GDPR na platformě Microsoft - jak pomáhá Azure, OMS, EMS, Office 365 a Windows 10 - část 1

Původně jsem dneska chtěl psát úplně něco jiného, ale můj kolega Martin Pavlis ve mně vyvolal potřebu, sednou a napsat tento článek. Původní nápad byl napsat konečně druhý díl seriálu o Operation Management Suite, nicméně mě pohltila potřeba napsat o novém zákonu, který bude uveden v platnost 25. 5. 2018 a hodně společností si určitě myslí, že je tudíž dost času na přípravu. Jedná se o úpravu zákona o ochraně a zpracování osobních údajů a citlivých informací, který bude vycházet ze zákona 101/2000 sb. ze dne 4. 4. 2000.

Nejprve obecně

Každý z nás kdo vlastní nějakou firmu ví, že informace o zákazníkovi a tím nemyslím jen jméno, ale veškeré běžné informace jako nabízí k evidování například Microsoft Dynamics CRM (kdy má zákazník narozeniny, kolik má dětí, jak jsou jeho děti staré, jaké má zájmy, co rád jí, atd..) jsou velkým přínosem pro dodavatele, který je pak schopen cílit reklamu, služby anebo jen prezenty zákazníkovi a budovat si s ním vztah nejen na obchodní, ale i osobní úrovni. Malá odbočka: Nejsem sice úplně nadšený, že o mě můj dodavatel ví všechno (banka, operátor, atd..), ale svěřil jsem mu své citlivé informace dobrovolně a spoléhám na to, že tato data dokáže ochránit před útočníky nebo před interními zaměstnanci a má data nebudou sdílena na internetu. Rozhodně je tento scénář lepší než situace, kdy mi volá 3x za sebou v jednom týdnu slečna z nějakého Call centra a pokaždé mi nabízí stejný produkt a myslí si, že se dovolala novému zákazníkovi, a já jí 3x s „díky nechci“ odmítnu. Pokud by to udělala ta holčina po 4, tak bych už mohl být poměrně sprostý. To mi přijde velice smutné L, jelikož procesy pro „cold call“, ve společnostech jako jsou někteří naši operátoři, nefungují. V každém z nás kdo má vlastní firmu a pracuje s daty zákazníků, tak se snaží zabezpečit své prostředí maximálním možným způsobem, jak mu jeho zkušenosti a cash flow dovolují. Hodně firem (nemohu jmenovat, ale pár jich znám) pracuje s daty zákazníků, ale zabezpečení na datové úrovni je velmi nízké až žádné a to nemluvím o bezpečnosti infrastrukturní, kdy každý 15-letý kluk co se podívá na youtube.com se dokáže do jejich systému nabourat s nějakým 3 roky starým payloadem spuštěným z Backtracku nebo KaliOS.

A těmto společnostem svěřujeme své citlivé informace? Možná je na čase, aby se to změnilo a právě proto možná přichází tato úprava zákona, na který nikdo nesáhl od doby, kdy byly počítače jako ten níže a internetová linka byla někde na úrovni modemu s 56kbps nebo jako jsem měl já 24kbps na downloadu. V té době také vyšel a byl použit jeden z nejúčinnějších virů ILOVEYOU J, který dokázal hodně lidem zamotat hlavu. V té době fungovali viry spíše jako destrukční nástroje pro ničení počítačů a nikdo tenkrát ještě nepřemýšlel (moje domněnka), že bude možné vykrádat identity a sledovat chování lidí vzdáleně a to jen díky počítačům a internetu.

Nový zákon

V květnu 2018 přijde v platnost nový Evropský zákon, který nařizuje, aby byla citlivá a osobní data chráněna. Bohužel se zatím neví přesně, jaká bude povinnost datové ochrany, ale již nyní se ví, že za porušení a odcizení citlivých informací bude společnosti hrozit pokuta až 20 milionů eur nebo 4% z celkového ročního OBRATU, záleží, co bude vyšší. Toto by mohlo být pro většinu firem likvidačním kritériem. Nepředpokládám, že by na Útvaru ochrany osobních údajů (ÚOOÚ) seděla armáda hackerů, kteří se budou snažit prolomit ochranu dané společnosti, ale klidně bych věřil, že za zveřejnění nebo udání bude vyplácena odměna (toto je jen spekulace) z vysouzené částky. Bohužel se zatím ani neví, jak bude částka vymáhána.

