Cloudová bezpečnost

Posted on by Monika P.
Cloudová bezpečnost

Proč je cloudová bezpečnost a šifrování dat zásadní

Cloud computing přináší elasticitu, rychlost inovací a provozní efektivitu. Současně však zvyšuje nároky na řízení rizik, správu identit a ochraná opatření napříč heterogenní infrastrukturou. Šifrování je klíčovým kontrolním prvkem pro zachování důvěrnosti a integrity dat, ale samo o sobě nestačí: musí být začleněno do architektury bezpečnosti, do řízení identit a přístupu, do životního cyklu dat a do provozních procesů (monitoring, incident response).

Model sdílené odpovědnosti a rozdíly IaaS / PaaS / SaaS

  • IaaS: poskytovatel zajišťuje fyzickou bezpečnost, hypervizor a základní síť; zákazník je odpovědný za OS, workloady, identitu, šifrování, segmentaci a konfiguraci.
  • PaaS: poskytovatel spravuje větší část stacku (runtime, databáze); zákazník nastavuje identitu, přístupová práva, konfiguraci šifrování a bezpečnost aplikace.
  • SaaS: poskytovatel odpovídá za aplikační vrstvu; zákazník za správu identit, politik, klasifikaci a řízení sdílení dat.

Hrozby a rizikový profil cloudových prostředí

  • Chybné konfigurace (nezabezpečené storage bucket-y, příliš široká oprávnění).
  • Únik přihlašovacích údajů a eskalace oprávnění přes zranitelné CI/CD řetězce.
  • Ransomware a supply-chain útoky (závislosti, kontejnery, artefakty).
  • Útoky na API a zneužití tokenů (session fixation, SSRF, „confused deputy“).
  • Nejasná suverenita dat, přeshraniční přenosy, nedostatečná pseudonymizace.

Architektonické principy: Zero Trust a segmentace

  • Ověřuj vždy, nevěř nikomu: silná autentizace, kontextové politiky (zařízení, lokace, rizikové signály).
  • Nejmenší potřebná oprávnění (PoLP) a časově omezený přístup (JIT/JEA).
  • Mikrosegmentace a identity-aware proxy pro přístup k citlivým službám.
  • Separace tenantů a privilegovaných cest (break-glass, bastiony, PAM).

Řízení identit a přístupu (IAM)

  • Federace (SAML/OIDC) a centrální IdP; MFA (FIDO2/WebAuthn) jako standard.
  • Role-based a attribute-based přístupové modely; „scoped“ tokeny s krátkou životností.
  • Service accounts a workload identity pro stroje; rotace klíčů a tajemství v trezorech tajemství (secret management).
  • CIEM (Cloud Infrastructure Entitlements Management) pro audit a redukci nadbytečných práv.

Šifrování dat: přehled a terminologie

  • V klidu (at rest): data uložená na discích, v objektech, snapshoty a zálohy.
  • Při přenosu (in transit): data na síti (TLS 1.2+/1.3, mTLS, IPsec, QUIC/TLS).
  • Při použití (in use): data zpracovávaná v paměti; vyžaduje konfidenční výpočet (TEE/SGX/SEV-SNP/TDX) či pokročilé kryptografické techniky.

Algoritmy a kryptografické standardy

  • Symetrické: AES-GCM/AES-XTS (256 bitů) pro storage, ChaCha20-Poly1305 pro některé mobilní/bez-HW akcelerace.
  • Asymetrické: RSA-3072/4096, ECC (P-256/P-384), Ed25519 pro podpisy.
  • Hash a MAC: SHA-256/512, HMAC-SHA-256; pro hesla Argon2id/scrypt (nikoli prostý SHA).
  • Kryptoagilita: schopnost rychle přejít na nové algoritmy (např. post-kvantové – Kyber/Dilithium – po stabilizaci standardů a dostupnosti knihoven).

Správa klíčů: KMS, HSM, envelope encryption

  • KMS: centrální správa šifrovacích klíčů, audit operací (Create/Use/Rotate/Destroy), politiky přístupu a automatická rotace.
  • HSM: hardwarové moduly pro generování a úschovu root/CMK; možné modely Cloud HSM či připojení on-prem HSM.
  • Envelope encryption: data šifrována datovým klíčem (DEK); DEK je šifrován klíčem KMS (KEK); zjednodušuje škálování a rotaci.
  • BYOK/HYOK: přines vlastní klíč (BYOK) nebo hostuj svůj klíč mimo cloud (HYOK) pro citlivé a regulované scénáře.
  • Rotace a expirace: periodická rotace KEK (např. 6–12 měsíců), ad-hoc rotace při incidentu, verze klíčů a řízené re-wrap DEK.

