Cloudová bezpečnost: ochrana dat a služeb v multicloudovém prostředí

Lucie Čermáková

Cloudová bezpečnost: proč je odlišná a co od ní očekávat

Cloudová bezpečnost představuje soubor technických, organizačních a procesních opatření, která chrání data, identitu, aplikace a infrastrukturu provozovanou v prostředí IaaS, PaaS a SaaS. Na rozdíl od on-premise řešení platí model sdílené odpovědnosti: poskytovatel cloudu chrání fyzickou infrastrukturu a základní služby, zatímco zákazník je odpovědný za konfiguraci, správu identity, data, aplikační logiku a dodržování compliance. Klíčovými prvky jsou automatizace, měřitelnost a bezpečnost implementovaná již v návrhu (security by design).

Model sdílené odpovědnosti (Shared Responsibility Model)

  • IaaS: poskytovatel zabezpečuje datová centra, servery, síť a hypervizor; zákazník spravuje operační systém, síťové politiky, aplikace, data a šifrování.
  • PaaS: poskytovatel navíc spravuje běhová prostředí a databázové služby; zákazník se soustředí na konfigurace, správu identity, aplikační kód a data.
  • SaaS: poskytovatel odpovídá za správu aplikace; zákazník nastavuje přístupová práva, datové politiky, integrace a DLP.

Nejčastější hrozby v cloudu

  • Nesprávná konfigurace (misconfiguration): veřejné bucket-y, příliš rozsáhlé IAM politiky, chybějící MFA.
  • Kompro­mitace identity: phishing, krádež přístupových klíčů, slabě zabezpečené sdílené účty.
  • Únik či ztráta dat: nedostatečné šifrování, neadekvátní zálohy, nekontrolované sdílení v SaaS službách.
  • Dodavatelský řetězec: zranitelné knihovny, CI/CD integrace, malvertising v repozitářích.
  • Ransomware a destruktivní útoky: cílené útoky na úložiště, snapshoty a zálohy.
  • Privilege escalation a laterální pohyb: slabá segmentace sítí a nedostatečné logování.

IAM a řízení přístupu: základní stavební kámen

  • MFA všude: povinné jak pro lidské, tak privilegované účty, ideálně s metodami odolnými vůči phishingu (FIDO2, passkeys).
  • Princip nejmenších oprávnění (PoLP): používejte role založené na úlohách (RBAC/ABAC), dočasné přístupy a schvalovací procesy.
  • Správa tajemství: centrální úložiště (Secrets Manager), rotace klíčů, žádná tajemství v kódu či proměnných prostředí bez přísné kontroly.
  • Strojové identity: krátkodobé tokeny, workload identity federation, vyhněte se sdílení dlouhodobých klíčů.

Ochrana dat: šifrování, klasifikace a DLP

  • Šifrování v klidu i během přenosu: TLS 1.2+ a povinné šifrování úložišť a databází.
  • Správa klíčů: KMS/HSM, BYOK/HYOK, oddělené domény důvěry, auditovaný přístup s víceúrovňovým schvalováním.
  • Klasifikace a označování: metadata, tagy a pravidla pro retenční a přístupové politiky.
  • DLP: detekce PII/PHI a finančních údajů v SaaS i úložištích, blokace exfiltrace a nekontrolovaného sdílení.

Bezpečnost sítě: segmentace, Zero Trust a perimetr v cloudu

  • Segmentace: VPC/VNet, subnety, security groups, mikrosegmentace pro East-West provoz.
  • Zero Trust: explicitní ověřování, minimální autorizace, předpoklad kompromitace; implementace síťových i aplikačních politik.
  • Edge služby: WAF, správa botů, ochrana proti DDoS, CDN s TLS terminací a mTLS pro API.

Monitorování, detekce a reakce

  • Centralizované logování: protokoly aktivit, síťové flow logy, auditní stopy u KMS, přístupů a změn konfigurací.
  • SIEM/SOAR: sběr signálů z CSPM, CWPP, CIEM, EDR/XDR a auditů SaaS; automatizované playbooky.
  • UEBA: detekce anomálií v chování účtů, služeb a síťového provozu.
  • Runbooky a cvičení: jak table-top, tak technická cvičení, předem schválené kroky pro izolaci účtů a rollback změn.

Prevence chybné konfigurace: CSPM, CIEM a policy as code

  • CSPM (Cloud Security Posture Management): kontinuální kontrola konfigurací vůči benchmarkům.
  • CIEM (Cloud Infrastructure Entitlement Management): revize a ořezávání oprávnění napříč účty a tenanty.
  • Policy as Code: OPA/Rego, Sentinel apod.; validace v CI/CD, blokace nevyhovujících deploymentů.

DevSecOps: bezpečnost přímo v pipeline

  • Posun doleva: SAST/DAST/IAST, SCA (Software Composition Analysis) a skenování IaC šablon (Terraform/ARM).
  • Supply chain: podepisování artefaktů (Sigstore, SLSA), reprodukovatelné buildy, závislosti z privátních repozitářů.
  • Bezpečná baseline: zlaté obrazy (golden images), hardened kontejnery a runtime profily.

Kontejnery a Kubernetes

  • Registry: skenování zranitelností, podepisování a omezení pull výhradně z důvěryhodných zdrojů.
  • Cluster: RBAC, namespaces, NetworkPolicies, Pod Security, izolace privilegií a seccomp/apparmor.
  • Runtime: omezení egress/ingress, detekce úniků tajemství, admission controllery a vynucování politik.

