Bezpečnostní audit cloudu

​​​​​​​​​​​​​Bezpečnostní audit cloudů​

Trendem dnešní doby je migrace firemní infrastruktury do cloudového prostředí. Bezpečnost v on-premise byla během uplynulých let dovedena v mnoha společnostech téměř k dokonalosti. Cloudové prostředí však přináší nové výzvy a možnosti, kdy stávající nástroje a postupy přestávají být efektivní. ​​​

 
 

Náš příběh

Trendem dnešní doby je migrace firemní infrastruktury do cloudového prostředí. Bezpečnost v on-premise byla během uplynulých let dovedena v mnoha společnostech téměř k dokonalosti. Cloudové prostředí však přináší nové výzvy a možnosti, kdy stávající nástroje a postupy přestávají být efektivní. Zodpovědnost může být v mnoha ohledech přenesena na provozovatele cloudové platformy, v souladu se sdíleným modelem odpovědnosti (SaaS, PaaS, IaaS, On-prem). Klíčovou roli představuje konfigurace cloudových služeb, ať již těch nativních, tak služeb třetích stran. Konfigurační nedostatky mohou vést ke ztrátě firemních dat i důvěry zákazníků, proto jsme připraveni vám s otázkou bezpečné konfigurace vašeho cloudového prostředí pomoci.​

Popis řešení

Cloud Security Assessment 

Bezpečnost vnějšího perimetru Cloudu 

Prověření bezpečnosti cloudové infrastruktury exponované do veřejného internetu s cílem identifikovat potenciální hrozby a rizika, umožňující útočníkům infiltrovat se do va​šeho cloudového prostředí nebo z něj naopak exfiltrovat firemní data a jiné citlivé informace.

Compliance testy dle bezpečnostních standardů 

Ověření aktuálního konfiguračního stavu vašeho clou​dového prostředí vůči obecně známým doporučením na základě CIS benchmarku či vůči souborům bezpečnostních metrik od samotných poskytovatelů cloudových služeb či komunity.

Konfigurační audit vybraných služeb

Komplexní prověření stávající konfigurace vybraných cloudových služeb vůči celé řadě individuálních „best-practise“ a bezpečnostních doporučení. A to jak za použití automatizovaných nástrojů a enumeračních frameworků, tak zároveň velkého podílu manuálních testů a dílčích ověření konfigurace, s cílem identifikovat konfigurační nedostatky a navrhnout optimální řešení.
 
​Pro bezpečnost vašeho cloudového prostředí doporučujeme pravidelně kontrolovat jeho konfiguraci, abyste se ujistili, že je v souladu s vašimi požadavky, a to včetně těch businesových. Cloud Security Assessment vám dává příležitost odstranit nepotřebné uživatele, role, skupiny a zásady IAM, včetně zajištění, že vaši uživatelé a software mají pouze nezbytná oprávnění pro výkon své práce.​

Bezpečnost vnějšího perimetru cloudu

  • Identifikace IP rozsahů cloudové infrastruktury.
  • Enumerace běžících služeb a jejich verzí.
  • Exploitace ​nalezených zranitelností.
  • Reálná simulace útočníka z internetu (tzv. blackbox test).
  • Identifikace potenciálních úniků citlivých dat a přístupů.
  • Odhalení slabých míst v důsledku chybné konfigurace služeb. 

Compliance testy dle bezpečnostních standardů

  • ​Zjištění aktuálního konfiguračního stavu.
  • Ověření vůči CIS/PCI-DSS/HIPAA.
  • Vyhodnocení souladu či nesouladu s vybraným benchmarkem.
  • Návrh řešení pro nalezená zjištění. 

Konfigurační audit vybraných služeb 

  • ​Určete si sami, které cloudové služby se budou do detailu testovat.
  • Vycházíme z celé řady tzv. best-practise doporučení nad rámec běžných Compliance testů. Čerpáme přitom z různých zdrojů (Azure/AWS dokumentace, bezpečnostní komunita, vlastní zkušenosti a jiné), abychom vám nabídli ta nejlepší řešení.
  • Nabízíme vyvážený poměr manuálního a automatizovaného auditu konfigurace našimi specialisty pro vybrané nativní cloudové služby.​
​Náš Cloud Security Assessment obecně zahrnuje prověření bezpečnosti vašeho cloudového řešení v mnohaoblastech, odhalí různá konfigurační pochybení a přinese vám řadu doporučení pro maximální zajištění bezpečnosti nejen v těchto oblastech:​
  • správa identit a přístupu, 
  • virtuální privátní cloud, 
  • databáze, 
  • skupiny zabezpečení sítě, 
  • pokročilá ochrana před hrozbami, 
  • šifrování včetně bezpečnosti ukládání klíčů a hesel, 
  • zabezpečení aplikací, 
  • zabezpečení úložiště, 
  • opravy a správa instancí, 
  • sledování a monitorování změn konfigurace, 
  • a mnohé další dílčí oblasti cloudu.

Proč zvolit AEC?

  • Patříme mezi zavedené české security firmy, na trhu úspěšně působíme již déle než 30 let. 
  • Nasloucháme klientům a přizpůsobujeme služby jejich potřebám a časovým možnostem. 
  • Náš tým tvoří specialisté s bohatými zkušenostmi z oblasti vývoje i etického hackingu. 
  • Sledujeme moderní trendy v oblasti vývoje, bezpečnosti a technologií. 
  • Při analýzách zdrojových kódů klademe důraz na manuální revize, které vedou k odhalení většího množství chyb než běžná automatizovaná řešení. 
  • Umožňujeme provádění komplexních bezpečnostních auditů kombinací několika bezpečnostních disciplín. 
  • Stavíme své služby na mnohaletých zkušenostech a léty prověřených standardech.​​

​Reference

​Naše zkušenosti z projektů​ pro významné organizace ve svém oboru rádi sdělíme na vyžádání.​​​​​​


Ověření: 

​​