Sigurnost podataka u cloudu: tehničke kontrole i prakse

Sigurnost podataka u cloudu: tehničke kontrole i prakse

Cloud infrastruktura nije inherentno nesigurna, ali bez pravilno postavljenih kontrola postaje idealno okruženje za eksfiltraciju i lateralne napade. Ovaj vodič pokriva ključne tehničke kontrole za zaštitu podataka u cloudu (AWS, Azure, GCP), bez obzira radi li se o IaaS, PaaS ili SaaS modelima.

1. Kontrola identiteta i pristupa (IAM hardening)

Neispravne IAM postavke najčešći su uzrok neautoriziranih pristupa.

Tehničke smjernice:

• Principle of least privilege (PoLP) za sve korisnike, servise i role
• Detekcija i uklanjanje stale/unused credentials
• MFA obavezna za sve korisnike, uključujući servisne račune (gde je moguće)
• Audit log za sve privilegirane akcije (CloudTrail, Azure Activity Log)

2. Enkripcija podataka u mirovanju i prijenosu

Svi podaci moraju biti kriptirani — neovisno o klasi podataka.

Specifikacije:

• AES-256 za data-at-rest
• TLS 1.2+ s Perfect Forward Secrecy (PFS) za data-in-transit
• KMS/Key Vault rješenja za upravljanje ključevima s rotacijom

‍

3. Zatvaranje javno izloženih servisa i storage resursa

S3 bucketi, Azure Blobovi i GCP storage resursi često ostaju javno dostupni zbog loše konfiguracije.

Automatizacija:

• Detekcija i zabrana public ACL-ova
• Infrastructure as Code (IaC) validacija prije deploymenta (npr. Terraform + Checkov)
• Automatsko zatvaranje neautoriziranih dijeljenja pomoću Cloud Functions / Azure Policy

4. DLP i klasifikacija podataka

Vidljivost nad osjetljivim podacima u cloudu je nužna za prevenciju curenja.

Implementacija:

• Data classification engine + tagging (npr. Azure Information Protection, GCP DLP API)
• Enforcane politike za prijenos, dijeljenje i download
• Alertiranje na prepoznavanje uzoraka (npr. IBAN, OIB, osobni podaci)

5. Detekcija prijetnji i nadzor aktivnosti

Sustavi za nadzor i detekciju anomalija su obavezni za svaki cloud tenant.

Kontrole:

• VPC flow logs, DNS query logs, audit logs
• Detekcija nenormalnog ponašanja (npr. pristup u 3 ujutro s IP-a van Europe)
• SIEM integracija i pravila za visoko rizične aktivnosti (npr. kreiranje privilegiranih korisnika)

6. Zaštita PaaS aplikacija i serverless funkcija

Sigurnost nije ograničena na VM-ove — aplikacijska i funkcijska razina također mora biti zaštićena.

Preporuke:

• Runtime restrikcije (AppArmor, seccomp)
• Logika pristupa prema environment varijablama
• Verifikacija digitalnih potpisa deployanog koda (e.g. Sigstore, OPA)Zaključak

Sigurnost u cloudu zahtijeva transparentnost, dosljednost i automatizaciju. Ključ nije u jednoj mjeri, već u implementaciji višeslojnih kontrola koje zajedno osiguravaju vidljivost, integritet i zaštitu podataka bez obzira gdje se nalazili.