Očekávání

Zákon již hovoří o nové roly v organizaci, kterou nebude moci zastávat ani IT ani ředitel, či team leader, ale bude nutné vyspecifikovat osobu, která bude za data odpovědná. Tato osoba má mít pozici „Pověřenec za správu citlivých informací“, já bych tuto pozici nazval Security Officer, ale dle zákona se jedná o roly Data Protection Officera (dále také DPO). Pokud bychom se podívali na platy.cz nebo jiný portál informující o platu takové osoby, pak se bude plat pohybovat v řádu desetitisíců korun (řekl bych spíše 100 000Kč hrubého v závislosti na odpovědnosti za svěřená data, úrovni specializace této osoby a velikosti organizace)

Myslím, že daná osoba by měla mít minimálně tento profil:

  • IT znalý administrátor na všech vrstvách

    • Přehled v technologiích a trendech IT
    • Znalost procesních metodik jako ITIL
    • Zkušenost z praxe s vytvářením bezpečnostních směrnic
    • Se schopností prezentovat navržená řešení
    • Důvěryhodný a precizní

    A podle toho profilu, hledáte v dnešní době skoro Supermana, protože tací lidé prostě nejsou a pak je tedy otázkou, zda můžete připravit procesy, nasadit systémy, vyškolit lidi a outsourcovat třeba auditora, který k vám bude docházet jednou za 14 dní a kontrolovat procesy a jejich fungování. Zákon se dotkne nejvíce společností, které provozují e-shopy, telco služby, bankovní služby, státní a obecní instituce, atd... Bohužel v těchto subjektech je předpoklad značného kapitálu k zajištění bezpečnosti, ale co malé e-shopy (firma 10 – 50 lidí) ta by v případě úniku citlivých informací mohla zavřít a částku splácet do smrti.

    Co jsou citlivé informace a co bude zákonem sledováno v rámci GDPR?

    Informace, které se vztahují k identifikované nebo identifikovatelné fyzické osobě. Veškeré informace – obrazové, slovní, rentgenové snímky, IP adresa, Cookies, Dané obsahem – např. jméno, adresa, pracovní pozice. (pouze jméno není osobní údaj se smyslu GDPR, jen na základě jména nelze jednoznačně identifikovat). Obecné: Jméno, Pohlaví, Věk a datum narození, osobní stav, občanství IP adresa, fotografický nebo biometrický údaj Organizační: osobní nebo pracovní adresa, osobní nebo pracovní telefonní číslo, osobní nebo pracovní email, identifikační čísla vydaná státem (např. rodné číslo) Speciální: etnický původ, náboženské vyznání, členství v odborech, zdravotní stav, sexuální orientace, genetické a biometrické údaje

    Začněme, ale od začátku

    Je potřeba začít jednat nyní? Nemůžeme třeba počkat na konec roku, až budeme mít ty nevyčerpané budgety, které bychom investovali? Moje odpověď je NE, musíte začít hned, nemyslím tím zítra, ale minimálně tento měsíc J. Rád bych na vás apeloval, abyste neudělali tu chybu, že nasadíte systém a budete si myslet, že jste vše vyřešili. Tak to bohužel není, jelikož musíte vždy nejprve plánovat, analyzovat a pak teprve dělat.****

    A jak tedy na to?

    Nejprve je důležité naučit společnost přemýšlet jinak, a to tak, že data, se kterými pracují, jsou data citlivá a osobní, a že každému z nich by se také nelíbilo, kdyby s jejich informacemi někdo nakládal neuváženě, čímž uvedete v život proces práce s dokumenty a to i za cenu, že jste nenasadili jediný systém, ale jen změnili uvažování společnosti. Abyste však mohli vyhodnotit a prokázat, že proces funguje, musíte jej měřit a vyhodnocovat. Jelikož se jedná o obrovská data („Big Data“) tak je nutné vše dělat velmi efektivně. Dalším krokem by ve vašem případě mělo být nastavení přesné směrnice, která bude definovat minimálně:

  • Jak je s daty nakládáno

    • Jak jsou data zabezpečena
    • Kdo má k datům přístup
    • Jaká jsou eskalační schémata při zjištění pokusu o odcizení dat
    • Jaká jsou eskalační schémata při průniku a odcizení dat
    • V jakých systémech se data objevují
    • Jak jsou data přenášena
    • Jak jsou data uchovávána a archivována
    • Atd..