Šifrování v úložištích a databázích

  • Objekty (bloby/buckety): server-side encryption (SSE) se spravovanými klíči poskytovatele nebo customer-managed keys; volit mTLS a podpisy požadavků.
  • Blokové úložiště (disky/snapshoty): transparentní šifrování na úrovni svazku (AES-XTS); oddělené politiky pro snapshoty a repliky.
  • Databáze: TDE (Transparent Data Encryption) + column-level či field-level šifrování pro PII/PHI; tokenizace a pseudonymizace pro analytiku.
  • Zálohy: šifrování při exportu a při uložení, oddělený KMS a separace povinností (SoD).

Šifrování při přenosu: síťové vrstvy a mTLS

  • TLS 1.3 jako výchozí; zakázat zastaralé šifry a renegociaci; povolit HSTS na veřejných rozhraních.
  • mTLS pro stroj-stroj komunikaci (service mesh/sidecar proxy); rotace certifikátů přes ACME/CSR pipeline.
  • IPsec/Private Link: šifrované tunely mezi cloudy a on-prem (site-to-site, point-to-site).

Šifrování „in use“: konfidenční výpočty a pokročilé techniky

  • Trusted Execution Environments (TEE): izolované enclave s atestací (pro důvěryhodné spouštění kódu a práci s klíči).
  • MPC/FHE: vícestranné výpočty a (částečně) homomorfní šifrování; dnes spíše pro vybrané případy (sdílení citlivých dat bez jejich odhalení).
  • Secure multiparty analytics: kombinace TEE + anonymizace pro kooperativní analýzy mezi organizacemi.

Ochrana tajemství, klíčů a identit workloadů

  • Secrets management: dynamické přihlašovací údaje (just-in-time), krátkožijící tokeny, audit čtení tajemství.
  • Workload identity: vazba podu/VM na identitu přes vydavatele (SPIFFE/SPIRE, cloud-native identity); eliminace statických klíčů v kódu.
  • Build-time a run-time politiky: skenování repozitářů na úniky klíčů, prevence secrets sprawl.

CNAPP: komplexní bezpečnost cloud-native (K8s, kontejnery)

  • Poskytování: CSPM (postoj, konfigurace), CIEM (oprávnění), CWPP (ochrana workloadů), KSPM (Kubernetes posture) a image skenování.
  • Podpis a provenance: podepisování artefaktů (Sigstore/Cosign), SBOM (CycloneDX/SPDX), politiky přijetí (OPA/Gatekeeper/Kyverno).
  • Runtime ochrana: detekce anomálií (eBPF), síťové politiky (CNI/Calico), izolace namespaces a psp/pod security profily.

Data governance: klasifikace, DLP a životní cyklus

  • Klasifikace dat: veřejná / interní / důvěrná / přísně důvěrná; mapování na šifrovací politiky a kontrolu sdílení.
  • DLP: detekce PII/PHI v objektech, e-mailech a SaaS; blokace/obfuskování při exfiltraci.
  • Životní cyklus: tiering, retence, legal hold, bezpečné mazání (crypto-erase) a skartace klíčů.

Compliance a suverenita dat

  • GDPR: minimalizace, účelové omezení, práva subjektů; pseudonymizace a privacy by design.
  • Certifikace poskytovatele: ISO 27001/27701, SOC 2, PCI DSS, HDS apod.; mapování kontrol do vlastního ISMS.
  • Rezidence dat a přeshraniční transfery; využití regionů, sovereign cloud, BYOK/HYOK.

Detekce, monitoring a reakce na incidenty

  • Jednotné logování: CloudTrail-like audit, VPC flow, DNS, aplikační logy; neodnímatelná integrita (WORM, hash-chain).
  • SIEM/SOAR: korelace událostí napříč cloudy a SaaS; playbooky pro exfiltraci, credential stuffing, změny KMS politik.
  • Deception & honeypots v cloudu pro včasnou indikaci laterálního pohybu.

