Podle zprávy IBM Cost of a Data Breach 2024 jsou cloudová prostředí místem téměř poloviny všech bezpečnostních incidentů. A přestože poskytovatelé jako AWS, Azure nebo Google Cloud investují obrovské prostředky do zabezpečení své infrastruktury, reálná hrozba obvykle nepochází z jejich strany — ale ze strany zákazníků, kteří cloud špatně nakonfigurují, nesprávně spravují přístupy nebo zanedbají monitoring.
Projdeme pět nejčastějších chyb, které vídáme u firem přecházejících do cloudu nebo cloud již provozujících — a ukážeme, jak každou z nich napravit.
Chyba 1: Nepochopení modelu sdílené odpovědnosti
Toto je paradoxně nejzákladnější a zároveň nejčastěji přehlížená chyba. Každý velký cloud poskytovatel provozuje model sdílené odpovědnosti (Shared Responsibility Model), který jasně definuje, co zabezpečuje poskytovatel a co zákazník. AWS, Azure i GCP jsou odpovědné za bezpečnost cloudu samotného — fyzická infrastruktura, hypervisor, síťová páteř. Za bezpečnost v cloudu — operační systémy, data, konfigurace, přístupy — je odpovědný zákazník.
Firmy, které tomuto rozdělení nerozumějí, spoléhají na to, že "cloud je bezpečný", a přehlíží svou část odpovědnosti. Výsledkem jsou veřejně přístupné S3 buckety s citlivými daty, nezáplatované virtuální stroje nebo databáze dostupné z internetu bez autentizace.
Jak opravit: Prostudujte model sdílené odpovědnosti vašeho poskytovatele. Zaveďte Cloud Security Posture Management (CSPM) nástroj, který průběžně kontroluje konfiguraci cloud prostředí vůči bezpečnostním standardům.Chyba 2: Špatná konfigurace (Misconfiguration)
Misconfiguration je podle Gartner příčinou 99 % cloudových bezpečnostních selhání. Přitom se jedná o chyby, které jsou technicky jednoduché — ale snadno přehlédnutelné, zejména v dynamickém prostředí, kde vývojáři rychle vytvářejí a mění zdroje.
Nejčastější příklady misconfigurací:
- Veřejně přístupné S3 buckety nebo Azure Blob Storage s interními dokumenty, zálohy nebo logy.
- Bezpečnostní skupiny (Security Groups) povolující příchozí provoz na SSH (port 22) nebo RDP (port 3389) z celého internetu (0.0.0.0/0).
- Databáze bez šifrování nebo s defaultními přihlašovacími údaji.
- Chybějící šifrování disků u virtuálních strojů s citlivými daty.
- Logging a audit záznamy vypnuté nebo neukládané mimo primární prostředí.
Chyba 3: Slabá správa identit a přístupů (IAM)
Identity and Access Management v cloudu je výrazně komplexnější než v tradičním on-premise prostředí. Existují desítky typů identit — uživatelé, role, servisní účty, API klíče, funkce (Lambda, Azure Functions) — a každá má svá oprávnění. Typické IAM chyby zahrnují:
- Nadměrná oprávnění (overprivileged accounts): Uživatelé a servisní účty mají více práv, než potřebují. Vývojáři mají AdministratorAccess v produkčním prostředí. Servisní účty mají práva k celé organizaci, i když potřebují přistupovat k jednomu S3 bucketu.
- Nevyužívané účty a klíče: Ex-zaměstnanci mají stále aktivní přístupy. API klíče rotací neprochází měsíce nebo roky.
- API klíče ve zdrojovém kódu: Klíče zapsané natvrdo v kódu a pushnuté do veřejného GitHub repozitáře — útočníci aktivně skenují GitHub v hledání takových klíčů.
- Absence MFA pro privilegované účty: Root účet AWS nebo Global Administrator Azure bez vícefaktorového ověření.
Chyba 4: Nezašifrovaná nebo nedostatečně chráněná data
Data jsou v cloudu fyzicky distribuována napříč datovými centry poskytovatele — a bez správného šifrování jsou vystavena riziku. Přestože moderní cloudoví poskytovatelé nabízejí šifrování jako výchozí nebo snadno aktivovatelnou funkci, firmy ho stále nezapínají nebo ho konfigurují nesprávně.
Klíčové problémy: data v klidu (at rest) nejsou šifrována nebo jsou šifrována klíči spravovanými výhradně poskytovatelem bez zákaznické kontroly; data při přenosu (in transit) nejsou šifrována nebo používají zastaralé TLS verze; zálohy a snapshoty jsou nezašifrovány nebo jsou sdíleny cross-account bez oprávnění; citlivá data (PII, finanční záznamy) nejsou klasifikována a nejsou chráněna odpovídajícím způsobem.
Jak opravit: Aktivujte šifrování at rest pro všechna úložiště — S3, EBS, RDS, Azure Blob Storage — a použijte Customer Managed Keys (CMK) pro citlivá data. Vynuťte TLS 1.2+ pro veškerou komunikaci. Nasaďte DLP a klasifikaci dat, abyste věděli, kde citlivá data leží.Chyba 5: Chybějící nebo nedostatečný monitoring
Cloud prostředí generuje obrovské množství logů — API volání, přihlašování, změny konfigurace, síťový provoz. Bez správného monitoringu jsou tyto logy k ničemu — útočník může operovat v cloud prostředí týdny bez povšimnutí.
Typické selhání: CloudTrail (AWS) nebo Azure Activity Log jsou vypnuty nebo logy nejsou uchovávány dost dlouho. Nevznikají upozornění na podezřelé aktivity — přihlášení z neobvyklé lokace, náhlé vytvoření nových IAM uživatelů, masivní stažení dat z S3. Není nastavena integrace logů do SIEM systému. Odpovědnost za monitoring je nejasná nebo není vůbec přiřazena.
Jak opravit: Aktivujte a uchovávejte všechny dostupné auditní logy. Nastavte upozornění na kritické události (nová root session, nový IAM uživatel, veřejně přístupný S3 bucket, neobvyklé API aktivity). Integrujte cloud logy do centrálního SOC a SIEM řešení. Zvažte nasazení managed detection & response (MDR) pro cloud prostředí.Jak začít zlepšovat cloud bezpečnost
Pokud si nejste jisti stavem vaší cloud bezpečnosti, doporučujeme začít cloud security assessmentem — systematickým zhodnocením konfigurace, přístupů, šifrování a monitoringu vůči best practices (CIS Benchmarks, AWS Well-Architected Framework, Microsoft Cloud Security Benchmark). Výsledkem je prioritizovaný seznam opatření s odhadem rizika a pracnosti nápravy.
Specialisté SecureOn.cz provádějí cloud security assesmenty a pomáhají firmám nastavit bezpečné cloud prostředí od základů. Kontaktujte nás pro bezplatnou úvodní konzultaci.