Bezpečnostní modely v cloudových prostředích

Ján Gašparík 15. mája 2024 0
Bezpečnostní modely v cloudových prostředích

Bezpečnostní modely v cloudu a jejich specifika

Cloudová prostředí (AWS, Azure, Google Cloud) přinášejí flexibilitu, škálování a standardizované bezpečnostní mechanismy, jejichž správné použití však vyžaduje odlišné myšlení než v on-premise. Bezpečnost se posouvá od perimetru k identitám, politikám a automatizaci. Cílem tohoto článku je systematicky popsat klíčové bezpečnostní modely a vzory, které zajišťují důvěrnost, integritu, dostupnost a compliance v multicloudových architekturách.

Model sdílené odpovědnosti

Základním rámcem je shared responsibility model: poskytovatel cloudu zodpovídá za security of the cloud (fyzická infrastruktura, hypervizor, základní služby), zákazník za security in the cloud (konfigurace účtů, identit, dat, aplikací). V SaaS je odpovědnost zákazníka menší než v IaaS/PaaS, avšak nikdy není nulová: zejména řízení přístupu, klasifikace dat a konfigurace zůstávají vždy na straně zákazníka.

Hierarchie zdrojů a izolační domény

  • AWS: organizace → účty → regiony → VPC → zdroje. Oddělení workloadů do více účtů s centrálním řízením (SCP, AWS Organizations) minimalizuje blast radius.
  • Azure: tenant → management groups → subscription → resource groups → zdroje. Governance přes Azure Policy a Blueprints (nyní součásti policy/alignment) vynucuje standardy.
  • Google Cloud: organization → folders → projects → resources. Organization Policies a hierarchical firewall řídí chování napříč projekty.

Izolace napříč těmito úrovněmi je klíčová pro bezpečnost a compliance; projekty/subscriptiony/účty definují hrubozrnnou izolaci a VPC/subnety slouží jako jemnozrnná síťová doména.

Identity-first bezpečnost: IAM, RBAC/ABAC a práva

  • Role-based access control (RBAC): předdefinované a vlastní role pro týmy (správa, DevOps, bezpečnost, audit).
  • Attribute-based access control (ABAC): politiky na základě tagů/labelů (např. env=prod, pii=true) snižují počet rolí a zvyšují flexibilitu.
  • Princip minimálních oprávnění: udělujte least privilege na konkrétní zdroje a operace; používejte just-in-time elevaci (PIM/JIT) pro privilegované přístupy.
  • Krátkodobé pověření: federace přes SAML/OIDC a STS tokeny (AWS STS, Azure AD tokens, GCP Service Account short-lived keys) namísto dlouhodobých klíčů.
  • Workload identity: vazba identity na workload (Kubernetes Service Account → cloud IAM role; Azure Managed Identity; GCP Workload Identity Federation) bez statických tajemství.

Perimetr bez perimetru: Zero Trust

Model Zero Trust vychází z předpokladu, že žádná síť není implicitně důvěryhodná. Ověřují se identity, zařízení a kontext každé žádosti. Implementační prvky:

  • Podmíněný přístup (Conditional Access) dle rizika, posture zařízení, geografie, síly ověření (MFA).
  • Mikrosegmentace na úrovni VPC/NSG/Security Groups a aplikačních politik (service mesh, mTLS).
  • Privátní přístup ke službám: PrivateLink/Private Endpoint (AWS/Azure), Private Service Connect (GCP) pro odpojení od veřejného internetu.

Síťové bezpečnostní modely

  • Segmentace: VPC/VNet per aplikace/vrstva, dedikované subnets pro web/app/data, privátní subnets bez egress do internetu.
  • Filtrace: Security Groups/NSG (stavové) + Network ACLs/hierarchical firewall (statické); deny-all, allow-by-exception.
  • Transit a sdílení sítě: Transit Gateway/Virtual WAN/Cloud Router pro centrální směrování a inspekci.
  • Perimeter služby: WAF, L7 firewally, DDoS ochrana (AWS Shield/CloudFront, Azure Front Door, Google Cloud Armor).
  • Šifrování v přenosu: TLS 1.2+ end-to-end, mTLS pro servis-servis, PFS křivky, správná rotace certifikátů.

Modely ochrany dat: klasifikace, šifrování a řízení klíčů

  • Klasifikace dat (PII, PCI, zdravotní, interní): mapování na politiky uchovávání, šifrování a přístupu.
  • Šifrování v klidu: defaultně spravované klíče poskytovatele nebo CMK (Customer-Managed Keys) v KMS; envelope encryption a granularita per objekt/tabulka/disk.
  • HSM a externí klíče: CloudHSM/Azure Dedicated HSM; externí key manager/HYOK/XKS pro suverénní scénáře.
  • Ochrana přístupu k objektům: bucket policies/ACL, IAM condition keys, VPC-only přístup; pre-signed URL a SAS tokeny s krátkou expirací.
  • DLP a tokenizace: automatické detektory citlivých dat, pseudonymizace a format-preserving šifrování pro analytiku.

Bezpečnostní governance a policy-as-code

  • Organizační politiky: AWS SCP, Azure Policy, GCP Org Policies (blokace disablování logů, vynucení CMK, zákaz veřejných IP v produkci).
  • Konfigurační baseline: AWS Config/Conformance Packs, Azure Policy iniciativy, GCP Config Validator; automatické remediace.
  • OPA/Gatekeeper a Terraform Sentinel: validace IaC před nasazením, shift-left governance.

Posture management a detekce hrozeb

  • CSPM/CNAPP: průběžné skeny misconfigurací, zranitelností a prioritizace podle rizika (kombinace signálů: expozice, citlivost dat, dosah).
  • Detekční služby: GuardDuty/Inspector/Security Hub (AWS), Defender for Cloud/Microsoft Sentinel (Azure), SCC/Chronicle (GCP) pro hrozby a korelaci.
  • Audit a logování: CloudTrail/CloudWatch, Azure Activity/Monitor, GCP Cloud Audit Logs/Logging; immutable úložiště logů, WORM retention a korelační ID.

Privilegované přístupy a operační model

  • PIM/JIT: dočasné přidělení práv s >MFA, schvalováním a záznamem; break-glass účty s trezorem a dohledem.
  • Privileged Access Workstations (PAW): izolovaná zařízení pro správu cloudu.
  • Segregation of Duties: oddělení rolí pro změny, review a nasazení; four-eyes zásada.

Modely bezpečnosti v Kubernetes a kontejnerech

  • Pod Security a Network Policies: zákaz privilegovaných kontejnerů, omezení syscalls (seccomp), izolace jmenných prostorů, egress restrikce.
  • mTLS v service mesh (Istio/Linkerd): šifrování a identita služeb, zero-trust uvnitř clusteru.
  • Supply-chain: podpisy image (Sigstore/cosign), SLSA úrovně, sken závislostí a Admission Control (OPA, Kyverno).
  • IAM bind: mapování SA → cloud role (Workload Identity/IRSA/Managed Identity) bez statických tajemství.

API bezpečnost a řízení integrací

  • Gateway s OAuth 2.1/OIDC, rate-limit, schema validation, mTLS pro partnerství a token exchange pro server-to-server.
  • Rotace tajemství a bez-secretní přístup: Secrets Manager/Key Vault/Secret Manager, krátká expirace, audit přístupů.
  • Threat modeling pro API (STRIDE), ochrana proti SSRF, validační limity a payload size caps.

Databáze a analytika: řízení přístupu a izolace

  • Row-/column-level security a view-based přístup pro PII; data masking v neprodukčním prostředí.
  • Privátní konektivita k DB (bez veřejných endpointů), rotace přihlašovacích údajů a passwordless (IAM auth, IAM DB Auth, Azure AD auth).
  • Oddělení produkce a analýzy: export přes kontrolované kanály, lakehouse s přístupovou vrstvou a auditními stopami.

DR, zálohy a suverenita dat

  • Multiregion a AZ architektura; kryptografické oddělení backup klíčů od produkčních.
  • Imutabilní zálohy, verzování objektů a object lock; pravidelné restore testy (fire-drills).
  • Data residency: restrikce regionů politikami, zákaz přeshraniční replikace, externí KMS pro suverénní režimy.

Bezpečnostní modely pro vývoj a nasazení (DevSecOps)

  • Shift-left: SAST/DAST/IAST, SCA a IaC skeny v CI; policy gates pro produkční release.
  • Artifact provenance a podpisy (Sigstore), SBOM publikovaný při releasu, reproducible builds.
  • Progressive delivery: canary/blue-green s bezpečnostními guardraily; automatická revert při detekci anomálií.