Zálohování, DR a odolnost vůči ransomware

  • 3-2-1-1 strategie: tři kopie, dva různé typy médií, jedna mimo lokalitu, jedna immutable (objekty s WORM/lifecycle lock).
  • Oddělené identity pro zálohy (SoD), šifrování jiným KMS klíčem, pravidelné restore testy.
  • RPO/RTO a geo-replikace; runbooky pro obnovu KMS a atestaci TEE, pokud se používají.

Bezpečnost sítí v cloudu

  • Privátní konektivita a service endpoints místo veřejného internetu, kde je to možné.
  • Segregace přes účty/projekty, VPC/VNet, ACL/SG; centrální egress s DLP/SSL inspection (s ohledem na soukromí a právní rámec).
  • Firewall-as-Code: verze a recenze síťových politik, canary deploymenty.

Praktické šifrovací vzory (patterns)

  • Client-side encryption: šifrování před uložením do cloudu; klíče mimo doménu poskytovatele (HYOK) – vhodné pro nejcitlivější data.
  • Server-side s CMK: poskytovatel šifruje, ale klíč a politika jsou pod správou zákazníka (audit, rotace, podmíněný přístup).
  • End-to-end: pro messaging a spolupráci (E2EE), pozor na indexaci a vyhledávání (nutnost side-metadata).

Post-kvantová připravenost (PQ-readiness)

  • Inventarizace kryptografie: katalog všech míst, kde se používají kryptoprimitiva, certifikáty a KMS rozhraní.
  • Dvojité šifrování/hybridní handshaky (klasické + PQ) tam, kde to platformy podporují.
  • Agilní politiky a testovací prostředí pro postupnou adopci PQ algoritmů bez výpadků.

Bezpečnostní „anti-patterns“ a časté chyby

  • Spoléhání na implicitní perimetr místo identity-first modelu.
  • Statické dlouhožijící klíče v kódu/CI; neregulovaná správa tajemství.
  • Nepokrytí záloh politikou šifrování a separací oprávnění.
  • Neexistence key destruction procesu a kryptografického skartování.
  • Přehnané logování citlivých dat bez redakce/pseudonymizace.

Checklist pro návrh a audit cloudové bezpečnosti

  • Máte klasifikaci dat a mapu jejich toků mezi službami a regiony?
  • Je všude vynuceno TLS 1.2+/1.3 (ideálně mTLS pro interní služby)?
  • Jsou úložiště a databáze šifrovány s CMK/HSM a existuje plán rotace a re-wrap?
  • Máte federované IAM, MFA a CIEM report „excessive permissions = 0“ pro produkci?
  • Probíhá CSPM sken chybné konfigurace a je napojen na CI/CD (policy-as-code, shift-left)?
  • Existují immutable zálohy, pravidelné testy obnovy a samostatná identita pro backup správu?
  • Je definován BYOK/HYOK model pro nejcitlivější datové domény a smluvně ošetřena suverenita dat?
  • Využíváte TEE pro citlivé výpočty nebo máte plán pro jejich adopci?
  • Máte SIEM/SOAR s playbooky pro změny klíčových politik KMS a anomálie v přístupech?

Závěr: kryptografie jako součást širší odolnosti

Úspěšná cloudová bezpečnost je výsledkem kombinace kryptografie, řízení identit, správné konfigurace, monitoringu a disciplinovaných provozních procesů. Šifrování je nepostradatelné, ale plného účinku dosáhne až ve chvíli, kdy je provázáno s KMS/HSM, politikami přístupu, segmentací sítě, ochranou workloadů a s jasným plánem reakce na incidenty a obnovy. Investice do krypto-agility, TEE a governance dat dnes zvyšuje jistotu, že vaše data zůstanou chráněna i v měnícím se technologickém a regulačním prostředí.

Related Posts

Cukor a nálada

Cukor a nálada

Stabilná energia začína na tanieri: kombinujte bielkoviny, tuk a vlákninu, obmedzte sladké nárazy.

Cena

Úvod k Cene Cena je v ekonómii kľúčovým pojmom, označujúcim množstvo peňazí alebo hodnotu, za ktorú sa produkt alebo služba predáva alebo kupuje. V tomto […]

čiarový kód

Čiarový kód v transporte Kód predstavujúci rozlišovacie znaky usporiadané do paralelných čiar rôznej hrúbky a rozlíšenia, ktoré sa dajú priečnym snímaním čítať. Čiarový kód je […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *