AWS, Azure i GCP inwestują ogromne środki w bezpieczeństwo swojej infrastruktury fizycznej. Ale bezpieczeństwo Twoich danych i konfiguracji to Twoja odpowiedzialność.
AWS, Azure i GCP inwestują ogromne środki w bezpieczeństwo swojej infrastruktury fizycznej. Ale bezpieczeństwo Twoich danych i konfiguracji w chmurze to Twoja odpowiedzialność - nie dostawcy. Ten podział nazywa się Shared Responsibility Model.
Shared Responsibility Model - co jest po której stronie
- AWS/Azure/GCP odpowiada za: fizyczne datacenter, sieć szkieletową, hiperwizory, dostępność regionów
- Ty odpowiadasz za: konfigurację usług, zarządzanie dostępami (IAM), szyfrowanie danych, monitoring, aktualizacje systemu operacyjnego na EC2, konfigurację sieci (VPC, security groups)
Wyciek danych z publicznego bucketa S3? To Twoja odpowiedzialność, nie AWS. AWS nie jest odpowiedzialny za błędy konfiguracyjne po Twojej stronie.
Pięć warstw bezpieczeństwa w chmurze
1. Tożsamość i dostępy (IAM)
Zasada minimalnych uprawnień: każdy użytkownik i każda usługa dostaje tylko tyle dostępu, ile potrzebuje do swojej funkcji. Regularne przeglądy IAM, usuwanie nieaktywnych kont, unikanie uprawnień z wildcardem (*:*).
2. Sieć i segmentacja
Zasoby podzielone na podsieci: publiczne (load balancer, CDN), prywatne (serwery aplikacji), izolowane (bazy danych). Ruch między warstwami kontrolowany przez security groups. Zasada: domyślnie blokuj, przepuszczaj tylko to, co niezbędne.
3. Szyfrowanie
Dwie warstwy: at-rest (dane przechowywane) i in-transit (dane przesyłane). AWS KMS zarządza kluczami szyfrowania. HTTPS wszędzie - nie tylko na froncie, ale też między serwisami wewnętrznymi. Sekrety (hasła, klucze API) nigdy w kodzie ani zmiennych środowiskowych - używaj AWS Secrets Manager lub HashiCorp Vault.
4. Monitoring i wykrywanie zagrożeń
CloudTrail loguje każde wywołanie API - kto, co, kiedy. GuardDuty automatycznie wykrywa podejrzane zachowania. Security Hub agreguje alerty ze wszystkich usług bezpieczeństwa w jeden widok.
5. Reagowanie na incydenty
Plan reakcji na incydent musi być napisany zanim incydent nastąpi. Kto jest powiadamiany? Kto ma uprawnienia do izolacji zasobów? Gdzie są logi i jak szybko można je przeszukać?
Tyle wynosi średni koszt naruszenia bezpieczeństwa danych. Koszt prewencji to ułamek tej kwoty.
Szybki test gotowości: czy masz włączone CloudTrail we wszystkich regionach? Czy GuardDuty jest aktywny? Czy konto root ma MFA? Czy wiesz, kto ma uprawnienia administracyjne? Jeśli odpowiedź na którekolwiek z tych pytań brzmi "nie wiem" - zacznij od audytu.
Cloud Check obejmuje przegląd konfiguracji bezpieczeństwa. Bezpłatnie, bez dostępów.