Monitorování, detekce a reakce

  • Use-case driven detekce: anomální IAM události, změna politik, exfiltrace z objektových úložišť, kryptomining signatury.
  • SOAR playbooky: automatizace izolace, rotace klíčů, quarantine účtů/projektů, ticketing a notifikace.
  • Časová synchronizace, korelátory a trace IDs napříč vrstvami pro forenzní vyšetřování.

Metodiky posouzení rizik a měření efektivity

  • KPI/SLO: patch latency, MTTD/MTTR, % zdrojů v souladu s politikami, míra krytí logy, % privátních endpointů.
  • KRI: počet public-exposed zdrojů, nezabezpečené bucket/Blob storage, přítomnost dlouhodobých klíčů.
  • Kontinuální audit: automatizované důkazy pro ISO 27001, SOC 2, PCI DSS; evidence as code.

Referenční architektury pro různé úrovně zralosti

  • Start: 1 organizace/tenant, několik sandbox/prod účtů/projektů, základní IAM, logování, CMK pro PII, WAF a DDoS ochrana.
  • Střední: landing zone s více účty/projekty, centrální síť a shared services, CSPM/CNAPP, PIM/JIT, privátní přístup ke spravovaným službám.
  • Pokročilá: multi-region a suverenita, externí KMS/HSM, Zero Trust napříč sítí i aplikacemi, SLSA supply chain, plně automatizovaná remediace.

Antivzory a časté chyby

  • Používání dlouhodobých access key bez rotace a bez omezení rozsahu.
  • Veřejně přístupné storage buckety/blob kontejnery a databáze s povoleným 0.0.0.0/0.
  • Nedostatečné logování a absence immutable retence; nemožnost forenzní analýzy.
  • Monolitický „all-powerful“ admin účet bez JIT a bez MFA.
  • Neexistence policy-as-code – ruční konfigurace bez vynucení standardů.

Praktická roadmapa zavedení

  1. Governance základ: založení organizace/tenantu, landing zone, účty/projekty, centrální logování a CMK.
  2. IAM a Zero Trust: MFA, JIT/PIM, federace, workload identity, privátní endpoints, mTLS.
  3. Policy-as-code: SCP/Org Policy/Azure Policy, conformance packs, OPA v CI/CD, automatická remediace.
  4. Detekce a reakce: CSPM/CNAPP, SIEM/SOAR, playbooky pro rotaci tajemství a izolaci.
  5. Supply-chain a K8s: podpisy image, SBOM, admission kontrola, síťové politiky a Pod Security.
  6. DR & suverenita: multiregion, imutabilní zálohy, testy obnovy, data residency a (pokud nutné) externí KMS.

Závěr

Bezpečnost v cloudu je primárně otázkou správného modelu: identitně orientovaného řízení přístupu, politik napříč hierarchií zdrojů, šifrování a automatizované governance. V kombinaci se Zero Trust, policy-as-code, detekčními službami a kultivovaným operačním modelem (JIT, PIM, SOAR) lze dosáhnout vyšší úrovně bezpečnosti než v tradičních datových centrech. Klíčem je přeměnit zásady na opakovatelné kódové artefakty a průběžně je měřit, testovat a vylepšovat.

Značky:

Ďalšie články

Väzby medzi súvahou, výsledovkou a cash-flow

Väzby medzi súvahou, výsledovkou a cash-flow

Ján Gašparík 4. decembra 2025 0
Porovnávacie tabuľky produktov s metodikou

Porovnávacie tabuľky produktov s metodikou

Marek Bielik 1. decembra 2025 0
Krv a krvný obeh

Krv a krvný obeh

Jankoš 30. novembra 2025 0

Poradňa

Potrebujete radu? Chcete pridať komentár, doplniť alebo upraviť túto stránku? Vyplňte textové pole nižšie. Ďakujeme ♥

Už ste čítali?

vzdelavanie-financie-ekonomika-podnikanie-1035

Ako čítať metodické pokyny medzi riadkami

Lucie Čermáková 5. decembra 2025 0
vzdelavanie-financie-ekonomika-podnikanie-2428

Proof of Work vs. Proof of Stake – srovnání

Lucie Čermáková 5. decembra 2025 0
vzdelavanie-financie-ekonomika-podnikanie-2435

Automatizace marketingových kampaní

Lucie Čermáková 4. decembra 2025 0
Agilné princípy v riadení projektov a tímov

Agilné princípy v riadení projektov a tímov

L. Horváthová 4. decembra 2025 0
vzdelavanie-financie-ekonomika-podnikanie-1711

Význam poistenia pre rodinu a jednotlivca

Lucie Čermáková 4. decembra 2025 0