bezpečnosť a legislatíva v cloude


 

executive summary

byť v cloude je oveľa bezpečnejšie ako byť u seba, ale či budete mať dáta v cloude bezpečné, je aj tak z väčšej miery na vás. legislatívne je v pohode dávať aj osobné údaje do cloudu, ale keď ich tam dáte, žiadna robota súvisiaca s legislatívou vám neodpadá. ak potrebujete do cloudu niečo vyslovene zašiť, budete to musieť dať do krajiny, ktorá býva na správach skôr v negatívnom kontexte. tušil som, že vás popletiem, tak aj executives musia čítať ďalej.

bezpečnosť

cloudoví provideri sú bezpeční a dokonca tak veľmi, že už bezpečnosť samotná je pádny dôvod opustiť váš firemný kumbál so servermi a ísť do cloudu. ale aj keď u jedného z cloudových providerov pracujem, nepoviem vám veľa o tom, ako sú zabezpečení.

bezpečnosť v cloude je totiž predovšetkým o dôvere. žiaden cloudový provider vám neukáže nastavenia svojich firewallov, aby ste ich prekontrolovali. microsoft vás síce zoberie na návštevu do svojich dátových centier v írsku, ale uvidíte z bezpečnej vzdialenosti len zavreté rackové skrine, čiže vlastne nič. napríklad v slovak telekome sú aj takéto prehliadky zakázané. ani banka vám neukáže trezory.

čo sa dá teda povedať o bezpečnosti v cloude? nedá sa veľa hovoriť o tom, ako sú provideri zabezpečení, ale dá sa presne vysvetliť, prečo. na prvom mieste si musíte triezvo zhodnotiť, koľko energie, zdrojov a vedomostí viete vy investovať do zabezpečenia vášho vlastného dátového centra. dá sa poľahky argumentovať, že máloktorá komerčná či štátna organizácia vie nainvestovať toľko peňazí a úsilia do zabezpečenia svojej platformy, ako cloudový provider. robia to vo veľkom, na overených robustných technológiách a poriadne. dve napájacie vetvy, diesel generátory, ups-ky, v nezáplavovj zóne, drsní strážnici, hrubé múry, žiadne okná, firewally, anti-ddos krabičky, atď. je to veľká veda a naviac to všetko hrozne napreduje a je veľmi ťažké udržať krok. hľadajte cloud providera ovešaného certifikátmi bezpečnosti, mininálne iso 27001 a 27018.

je to aj o vzdelávaní a manažmente ľudí. viesť ľudí tak, aby boli v obraze a mali zodpovedný prístup si vyžaduje roky praxe. osobne by som z pohľadu bezpečnosti viacej veril zamestnancom vo veľkých korporáciách, kde robia vytrénovaní suchári, čo verne poslúchajú bezpečnostné nariadenia a kde je malá fluktuácia, ako v startupoch, kde robia sofistikovaní výkukovia, čo majú na smernice svoj vlastný názor, ak pravda vôbec nejaké majú.

microsoft nedávno predsa zverejnil whitepaper o tom, ako riešia bezpečnosť platformy office365. je to impresívne čítanie, na strane 6 napríklad popisujú svoju stratégiu “predpokladaj prienik”, majú zjavne celé tímy, ktoré predpokladajú, že už tam hackeri sú, tak ich hľadajú. ďaľší tím sa kontinuálne snaží hacknúť samích seba. ďaľšie oddelenie len vyhodnocuje logy. to aj vy máte?

aj fakt, že máte dáta v cloude akosi odruky hrá v prospech ich vyššej odolnosti voči odcudzeniu. totiž nebezpečenstvo krádeže dát vám väčšinou hrozí zblízka. po vaších dátach pasie sused, bývalý zamestnanec, alebo blízky konkurent. tí poznajú ľudí vo vašom okolí a ak máte dáta u seba vo vnútri, sú príliš blízko ohrozenia. niekto vám ukecá či podplatí zamestnanca a podobne. cloudovému providerovi sú ale vaše dáta hlboko v paži, a ak by niekto z vášho okolia po tých dátach pásol, cloudový provider je príliš ďaleko a príliš vyškolený, aby spravil niečo zlé.

byť v cloude vás spraví bezpečnejším aj preto, lebo sa už nebudete musieť zaoberať hardvérom a ochranou samotnej infraštruktúry a ostane vám čas na ozajstnú bezpečnosť. môžete konečne posunúť bezpečnosť do vyššej úrovne a riešiť analytiku, big data a hľadať súvislosti, anomálie, o tom to dnes je. môžete riešit správu identít, prístupové mechanizmy, exit manažment a podobne. nie hrúbku bezpečnostných dverí na serverovni, typ hasiaceho prístroja, prívalové dažde, alebo separáciu citlivých dát na úrovni diskového poľa.

bezpečnosť v cloude a konektivita

ak chcete mať v cloude online portál, alebo e-shop, je dobré ísť k niekomu takému, čo má tlstú rúru do internetu a drahé sieťové zabezpečovacie technológie. boj proti ddos útokom je žiaľ, z väčšej časti o hrubej sile. buď máte drahú krabičku, čo prepasíruje čisté dáta cez plevel, alebo ju nemáte. ostatní provideri sú viac-menej odkázaní na black hole routing, takže keď na vás bude niekto útočiť, komplet vás odpoja, aby aspoň ostatní zákazníci šlapali.

ak máte v cloude vnútro-podnikové aplikácie, alebo niečo iné citlivé, čo by nemalo uzrieť svetlo verejného internetu, kvalitná vpn-ka je to úplné minimum. oveľa lepší nápad je ale  v tomto prípade vôbec do cloudu nepristupovať cez internet, ale po privátnej dátovej linke. tie už sú cenovo dostupné aj pre stredné firmy, ak zrovna nemáte cloud na druhej strane kontinentu. pokiaľ potom útočník nedobehne s krompáčom a nebude vám kopať v záhrade, nemá vás veľmi ako odpočúvať. na druhej strane s verejným internetom je to divoké, vlastne nikdy neviete, čo sa na ňom deje. počuli ste trebárs o tom, ako si v roku 2013 bielorusi cez seba presmerovali vybrané časti celého globálneho internetového trafficu? šup preč z internetu na privátnu sieť a šifrujte o dušu, ak vám toto vadí.

cloud naozaj je bezpečný, oveľa bezpečnejší, ako čokoľvek, čo si hocikto iný dokáže postaviť a udržiavať. inak uvedomte si, že ak raz niekto vyhackuje cloudového providera, ten to v podstate môže zabaliť. tak verte, že sa snažia. ale cloudová infraštruktúra je len platforma a cloudová aplikácia je len nástroj. je preto na vás akú bezpečnostnú politiku si na onej platforme postavíte a len na vás, aké prístupové práva zavediete na onom nástroji. myslite na to, aby sa nad vašimi dátami nezamračilo ako na tejto cloudovej fotke, ktorou si spravím polčas:

DSC00987

teraz aspoň môj laický pohľad na súvisiace zákony.

začnem tým, ako to funguje, keď sa chce štátny orgán dostať oficiálnym príkazom k vašim dátam. na papieri nie je rozdiel v tom, či máte dáta doma alebo v cloude, vy ich musíte policajtom vydať rovnako ako cloudový provider. v praxi v tom ale rozdiel je. cloudový provider je v tom zbehlý a pozná všetky náležitosti, ktoré musia byť dodržané, aby bola požiadavka štátnych orgánov legitímna a zvyšné odbije. microsoft zverejnil štatistiku, že takto odmietne 13% žiadostí. tie legitímne sa často snaží presmerovať najprv na zákazníka tvrdiac “áno, dáta su u nás, ale skúste si ich najprv vyžiadať priamo od nášho zákazníka”. pozná tiež súvisiace maximálne lehoty, dokedy musí reagovať a tak sa nepretrhne. prílišná servilnosť providera voči štátnym orgánom by sa zákazníkom skôr nepáčila, takže to jednoducho nerobia. dajú im práve tie informácie, na ktorý je vypísaný príkaz a v takom čase, aby naplnili literu paragrafov a nič iné. takto zbehlý je v tom máloktorý jednotlivec, či firma. microsoft je jeden z tých, čo otvorene zverejňujú štatistiky o požiadavkách štátnych orgánov na vydanie dát, tu konkrétne je napríklad vidieť, že v druhom polroku 2015 dostal od slovenských orgánov 12 takýchto žiadostí.

