Ochrana dat v AWS, Azure, GCP

Posted on by Natália Šimková
Ochrana dat v AWS, Azure, GCP

Ochrana dat v cloudu

Ochrana dat v cloudu vyžaduje kombinaci správné architektury, bezpečnostních kontrol a provozních postupů, které respektují model sdílené odpovědnosti a specifika jednotlivých platforem. Tento text prakticky srovnává a doporučuje osvědčené postupy pro ochranu dat napříč třemi hlavními poskytovateli: Amazon Web Services (AWS), Microsoft Azure a Google Cloud Platform (GCP). Zaměřuje se na šifrování, správu klíčů, přístupy, segmentaci, monitoring, DLP, řízení rizik mis-konfigurací, zálohování a compliance.

Model sdílené odpovědnosti

Poskytovatel zajišťuje bezpečnost “of the cloud” (fyzická infrastruktura, hypervizor, core služby). Zákazník zodpovídá za bezpečnost “in the cloud” (identita, konfigurace služeb, klasifikace dat, šifrování, přístupová práva, audit, reakce na incidenty). Tato hranice se posouvá se zvoleným modelem (IaaS → PaaS → SaaS), ale odpovědnost za data (správné nakládání, zákonnost, integrita a dostupnost) zůstává na zákazníkovi.

Klasifikace a kategorizace dat

Zaveďte jednotný klasifikační systém (např. Veřejná / Interní / Důvěrná / Přísně důvěrná) s vazbou na technické kontroly: požadované šifrování, retence, DLP politiky, schvalování přístupů a geo-lokaci. Tagujte a labelujte zdroje (S3 bucket, Blob/GCS bucket, databáze, snapshoty) pro automatizované vynucování politik a reporting.

Šifrování dat v klidu a při přenosu

Všichni tři poskytovatelé podporují průmyslové standardy a transparentní šifrování na úrovni služeb. Minimální standard je TLS 1.2+ pro přenos a default-at-rest šifrování pro úložiště a databáze. Pro citlivá data preferujte vlastní klíče (CMEK) nebo dedikované HSM.

  • AWS: S3, EBS, EFS, RDS, DynamoDB a Redshift podporují šifrování s AWS KMS; pro nejvyšší požadavky použijte CloudHSM nebo External Key Store a funkce S3 Object Lock (WORM) a S3 Bucket Keys pro snížení nákladů na KMS volání.
  • Azure: Storage šifrování s Microsoft-managed keys je výchozí; pro CMEK využijte Azure Key Vault (včetně HSM tier), u databází (Azure SQL, Cosmos DB, PostgreSQL/MySQL) zapněte TDE s vlastními klíči. Pro objekty je k dispozici Immutable Storage a právní držení (legal hold).
  • GCP: Cloud Storage, Persistent Disk, BigQuery i databáze podporují šifrování s Cloud KMS; pro špičkovou ochranu využijte Cloud HSM. BigQuery CMEK a per-table klíčování umožní granulární řízení. Objektové úložiště podporuje Bucket Lock (WORM) a Retention Policies.

Správa klíčů: KMS, HSM, BYOK a rotace

Centralizujte klíče v nativních KMS s pravidelnou rotací, izolací oprávnění a auditem. Pro vysoce regulované případy zvažte HSM (FIPS 140-2/3) a BYOK/HYOK.

  • AWS KMS: oddělte správu klíčů (key administrators) od užití klíčů (key users), definujte key policy, použijte aliasy a automatickou rotaci. Pro sdílení napříč účty využijte granty nebo přístup přes IAM role.
  • Azure Key Vault: rozdělujte trezory dle citlivosti a prostředí (prod/test), aktivujte purge protection a soft-delete. Managed HSM pro nejvyšší úroveň kontroly a oddělení administrativních rolí.
  • GCP Cloud KMS/HSM: využijte separaci projektů pro klíče, CMEK bindingy na služby (Storage, BigQuery), rotation schedule a záznamy Cloud Audit Logs pro key operations.

Řízení identity a přístupu (IAM)

Princip minimálních oprávnění, krátkodobé, auditované a schvalované zvýšení práv a segmentace administrátorských povinností jsou základem. Využívejte federaci s IdP (SAML/OIDC), MFA a just-in-time přidělování.

  • AWS: IAM role, permission boundary, SCP na úrovni organizace, IAM Identity Center (SSO). Omezte inline policies, preferujte managed policies a používejte session tags pro kontext.
  • Azure: Azure AD/Entra ID, PIM pro privilegovaný přístup, role-based access (RBAC) na scopech (management group, subscription, resource group, resource), Conditional Access a MFA.
  • GCP: IAM bindings na úrovni organizace/folderu/projektu, zásady least privilege, organizační zásady (Organization Policy) k omezení riskantních funkcí (např. veřejný přístup). Využijte Workload Identity Federation pro bez-klíčovou integraci CI/CD.

