-szolgáltatónak, cserébe védelmet kapsz. Ez az írás a védelemről szól. Igen, valóban jár védelem. Cserébe tényleg el kell kötelezned magad a szolgáltató mellett: minél jobban kihasználod a szolgáltató speciális szolgáltatásait (például a fényképeiden az ismerősök arcainak felismerése, és az ez alapján történő fénykép-keresés), annál jobban hozzá kötöd magadat a későbbiekben. A felhő-szolgáltatók alapvetően hasonló szolgáltatásokat nyújtanak, de attól még nem könnyű dolog átváltani egyik szolgáltatóról a másikra, és nem könnyű párhuzamosan használni két szolgáltatót anélkül, hogy összakavarodnának a dolgok.

Ha nem bízol a felhő-szolgáltatóban, akkor ne használd. Ugyanakkor ha elfogadod, hogy rábízod az adataidat, számos előnyt nyújt cserébe, köztük jópár biztonsági előnyt is. Igen, ezek nagy részét te is meg tudnád csinálni... De meg is csináltad már őket? Lesz rá valaha is időd?

Ha felhőt akarsz használni, íme néhány jótanács:

  1. MINDIG használj kétfaktoros autentikációt a fontos fiókokra.
  2. Legyen terved a visszaútra. Gondold végig, mit csinálnál, ha meg kell válnod a szolgáltatótól.
  3. Ismerd meg a szolgáltatást! Ha rosszul használod, nemcsak óriási katyvaszt csinálhatsz, de az rögtön kint lesz az Interneted az összes adatoddal együtt.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.