naviac ak vám polícia zabaví váš server, sú na ňom typicky aj iné dáta, ktoré nie su predmetom príkazu, ale vy prídete aj o tie. známy je prípad poslanca igora matoviča, ktorému zhabali celý server kvôli pár faktúram a celej jeho firme údajne “spôsobili kolaps”. nuž, keby bol mal matovič dáta v cloude, provider by vydal len a len tie dáta, ktoré boli predmetom vyšetrovania a jeho firma by šlapala ďalej bez najmenšieho výpadku.

ak sú dáta v cloude, ktorý je fyzicky v inej krajine, situácia sa komplikuje, v podstate v prospech zákazníka. orgány si vedia vyžiadať údaje z inej krajiny vďaka tzv. mutual legal assistance treaty, ale trvá to. na druhej strane zmeniť si krajinu, v ktorej máte dáta v cloude uložené, sa u mnohých providerov dá kliknutím myši.

v súčasnosti ale nie je úplne jasné, či naozaj nemusí cloud provider vydať dáta, ktoré má uložené v zahraničí. aktuálne prebieha na tú tému veľmi sledovaný súdny spor medzi microsoftom a FBI. microsoft im totiž odmietol vydať dáta amerického drogového dílera, uložené v írsku. celý spor šiel na najvyšší súd, takže si s verdiktom ešte počkáme.

microsoft lobuje aj za zmenu súvisiacej legislatívy a na svojej strane má aj ostatných amerických providerov, s jednou výnimkou, ktorá stojí za povšimnutie. google dáva americkým orgánom dáta nezávisle na tom, v ktorej krajine sú uložené, tu je článok, čo to zmieňuje.

inak, bol som na konferencii, kde bol julian assange, teda samozrejme len virtuálne, no a pýtali sa ho, ktorú krajinu by odporučil na hostovanie. čakal som, že povie nejaký tichomorský ostrov, ktorý nebudem vedieť vysloviť, ale assange odporučil – nemecko, ako údajného lídra z pohľadu súvisiacej etiky aj legislatívy. tak šup do nemeckého open telekom cloudu postaveného na openstacku. je to čerstvá novinka, ale CERN tam už má 1000 serverov.

ukladať si dáta do cloudu zašifrované je tiež dobrý nápad, ale praktický len ak ide o zálohy. prevádzkovať virtuálny server na zašifrovanom disku je tiež ok riešenie, len si treba uvedomiť, že vtedy je kľúč v RAMke u providera, takže zase úplne zapeklitý problém to pre niekoho nepredstavuje, ale aspoň sa vaše dáta nepovaľujú nezašifrované na zálohovacích médiách providera. ak by som bol matovič a mám buď za ušami, alebo hrozí, že ma budú otravovať policajti na politické objednávky, tak to takto nejak riešim.

takže na záver k tejto téme – ak ste z tých, ktorí skôr nevítajú zvedavosť štátnych orgánov, chodťe smelo do cloudu, len asi nie do google a v každom prípade šifrujte. úplným paranoikom odporúčam ísť niekam ďaleko preč, najlepšie do krajiny, ktorá nemá optimálne vzťahy s EÚ. v iráne je napríklad neúrekom cloudových providerov, len majú nepekné weby a máloktorý berie bitcoiny, lebo zase unúvať sa na virtuálny server v takejto krajine a platiť kreditkou sa akosi k sebe nehodí.

osobné údaje v cloude..

