Felhőbiztonság

A felhőbiztonság (cloud security) célja, hogy megvédje a felhőben működő alkalmazásokat, tárolt adatokat és virtuális infrastruktúrát a külső és belső fenyegetésektől. A felhő alapú megközelítés számos előnyt kínál – skálázhatóság, rugalmasság, költséghatékonyság –, ugyanakkor új típusú kockázatokat is hoz.

Mire való a felhőbiztonság?

A cél nemcsak a támadások megelőzése, hanem a megfelelőség biztosítása, a hibás konfigurációk felismerése és a belső jogosultságok helyes kezelése.

A legfontosabb védelmi területek:

  • CSPM (Cloud Security Posture Management) – Olyan megoldás, amely automatikusan észleli a hibás vagy kockázatos konfigurációkat a felhőinfrastruktúrában. Segítségével betarthatók az iparági megfelelőségi szabályok (pl. CIS Benchmarks), folyamatos auditot biztosít, és képes megelőzni a rossz gyakorlatokból eredő biztonsági réseket.
  • CIEM (Cloud Infrastructure Entitlement Management) – A felhasználói és gépi identitásokhoz kapcsolódó jogosultságokat kezeli. Megakadályozza a túljogosultságokat, segít a least privilege elv betartásában, valamint átláthatóvá teszi, ki mihez fér hozzá, és miért.
  • CWPP (Cloud Workload Protection Platform) – Az IaaS környezetben működő munkaterhelések (VM, konténer, serverless funkciók) védelmét látja el. Képes a viselkedésalapú monitorozásra, sebezhetőség-elemzésre, valamint az automatizált reagálásra támadás esetén.
  • CASB (Cloud Access Security Broker) – A SaaS alkalmazásokhoz való hozzáférést szabályozza és figyeli. Feltárja az árnyék-IT használatot, titkosítja a felhőbe feltöltött adatokat, korlátozza a nem megbízható alkalmazások használatát, és segíti a DLP (Data Loss Prevention) szabályok érvényesítését.
  • CNAPP (Cloud-Native Application Protection Platform) – Egy integrált platform, amely magába foglalja a CSPM, CWPP és CIEM képességeket, és teljeskörű védelmet biztosít a felhő-natív alkalmazások fejlesztésétől a futtatási környezetig. Egyesíti a fejlesztői pipeline védelmét, az infrastruktúra állapotfelmérését, és a futó munkaterhelések biztonsági megfigyelését.

Példák használatra

1. IaaS környezet védelme (pl. AWS)

A szervezet Amazon EC2 gépeket és S3 tárolót használ. A CSPM modul segítségével automatikusan detektálható egy nyilvánosan elérhető bucket, és a CIEM korlátozza a túlzott jogosultságokat.

2. DevOps integráció

A fejlesztői pipeline-ba beépített CWPP képes a konténerimage-eket már build során elemezni, kiszűrni a sebezhetőségeket és blokkolni a kiadást.

3. SaaS szabályozás

A CASB felismeri, hogy egy munkavállaló érzékeny adatokat tölt fel egy ismeretlen fájlmegosztóra, és azonnal riasztást generál vagy blokkolja a műveletet.

Mikor van rá szükség?

  • Ha a vállalat nyilvános felhőszolgáltatásokat (AWS, Azure, GCP) használ
  • Ha konténeres vagy serverless környezetet alkalmaz
  • Ha kritikus vagy érzékeny adatokat tárol SaaS szolgáltatásban (pl. Google Workspace, M365)
  • Ha megfelelőségi követelmények előírják, például:
    • GDPR – személyes adatok védelme
    • ISO/IEC 27001 – információbiztonsági irányítási rendszer
    • NIS2 – alapvető szolgáltatók kiberbiztonsági előírásai
    • SOC 2 – szolgáltatásellenőrzési audit
    • HIPAA – egészségügyi adatkezelés az USA-ban
    • PCI-DSS – kártyás fizetések biztonsága
    • FedRAMP – amerikai szövetségi felhőszolgáltatások követelményei

A felhőbiztonság nem opcionális: a „shared responsibility model” szerint a felhőszolgáltató csak az infrastruktúráért felel, az adatok és konfigurációk védelme a felhasználóra hárul. Ezért elengedhetetlen a célzott, rétegezett és automatizált védelem minden felhős környezetben.