    Následně bude nutné uvést v život tuto směrnici a stanovit procesy, kontrolovat a hlavně měřit. Někde jsem četl jedno MOTTO (asi někde na LinkedIn) „Co neměřím, to neřídím“ a stejné je to se směrnicemi. Společnosti je píší, ale nedokáží kontrolovat, zda jsou dodržovány, jelikož si evidentně myslí, že vydání směrnice společnost vyvazuje z odpovědnosti a že udělaly maximum pro to, aby prosadily svou vůli. Abychom mohli proces a jeho funkčnost měřit, je nutno provádět audit a to ne jen tak ledajaký, ale je potřeba provádět datový audit online (při každé změně, zapsání, smazání nebo stažení záznamu s citlivým údajem), bohužel se bude jednat (v závislosti na velikosti organizace) o obrovské objemy dat jako v případě jedné z položek zákona o Kybernetické bezpečnosti, kdy je nutno uchovávat logy ze systémů k pozdějšímu vyhodnocení. Jelikož je, podle mého názoru, velice těžké měřit zda se směrnice dodržují, musí přijít na řadu ten horší způsob a tím je technologie - zamezení přístupu a sledování aktivity s daty – „big brother nad daty zákazníků“ A nyní přicházíme konečně po 3 stránkách textu k věci. Jelikož jsem osoba orientovaná na Microsoftí technologie budu vše pasovat do IT Roku 2017 a výše J tudíž do cloudu, kam někteří z vás nechcete.

    Technologie

    Myslíte si stále, že je dost času na implementaci po tom co vám někdo řekl, že nejprve bude potřeba proces? Pojďme si to namapovat na vrstvy, abychom věděli kde, co chceme chránit:

  • Fyzická bezpečnost

    • Switche
    • Firewally
    • Hypervisory
    • Virtuální servery
    • Databáze
    • Souborové servery
    • Identitní systémy
    • Aplikační servery
    • Webové servery
    • Aplikace
    • Klientské operační systémy

    Kybernetická bezpečnost je však mnohem komplexnější proces a nevychází jen z vlastních vrstev od Hardware až po aplikace a koncové operační systémy, ale také sleduje chování osob, jejich tendence k prozrazení citlivých informací formou konzultace s kamarádem, atd.. a i tyto procesy je nutno mapovat a prověřovat. Níže je uvedená krásná Mind mapa (autor: Henry Jiang, CISO, CISSP), která ukazuje vrstvy a oblasti kybernetické bezpečnosti.

    My se v této oblasti budeme zabývat tou oranžovou částí s názvem Security Engineering“ a částečně žlutou oblastí „Security Operation“ a jen lehce se podíváme i do fialové části „Threat Inteligence“, ale těch oblastí zájmu je ještě mnohem a mnohem více, ale spousty jich jsou právě obtočeny okolo procesů a certifikací společnosti.

    Fyzická bezpečnost

    Na úrovni fyzické vrstvy máme možnost se vydat několika směry, které nám poskytnou určitou úroveň fyzické bezpečnosti.

  • Umístíme data do naší vlastní serverovny a dáme IT oddělení klíče, aby mohlo spravovat servery, ale co když mu klíče někdo ukradne, nebo je ztratí. Tudíž máme možnost zabezpečit biometirií, pak můžeme věřit, že jsou naše servery v bezpečí. Ale abychom v to mohli věřit, tak musíme měřit a vyhodnocovat, takže bude nutné nastavit kamerový systém, alarm na vstupu a automatickou notifikaci SMSkou na bezpečnostního managera, případně na DPO. * Toto zabezpečení nás bude stát nemalé úsilí, ale pevně věřím, že většina firem má fyzickou bezpečnost vyřešenu

    • Umístíme data do hostingového centra čímž budeme důvěřovat zabezpečení prostředí na úrovni datového centra, jeho certifikaci spadající do nějakého Tieru a jelikož nám pracovník hostingového centra mile rád ukáže, jak celá bezpečnost u nich funguje, pak máme možná „jistotu“, že jsou naše data v bezpečí. Bohužel je však obrovské množství neznámých (kdo tam pracuje, je důvěryhodný, neudělá chybu, atd..) – navíc jsou většinou kóje spojené s jinými zákazníky a jednou se mi stalo, že klíče od mé „klece“ fungovali i do klece sousední. Určitou jistotou může být i hostingové centrum, které disponuje nějakou bezpečnostní certifikací ISO (27001, 27018). * Nikdy však nemůžeme mít důvěru v daného poskytovatele služeb, jelikož nedokážeme kontrolovat jeho procesy bezpečnosti a ještě se tím připravíme o možnost nasadit technologie, které nám pomohou ochránit obsah, nikoliv schránku