Segmentace sítě a privátní přístup k datům

Udržujte data mimo veřejný internet přes privátní konektory, firewalling a mikro-segmentaci. Logika by měla oddělovat prod, non-prod, citlivé služby a admin rozhraní.

  • AWS: VPC, Security Groups, NACLs, VPC Endpoints (Gateway/Interface) a AWS PrivateLink pro privátní přístup ke službám (S3, DynamoDB, KMS). Kontrolujte egress (Egress-only, NAT, firewall).
  • Azure: VNety, NSG/ASG, Private Endpoints a Service Endpoints pro Storage a DB, Azure Firewall a DDoS Protection, User-Defined Routes pro řízení egress.
  • GCP: VPC, Firewall rules, Private Service Connect a VPC Service Controls pro perimetrovou ochranu dat v managed službách, Cloud NAT a egress control.

Bezpečné služby úložiště a databází

  • Objektové úložiště: S3/Azure Blob/Cloud Storage vždy s blokací veřejného přístupu, zásadami bucket-level IAM, verzováním, WORM/immutability a řízením lifecycle (archivace, expirace). Implementujte požadavek na TLS, referer/host restrikce a server-side šifrování s CMEK.
  • Databáze: Zapněte TDE, audit, síťový privátní přístup a CMK/CMEK. Omezte superuser role, používejte managed identity pro přístup aplikací, oddělte data a logy, aktivujte geo-replikaci a PITR (point-in-time restore).
  • Big data: Pro Redshift/Synapse/BigQuery vynucujte regionální lokalitu, CMEK, row-/column-level security, data masking a řízení přístupu na úrovni datasetů/tabulek.

Detekce, monitoring a DLP

Pravidelný audit, alerting a detekce anomálií jsou nutné k včasnému odhalení úniku či zneužití dat. Využívejte nativní bezpečnostní centra a DLP nástroje.

  • AWS: CloudTrail a S3 Access Logs pro audit, CloudWatch/CloudWatch Logs, GuardDuty pro anomálie, Macie pro DLP a klasifikaci PII, Security Hub jako agregátor a kontrolní rámec, Config pro compliance drift.
  • Azure: Azure Monitor a Activity Logs, Defender for Cloud pro posture management a hrozby, Purview pro data governance a klasifikaci, Sentinel jako SIEM/SOAR, Policy pro vynucování konfigurací.
  • GCP: Cloud Audit Logs, Cloud Monitoring/Logging, Security Command Center (SCC) pro posture a detekce, Cloud DLP pro inspekci a maskování citlivých dat, Policy Intelligence pro řízení přístupů.

Ochrana před mis-konfiguracemi a governance

Nejčastější úniky dat souvisejí s chybnými právy a veřejným vystavením. Zaveďte preventivní a detekční guardraily a průběžný posture management.

  • AWS: Organizace (AWS Organizations) se Service Control Policies pro centrální omezení, AWS Config + conformance packs, Proactive Controls v CodePipeline, šablony CloudFormation s StackSets a drift detection.
  • Azure: Management Groups a Azure Policy (DINE/deny), Blueprints, Bicep/Terraform se schvalovacími bránami, Defender for Cloud doporučení a Secure Score.
  • GCP: Organization Policy Constraints (např. zákaz public buckets), Forseti/Config Validator, Terraform Validator v CI, SCC Findings a Security Health Analytics.

Zálohování, obnova a odolnost

Implementujte 3-2-1 strategii a oddělené, ideálně neměnné kopie (immutable backups). Testujte obnovu a definujte RPO/RTO pro jednotlivé třídy dat.

  • AWS: AWS Backup s backup vault lock a cross-region/cross-account kopiemi, S3 Cross-Region Replication, RDS/EC2/Aurora snapshots s omezeným přístupem.
  • Azure: Azure Backup a Backup Vault (immutability), geo-redundantní uložiště (GRS/ZRS), SQL geo-replication a long-term retention.
  • GCP: Filestore/PD snapshots, GCS versioning + bucket lock, BigQuery time travel a export do separátního projektu.

Správa tajemství a aplikační integrace

Nepoužívejte statické klíče v kódu. Tajemství uchovávejte v nativních trezorech a přidělujte je runtime identitám.

  • AWS: Secrets Manager a Systems Manager Parameter Store, IAM role pro EC2/Lambda/Containers, rotace pověření DB.
  • Azure: Key Vault Secrets, Managed Identities pro VM/Functions/AKS, Key Vault reference v App Services.
  • GCP: Secret Manager, Workload Identity pro GKE/Cloud Run, automatická rotace a IAM na úrovni secretů.