Serverless a PaaS rizika

  • Krátkodobé přístupy: podpisy požadavků, identity poskytovatele a oprávnění per invokaci.
  • Útoky řízené eventy: validace zdrojů událostí, idempotence a throttling.
  • Observabilita: distribuované trasování, metriky cold start vs. bezpečnostní režie.

Zálohy a obnova: poslední linie obrany

  • 3-2-1 princip: 3 kopie, 2 různá média/služby, 1 offline/immutable (Object Lock/WORM).
  • Oddělená identita: zálohovací účty/role mimo běžný tenant, přísná práva pouze pro restore.
  • Testy obnovy: pravidelná verifikace RPO/RTO, skripty pro plně automatizovaný disaster recovery.

Compliance, řízení rizik a governance

  • Rámce: ISO/IEC 27001, SOC 2, NIST 800-53/CSF, CIS Benchmarks; mapování kontrol do cloudového prostředí.
  • Data residency a ochrana soukromí: GDPR, lokalizace dat, smluvní ujednání, DPIA a technické kontroly (pseudonymizace).
  • Tagging a rozpočty: nákladové i bezpečnostní tagy, guardrails a schvalování výjimek.

Pokročilé techniky ochrany dat

  • Konfidenční výpočet: TEEs (enklávy) pro ochranu dat během provozu.
  • Tokenizace a pseudonymizace: minimalizace práce s primárními identifikátory.
  • Plán pro post-kvantovou éru: inventura kryptografických metod, agilní výměna algoritmů a správy klíčů.

Bezpečnost SaaS aplikací

  • SSO a podmíněný přístup: centralizovaná správa identity, zásady pro BYOD a rizikové přihlášení.
  • CASB/SSE: dohled nad stínovým IT, kontrola sdílení a DLP v rámci SaaS.
  • Správa konfigurací: baseline tenantů, detekce odchylek a audit oprávnění.

Metriky a KPI pro cloudovou bezpečnost

  • MTTD/MTTR pro bezpečnostní incidenty a odchylky konfigurací.
  • Pokrytí policy v IaC, procento compliant zdrojů, počet toxic combinations oprávnění.
  • Frekvence rotace tajemství a klíčů, podíl účtů s MFA a phishing-rezistentní autentizací.

Tabulka: minimální baseline kontrol dle modelu služby

Oblast IaaS PaaS SaaS
IAM MFA, RBAC, strojové identity MFA, jemnozrnná oprávnění služeb SSO, podmíněný přístup, DLP
Šifrování KMS/HSM, BYOK, disk/objekt Databáze a messaging s KMS Tenantové šifrování, klíče zákazníka
Síť VPC, SG, WAF, DDoS ochrana Privátní endpointy, WAF IP allowlist, CASB/SSE
Monitoring SIEM, flow/activity logs Service logs, audit SaaS audit log, export do SIEM
Zálohy Immutable, cross-account Point-in-time restore Exporty, retenční politiky

Checklist implementace pro středně velkou organizaci

  1. Zaveďte SSO s MFA (FIDO2) a zrušte statické klíče; proveďte audit všech privilegovaných účtů.
  2. Aktivujte šifrování všude, BYOK pro kritická data; nastavte key usage approvals.
  3. Nasazení CSPM a CIEM; definujte policy as code a guardrails v CI/CD pipeline.
  4. Segmentace sítě a WAF na hranici; privátní konektivita k PaaS a databázím.
  5. Centralizujte logy, připojte je do SIEM/SOAR; připravte a otestujte incident runbooky.
  6. Zálohy s WORM/immutability a air-gap; provádějte kvartální test obnovy.
  7. Katalogizace dat a klasifikace; nastavte DLP pravidla v SaaS (e-mail, úložiště, spolupráce).
  8. Bezpečnostní skeny kódu, IaC a kontejnerů; podepisování artefaktů a politika pro registry.

Ekonomika bezpečnosti v cloudu

Bezpečnostní design výrazně ovlivňuje náklady. Investice do automatizace (CSPM/CIEM, IaC, SOAR) snižují provozní rizika i náklady na provoz (run costs). Základní pravidlo je jednoduché: čím dříve zavedete kontrolu přímo v pipeline, tím levněji opravujete chyby. Nejvíce nákladné jsou incidenty spojené s daty a identitou, proto je prioritou šifrování, DLP, IAM a zálohování.

Závěr: bezpečnost jako vlastnost platformy, nikoli přídavek

Cloud umožňuje bezpečnost škálovat, standardizovat a automatizovat. Úspěch závisí na jasně definované odpovědnosti, silném IAM, důsledné konfiguraci, měřitelnosti a připravenosti reagovat. Kombinací Zero Trust, DevSecOps a governance vzniká prostředí, které je odolné, auditovatelné a dlouhodobě udržitelné – bez omezování inovací.

Súvisiace články

Instalace a náklady TČ

Jak naplánovat instalaci tepelného čerpadla a spočítat náklady. Probereme příkon, akumulační nádrž, servis i dotace, aby vyšla reálná návratnost investice.

plocha rámp skladu

Plocha rámp skladu Manipulačná plocha skladu prevýšená nad úrovňou komunikácie, ktorá umožňuje nakládku a vykládku v úrovní ložných plôch dopravných prostriedkov. Plocha rámp skladu je […]