.. sú také, podľa ktorých sa dá identifikovať človek, ako meno, či mail. citlivé osobné údaje sú také, za ktoré sa môžete aj hanbiť, ako náboženské vyznanie, sexuálna orientácia alebo výpis z registra trestov.

keď robíte s osobnými údajmi, slovenská legislatíva vám diktuje, že musíte splniť rôzne náležitosti. musíte to užívateľom oznámiť, mať na to právny základ (napr. súhlas), spracovanie musí byť obmedzené na daný účel, dáta treba po použití mazať a treba ich mať zabezpečené pred únikom. ako je to inde vo svete? tu je pekná mapka.

čo s tým má cloudový provider? práveže okrem toho posledného skoro vôbec nič. cloudové služby sú zo svojej podstaty samoobslužné a je len na samotných zákazníkoch cloudu, čo a ako si tam dajú a aké prístupové mechanizmy si k tomu nastavia. 

zabezpečenie osobných údajov rieši cloud provider len z malej časti, lebo pokrýva iba bezpečnosť samotnej cloudovej platformy a nie dát v cloude. pojednáva o tom tento blog z Tempestu. takže presunom dát do cloudu sa bremena starostí s plnením litery zákona o ochrane osobných údajov nezbavíte, ale samotná platforma, kde sa dáta ukladajú, bude vo väčšine prípadov v cloude o niečo bezpečnejšia.

teraz o tom, či osobné dáta v cloude vôbec môžu byť. pokiaľ je cloud na území EÚ, tak je to úplne v pohode. pekne to sumarizuje tento whitepaper allen & overy. aj citlivé osobné údaje môžu byť v cloude. zanonymizované osobné údaje môžu byť úplne hocikde. aj biometrické osobné údaje môžu byť v cloude, akurát toto EÚ neodporúča. firemné dáta môžu byť úplne hocikde a dokonca aj banky môžu dávať hocičo do cloudu, teda okrem vybraných vecí, o ktorých ale legislatíva hovorí, podržte sa, že si ich definujú samotné banky.

čo sa týka presunu dát mimo EÚ, do nedávna bola platná dohoda z roku 2000 zvaná safe harbour, vďaka ktorej mohli firmy presúvať osobné údaje aj mimo EÚ do krajín, ktoré spĺňali podmienku zabezpečenia primeranej úrovne ochrany osobných údajov definované EÚ, napríklad do USA, či Kanady. 

potom ale rakúsky privacy aktivista max schrems spustil už slávny súdny prípad o tom, že facebook nesprávne a neoprávnene ukladá osobné údaje do usa. EÚ mu dala za pravdu a celú dohodu s usa zrušila. teraz explicitne povoľuje každého cloudového providera zvlášť. jasné, že veľkí hráči ako amazon a microsoft si to medzitým vybavili, ale menší americkí cloud provideri sú tým pádom diskriminovaní a z pohľadu aktuálnej legislatívy teda nevhodní na ukladanie osobných údajov. tak tam osobné údaje nedávajte.

v kocke – cloud je bezpečný a môžete do neho dávať aj napríklad osobné údaje. cloud za vás síce všetku bezpečnosť zďaleka neporieši, ale vytvorí vám priestor a čas posunúť bezpečnosť u vás na vyšší level. tak smelo.

19 thoughts on “bezpečnosť a legislatíva v cloude

  1. Bezpecnoct cloudu urcite nie je predovsetkym o dovere ale o skor zavazkoch a garanciach, ktore CSP pre oblast bezpecnosti klientom poskytne a suvisiacej SLA.

    1. Vdaka za koment a chapem pohlad. SLA urcite pomahaju dovere, ale, aj tak si myslim, ze bezpecnost sa neda zmluvne garantovat a SLA je, ak to trochu prezeniem, len papier s definiciou typicky velmi skromnych pokut, v pripade, ak sa nieco pokasle. Ale negarantuje mi profesionalitu pristupu, ani sofistikovane zabezpecovacie technologie a postupy, tu je to naozaj viac o dovere.

  2. V prvom rade, dobrý článok Miro! len by som sa rád opýtal čo si tým odkazom na metodické usmernenie NBS z 2004 chcel vlastne povedať? Z môjho pohľadu neexistuje legislatíva, ktorá by reflektovala na cloud. A môžem ťa ubezpečiť, že banky si nedefinujú nič samé, keďže sú každým rokom viac regulované.

    1. Ďakujem za pochvalu aj pripomienku Martin. Moj pohľad na reguláciu bankového sektora je úplne laický a áno, skôr by som očakával pomerne striktné pravidlá diktované NBS, tu som ale vychádzal z tej analýzy Allen & Overy, kde sa na strane 5 píše, že “Rozsah údajov..” ktoré banky nemôžu dávať do cloudu “nie je stanovený legislatívou a určujú si ho banky na základe rizika ohrozenia bezpečnostných záujmov banky. ” A dokument sa odvoláva práve na Metodické usmernenie Úseku bankového dohľadu NBS č. 7/2004 k overeniu bezpečnosti informačného systému banky a pobočky zahraničnej banky.

  3. Aha, tak potom máš zlý link na predpis, nakoľko Metodické usmernenie NBS k overeniu bezpečnosti informačného systému banky a pobočky je z 1.10.2004

  4. Vyborny clanok a sumarizacia vsetkych “pocitovych” proti-cloudovych nalad.
    Kazdopadne v ramci bezpecnosti treba spomenut aj bezpecnostnu politiku, teda sposob akym sa v cloude naraba. Treba si uvedomit, ze casto jedinou prekazkou, ktora stoji medzi vasimi datami a vasimi uniknutymi datami je pristupove meno a heslo. Preto treba zdoraznovat potrebu dvoj ci viacfaktorovej autentikacie a opat vyradovat providerov, ktory ju neposkytuju.
    Jo a k dovere – prilis je to zovseobecnene, nalkoko ak to berieme tak, tak VSETKO je o dovere – aj nakup rohlika – treba verit, ze tam nie je jed.
    Preto je to skor o tom co bolo v clanku spomenute – schopnostiach, prostriedkoch a sposoboch akym sa nimi naklada.
    A este jedna vec – cloud je prirovnavany k oblaku (vyuzivate zdroje ked ich potrebujete a ked nie zmizne). Treba datvat pozor a vyberat si providera, s ktorym cloud nezmizne nadobro (vid Megaupload) 🙂

    1. Vdaka za komentar, uplne suhlasim, treba hovorit o tom, co presne ma zakaznik robit v cloude z pohladu bezpecnosti. Tu som nasiel taky jednoduchy a pekny chart od Amazonu na tu temu..

      Ja som chcel o tej dovere aj preto pisat, lebo mi to pride nefer, ze ludia neveria ani tym cloudovym providerom, ktorym veria uz desatrocia s inymi produktami a sluzbami.. Napriklad ludia sa boja Azure, ale v pohode si stiahnu Windows Server update a doveruju mu, akurat maximalne otestuju stabilitu s ich appkami, ale nikoho nenapadne, ze by im ten patch kradol data. Obdobne telko provider by mohol, ked to prezeniem, citat SMSky clenom predstavenstva banky, ale CIO v banke sa boji dat tomu istemu telko providerovi sifrovane zalohy do cloudu, alebo vyvojove prostredie na nejaku nudnu appku.. Treba zjavne na to cas a samozrejme vobec nepomohla cela ta kauza NSA/Snowden

      K tym nespolahlivym providerom – jasne ze nie je dobry napad supnut si rodinne striebro k pochybnym projektom (z enterprise pohladu) typu Megaupload, ale zase u kazdeho providera plati, ze by mal mat zakaznik data este niekde inde odzalohovane.. u seba napriklad.

  5. Podla mna sa cloud rozsiri a rozsiruje hlavne kvolu tomu ze homo-erectus (to je ten homo sapiens co zostal byt spriameny a nadalej ho zenu len zakladne pudy, len nad to nalozil L1 az L8 (human=user), ci L9 (social-jungle) to len pre take moje kratke predstavenie ze som core-techie co presne vie co human-kind (user) dokaze a ako sa to tymi elektronmi prenesie na RAID6 😉 ), no nic- ze ten clovek je tvor pohodlny, potrebuje svoj komfort, je mu jedno kde jeho terabyte dat je, bezpecnost je pre laika determinovana na moment ze sa da vsetko (cisla a emaily, jaj a fotky -fotky hlavne) (z)vratit do jeho Zzariadenia. Ze “perimeter” bezpecnosti je preruseny ked do IPsec VPN vlezie po tom co z jeho guugel powered Hujaji smart and-or-oid (to naschval paskvylizujem nazvy) sa pripoji na wifi MyCorp 1 z 10, alebo ked end-to-end SSL certificate “nieco vypisalo, uz nevieme co ale dali sme OK a islo to dalej…”, to tu hadam pani ani neideme otvarat ze…
    Je to tvor rozmahavy (exploring alebo skor expansivny), dat je stale viac, upratovat, triedit to nikto nebude, radsej nech je “guugel” aj nad osobne data, to jedno co si prismapd zindexuje, len aby nasiel co potrebuje, ked to potrebuje, pokial to nestoji nulacelaxyz viac nez cena piva, je mu fuk ci sa bude musiet skolonizovat cast mesiaca pre dalsie diskove polia pre redundatne zachovanie dat.
    A do tretice je to tvor ignorantsky, tak pardon dobre, akceptuje urcity stupen (ne)bezpecia, ale to sa dostaneme zas k komfortu a potrebam… asi ucel svati prostriedky… ale tak tu pride na rad Risk Management…

    No a teda to ze z toho svojho Zzariadenia je mu jedno kde ma ulozene dokumenty na Offiss2345 (buduca verzia), kolko to zabera a bude mat prislub (SLA typu od dovery hodnej institucie v style ano my sme #2 Telco, roaming je samozrejma vec, ALE ked vam 3x rocne vypadne na cely den, tak ani cez TelekomunikacnyUrad sa “zily nedorezete”, mozete sa stazovat alebo si mysliet ze nieco zmenite alebo co?? date na sud, ale skratka -ako to Forrest gump povedal- “TO se stava”).

    Takze jednoducho ak nieco vypadne alebo sa strati, tak uz dnes ani tie najlepsie spolocnosti nemaju dobre fungujucu starostlivost o data ci ani to spojenie ako take, dobre urobene. Mozete mat neviem aky frontend (teraz myslim call-desk -zakaznicku linku, aj nie IVR a (ne/mat ich v Kesicoch ci Bystriicy (jasne ze lepsie ako v Punany))), rozne customer fulfillment ci satisfaction ci neviem ake oddelenia alebo na druhej strane ake backoffice (level1-4 , ako aj ze mame procesing na ITIL a hento Cobit a tamto ISO), ale uzivatel sa teraz ako aj v buducnosti uz asi nikdy nedomoze kde jeho Dolezity.DocZ skonci(l).

    Takze prislub staci, pre niekoho aj viera…

    Ked boli moje vety fragmentovane viac nez tento cely blog, tak sa ospravedlnujem…

    1. nuž, áno, občas aj nefungujú to tie cloudy. preto treba mať rodinné striebro ešte niekde inde zreplikované. 3-2-1.

  6. Clanok (pre neNemecky ovoriacich google translate prelozi v pohode): https://www.lawblog.de/index.php/archives/2015/01/12/eine-datei/

    V silu a vyhody cloudu nepochybujem, no z casu na cas narazim na nieco co celkom udupe doveru v nich. Vlastne po precitani tohto clanku som aj prestal pouzivat onedrive. Je toto bezna prax u velkych hracov? alebo sa to deje aj v slovak telekome? alebo ak mam nahotinky svojej frajerky v cloude mam si ich radsej sifrovat nech mi ich moj provider neprelustruje?

    Dik za odpoved.

    1. Diky, to je naozaj zaujimavy pripad z Nemecka.

      Najprv co sa tyka nahotiniek frajerky, a rozhodovani, ci sa to ma archivovat doma, alebo v cloude, si treba najprv zodpovedat na otazku, kto viacej pasie po tomto contente, ci ludia v Tvojom okoli, ktori maju fyzicky pristup do blizkosti Tvojej vypoctovej techniky, alebo admini u cloudoveho providera. Obrazok nahej cudzej baby a nahej baby, ktoru poznam ma velmi psychologicky rozdielnu hodnotu 🙂

      Ale je to len zavadzajuca otazka, lebo best-practice odpoved je – zasifrovane to drz aj doma aj v cloude.

      Precital som si ten clanok co uvadzas, je o tom, ze Microsoft scannuje OneDrive a hlada detsku pornografiu a tomuto Nemcovi nasli, tak mu policajtie vybielili bejvak. Cloudovym providerom je uplne jedno co si u nich ukladas, ale toto je o sharovani, o publikovani tych dat, tam im to jedno nie je. V tomto kontexte treba vnimat OneDrive ako webhosting, pretoze predpokladam, ze sa jednalo o verejne zdielane subory, i ked to ten pravnik neuvadza, ale praveze preto, ze to neuvadza, to beriem ako ze to tak bolo.

      Tu je whitepaper o zabezpeceni O365 a One Drive od MS, o tom ako Ti bruzdaju a nebruzdaju po disku sa pise na strane 4:

      Administrator access to Office 365 and your data is strictly controlled. Core tenets of this process are role based access and granting personnel least privilege access to the service that is necessary to perform specific operations. These tenets are followed whether the access is physical (i.e., to the datacenter or the servers) or logical. An example where this comes to life is a process called “Lockbox” that administrators use to request access for elevated privileges.
      Access control happens at various levels:
      • Personnel level to ensure that there are appropriate background checks and strict account management so that only those essential to the task may perform the task
      • Role based access control
      • A Lockbox process which allows:
      o Just-in-time accounts with high-entropy passwords
      o Access for a limited amount of time
      o Access to take specific actions based on the role
      • The servers in the Office 365 service have a pre-determined set of processes that can be run using Applocker
      • Auditing and review of all access

      aha a je to trosku aj o peniazoch.. v premiovej platenej verzii O365 ma Microsoft cool vlastnost, ktora sa vola “Customer Lockbox” ktorou slubuju, ze Ti nikto nikdy nepozrie data, len s Tvojim suhlasom pri nejakych supportnych issues a pod.

    1. zaujimavy clanok, ale ten incident podla mna nema nic spolocne s bezpecnostou v cloude.. jednoducho niekto ukradol data na mexickom statnom urade a potom ich uploadol do Amazonu. Asi sa da pochopit, ze neboli prvotne umiestnene v Amazone a ze k ich uniku doslo v dosledku slabej bezpecnosti v Amazone.

    2. Suhlas, ani som netvrdil ze unik bol sposobeny slabou bezpecnostou / zabezpecenim AWS, aj ked to tak mohlo vyzerat.

      To co som chcel povedat je nasledovne: zrejme, ista cast/zodpovednost spojena so zabezpecenim udajov / sluzieb po migracii do cloudu odpadne. Ak vsak nebola bezpecnost udajov ci poskytovania sluzieb na rozumnej urovni pred migraciou, samotna migracia ju zazracne neprinesie.

  7. A vulnerability in Microsoft Office 365 SAML Service Provider implementation allowed for cross domain authentication bypass affecting all federated domains. An attacker exploiting this vulnerability could gain unrestricted access to a victim’s Office 365 account, including access to their email, files stored in OneDrive etc.

    http://www.economyofmechanism.com/office365-authbypass.html

    Zas na druhej strane fix do 7 hodin, co je podla mna super.

    1. Fix do 7 hodin od casu, kedy sa o tom dozvedeli. Nevieme ako dlho sa s tou chybou obchodovalo na black markete a kolkokrat bola zneuzita.

Comments are closed.