Zero Trust a řízení datové expanze

Implementujte principy Zero Trust: ověřování identity a zařízení, kontextový přístup, mikro-segmentace a kontinuální hodnocení rizik. Omezujte datové kopie, definujte golden sources, využijte data catalogs (Purview/Dataplex/Glue) a access workflows pro schvalování.

Pokročilé ochrany: confidential computing a enclaves

Pro vysoce citlivá data využijte výpočty nad šifrovanými daty a izolované prováděcí prostředí.

  • AWS: Nitro Enclaves pro izolované zpracování a KMS attestation; EC2/containers s podporou šifrované paměti.
  • Azure: Confidential Computing (SGX/TDX/SEV-SNP) pro VMs a kontejnery, Confidential Ledger pro audit odolný proti manipulaci.
  • GCP: Confidential VMs a GKE s AMD SEV-SNP, Confidential Space pro kolaborativní výpočty nad citlivými daty.

Compliance, audit a data residency

Mapujte právní a regulatorní požadavky (GDPR, HIPAA, PCI DSS, ISO 27001, SOC 2) na konkrétní kontrolní mechanismy a důkazy. Zajistěte uchování auditních stop, řízení retenčních dob, anonymizaci/pseudonymizaci a řízení subjektů údajů (DSAR). Dodržujte pravidla umístění dat výběrem regionů, zákazem přeshraničních přenosů bez právního základu a oddělením metadat/logů.

DevSecOps a automatizace bezpečnosti

Šablonujte konfigurace v IaC (CloudFormation/Bicep/Terraform) s bezpečnostními policy-as-code validacemi v CI/CD. Používejte skenery tajemství, SAST/DAST, kontejnery z důvěryhodných registrů a image signing. Zavedete pre-deployment bezpečnostní brány a post-deployment kontinuální compliance skeny.

Typické chyby a jak se jim vyhnout

  • Veřejné bucket/Blob/GCS objekty omylem exponované bez potřeby; vynucujte block public access/public access prevention.
  • Příliš široká IAM oprávnění (např. *:*) bez časového omezení a bez MFA; používejte role a PIM/JIT.
  • Neexistující nebo neotestované zálohy; zavést pravidelné DR cvičení a immutable kopie.
  • Neřízená expanze kopírování dat mezi projekty/účty/tenanty; katalogizace a workflow schvalování přístupů.
  • Chybějící monitoring a DLP; aktivujte nativní nástroje a nastavte alerty na anomální přístupy a velké egressy.

Referenční architektura pro citlivá data

  1. Samostatné účty/projekty/subscription pro citlivá pracovní zátěže, oddělené landing zóny a guardraily (SCP/Policy/Org Policy).
  2. Privátní přístup ke službám (PrivateLink/Private Endpoint/Private Service Connect), žádný přímý veřejný přístup.
  3. Šifrování s CMEK a centralizované KMS/HSM, rotace klíčů, oddělené role pro správu vs. užití klíčů.
  4. RBAC/IAM založené na rolích a skupinách, federace s IdP, PIM/JIT a povinné MFA.
  5. DLP a klasifikace dat, katalogizace a data masking, řízení přístupů na úrovni řádků/sloupců.
  6. Centralizovaný audit, SIEM/SOAR integrace, alerting na citlivé operace (změna politik, klíče, veřejné ACL).
  7. Immutable zálohy, multi-region replikace, pravidelné testy obnovy a definované RPO/RTO.

Metriky a průběžné zlepšování

  • Počet a závažnost mis-konfigurací v posture nástrojích, doba nápravy.
  • Míra pokrytí CMEK/HSM pro citlivé datasety, frekvence rotace klíčů.
  • Podíl privátních vs. veřejných endpointů u datových služeb.
  • MTTD/MTTR u datových incidentů, falešná pozitivita DLP alertů.
  • Úspěšnost a doba obnovy během DR cvičení, plnění RPO/RTO.

Závěr

Bezpečnost dat v AWS, Azure a GCP stojí na stejných principech: správná identita a přístupy, šifrování, privátní přístup, monitoring a governance. Využitím nativních KMS/HSM, DLP a posture nástrojů a zavedením automatizovaných guardrailů lze výrazně snížit riziko úniku i dopady incidentů. Klíčová je disciplína v provozu, průběžné testování a data-driven zlepšování na základě metrik a auditních důkazů.

Related Posts

odbyt

Odbyt 1. Priamy, alebo nepriamy zákazník na úrovni obchodnej distribúcie. Odbyt predstavuje kľúčový koncept v oblasti obchodu a ekonomiky. Ide o proces, ktorým sa produkty […]

Odhad vetra onboard

Odhad vetra onboard

Odhad vetra zlepšuje bezpečnosť aj spotrebu. Vysvetlené metódy, senzory a vplyv na plánovanie trajektórií vrátane kompenzácie poryvov.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *