Bezpečnostný audit cloudového prostredia

​​​​​​​​​​​​​Bezpečnostný audit cloudového prostredia

Trendom dnešnej doby je migrácia firemnej infraštruktúry do cloudového prostredia. Cloudové prostredie však prináša nové výzvy a možnosti, keď jestvujúce nástroje a postupy prestávajú byť efektívne.​​​



 
 

Náš príbeh

Trendom dnešnej doby je migrácia firemnej infraštruktúry do cloudového prostredia. Bezpečnosť v on-premise bola počas uplynulých rokov dotiahnutá v mnohých spoločnostiach takmer do dokonalosti. Cloudové prostredie však prináša nové výzvy a možnosti, keď jestvujúce nástroje a postupy prestávajú byť efektívne. Zodpovednosť môže byť v mnohých ohľadoch prenesená na prevádzkovateľa cloudovej platformy, v súlade so zdieľaným modelom zodpovednosti (SaaS, PaaS, IaaS, On-prem). Kľúčovú rolu predstavuje konfigurácia cloudových služieb, či už tých natívnych, ako služieb tretích strán. Konfiguračné nedostatky môžu viesť k strate firemných dát aj dôvery zákazníkov, preto sme pripravení vám s otázkou bezpečnej konfigurácie vášho cloudového prostredia pomôcť.

Popis riešenia

Cloud Security Assessment 

Bezpečnosť vonkajšieho perimetra Cloudu​ 

Preverenie bezpečnosti cloudovej infraštruktúry exponované do verejného internetu s cieľom identifikovať potenciálne hrozby a riziká, umožňujúce útočníkom infiltrovať sa do vášho cloudového prostredia alebo z neho, naopak, exfiltrovať firemné dáta a iné citlivé informácie.​

Compliance testy podľa bezpečnostných štandardov​

Overenie aktuálneho konfiguračného stavu vášho cloudového prostredia voči všeobecne známym odporúčaniam na základe CIS benchmarku či voči súborom bezpečnostných metrík od samotných poskytovateľov cloudových služieb či komunity.​

Konfiguračný audit vybraných služieb​

Komplexné preverenie jestvujúcej konfigurácie vybraných cloudových služieb voči množstvu individuálnych „best-practise“ a bezpečnostných odporúčaní. A to tak s použitím automatizovaných nástrojov a enumeračných frameworkov, ako aj zároveň veľkého podielu manuálnych testov a čiastkových overení konfigurácie, s cieľom identifikovať konfiguračné nedostatky a navrhnúť optimálne riešenie. ​
 
Pre bezpečnosť vášho cloudového prostredia odporúčame pravidelne kontrolovať jeho konfiguráciu, aby ste sa uistili, že je v súlade s vašimi požiadavkami, a to vrátane tých biznisových. Cloud Security Assessment vám dáva príležitosť odstrániť nepotrebných používateľov, roly, skupiny a zásady IAM vrátane zaistenia, že vaši používatelia a softvér majú iba nevyhnutné oprávnenie pre výkon svojej práce.​

Bezpečnosť vonkajšieho perimetra cloudu

  • Identifikácia IP rozsahov cloudovej infraštruktúry.
  • Enumerácia bežiacich služieb a ich verzií.
  • Exploatácia nájdených zraniteľností.
  • Reálna simulácia útočníka z internetu (tzv. blackbox test).
  • Identifikácia potenciálnych únikov citlivých dát a prístupov.
  • Odhalenie slabých miest v dôsledku chybnej konfigurácie služieb.

Compliance testy podľa bezpečnostných štandardov​

  • Zistenie aktuálneho konfiguračného stavu.
  • Overenie voči CIS/PCI-DSS/HIPAA.
  • Vyhodnotenie súladu či nesúladu s vybraným benchmarkom.
  • ​Návrh riešení pre nájdené zistenia. 

Konfiguračný audit vybraných služieb​ 

  • ​Určite si sami, ktoré cloudové služby sa budú do detailu testovať.
  • Vychádzame z množstva tzv. best-practise odporúčaní nad rámec bežných Compliance testov. Čerpáme pritom z rôznych zdrojov (Azure/AWS dokumentácia, bezpečnostná komunita, vlastné skúsenosti a iné), aby sme vám ponúkli tie najlepšie riešenia.
  • ​Ponúkame vyvážený pomer manuálneho a automatizovaného auditu konfigurácie našimi špecialistami pre vybrané natívne cloudové služby.
​Náš Cloud Security Assessment všeobecne zahŕňa preverenie bezpečnosti vášho cloudového riešenia v mnohých oblastiach, odhalí rôzne konfiguračné pochybenia a prinesie vám množstvo odporúčaní pre maximálne zaistenie bezpečnosti nielen v týchto oblastiach:​​
  • správa identít a prístupu, 
  • virtuálny privátny cloud, 
  • databáza, 
  • skupiny zabezpečenia síete, 
  • pokročilá ochrana pred hrozbami, 
  • šifrovanie vrátane bezpečnosti ukladania kľúčov a hesiel, 
  • zabezpečenie aplikácií, 
  • zabezpečenie úložiska, 
  • opravy a správa inštancií, 
  • sledovanie a monitorovanie zmien konfigurácie, 
  • a mnohé ďalšie čiastkové oblasti cloudu.

​Prečo si zvoliť AEC?

  • Patríme medzi zavedené české security firmy, na trhu úspešne pôsobíme už vyše 30 rokov. 
  • Počúvame klientov a prispôsobujeme služby ich potrebám a časovým možnostiam. 
  • Náš tím tvoria špecialisti s bohatými skúsenosťami z oblasti vývoja aj etického hackingu. 
  • Sledujeme moderné trendy v oblasti vývoja, bezpečnosti a technológií. 
  • Pri analýzach zdrojových kódov kladieme dôraz na manuálne revízie, ktoré vedú k odhaleniu väčšieho množstva chýb ako bežné automatizované riešenia. 
  • Umožňujeme vykonávanie komplexných bezpečnostných auditov kombináciou niekoľkých bezpečnostných disciplín. 
  • Staviame svoje služby na mnohoročných skúsenostiach a rokmi preverených štandardoch.

​Referencie

Naše skúsenosti z projektov pre významné organizácie vo svojom odbore radi poskytneme na vyžiadanie.


Overenie: 

​​​

 

​​