    • Umístíme data do cloudu (datové centrum někde ve světě) čímž ztrácíme naprostý přehled o tom, jak jsou naše servery zabezpečeny, a máme jedinou možnost věřit, že poskytovatel cloudu má dostatečně vyspělou bezpečnost svého prostředí o čemž mohou svědčit třeba jeho platné certifikace ISO, blue a red týmy pro testování bezpečnosti na perimetru a můžeme věřit, že bezpečnost těchto datových center je mnohem vyšší než bezpečnost lokálního hostera, který provozuje své služby na serverech NoName nebo Hande Made, aby ušetřil pár korun a zvýšil tím zisky. Když už se bavíme o Microsoftu, tak nové Virtuální servery v Azure jsou nasazovány na generaci 2 a pokud bychom se podívali na technologie, které jsou v datovém centru Azure implementovány, pak zjistíme že na každém zařízení je implementována technologie „Shielded VM“ a že ani z Hyper-V hosta není možné na virtuální servery zákazníků přistupovat, případně je možno v rámci virtuálního serveru nastavit službu Bitlocker a šifrovací klíče umístit do „Key Vault storage“, která nám zajistí 100% jistotu, že do vnitřku virtuálního serveru nebude mít nikdo přístup bez zápisu do logu a bez našeho vědomí. Velice by mne zajímalo, zda toto umí například Amazon Web Service a nebo nějaký lokální hoster. Můj tip je, že to neumí a dlouho ještě umět nebude, případně na to nemá procesy, aby mohl tento způsob hostingu provozovat. * Pokud tedy umístíme servery s citlivými informacemi například do Azure, pak máme jistotu, že jsou naše servery fyzicky ochráněné a díky potvrzení NBÚ pro Azure, máme jistotu, že je vše bezpečné a v souladu se zákony EU/ČR.

    Switche a síťové prvky

    Vždy budeme muset počítat s nějakými fyzickými aktivními prvky (Top of the Rack), i když jich více budeme mít virtualizovaných třeba v Hyper-V nebo v rámci VMWare. Tyto aktivní prvky však musí být schopny logovat to co se na nich děje, aby nemohlo dojít k nedovolenému nastavení například Port Mirroringu, který by zapříčinil posílání dat na další servery, kde by mohl být provoz odchycen. Toto by znamenalo vyměnil všechny staré aktivní prvky za nové, které umožní logování. Pokud bychom přesunuli své systému k nějakému velkému Cloud providerovi, pak máme problém vyřešen, jelikož veškeré síťové prvky jsou logovány do bezpečnostního centra poskytovatele a my pracujeme pouze se síťovými prvky virtuálními.

    Firewally a routery

    Zde je tato problematika o něco větší, jelikož přes tyto prvky prochází všechna komunikace a to i citlivé a osobní informace, které mohou být dokonce na daných aktivních prvcích dekryptovány (SSL Strip) a to z důvodu inspekce provozu. Pokud bychom tedy chtěli chránit svou infrastrukturu a nasadili UTM funkce firewallů a routerů, pak musíme počítat s tím, že dané zařízení do komunikace vidí a to nezabezpečeně, takže nehrozí jen problém s „Port Mirroringem“, ale také s „SSL Stripem“. Zde je tedy nutné nastavit plné Net Flow, které nám nasměruje provoz na nějaký Syslog server, kde budeme dané informace sbírat a vyhodnocovat, abychom vyhodnocováním nezatěžovali vlastní firewall, který by pak mohl odmítat přístupy z důvodu přetížení (toto se mi jednou stalo i u Fortigate 300D v clusteru, který se na httpd démonovi přetížil a zatěžoval RAM a CPU daného zařízení téměř na 90%, čímž docházelo ke kontinuálním výpadkům na VPN a Uplinku a nebylo možno ani predikovat, kdy se tak stane). To znamená logujte, přenášejte data mimo produkci a na servery, které budete mít ochráněné třeba pomocí technologie Bitlocker, šifrování během přenosu s SNMPv3 a pokud to bude VM, pak použijte ještě Shilded VM, aby se vám na dané zařízení nedostal ani administrátor Hyper-V serveru (VMWare myslím tuto izolaci VM nemá k dispozici).

    • Zde bych měl možná ještě vhodnější řešení a to za pár korun (rozhodně méně než-li budovat z čisté vody vlastní řešení). Řešením může v tomto případě být implementace pomocí Operation Management Suite a jeho integrace třeba na nějaké lokální řešení jako je Systém Center Operation Manager, Nagios nebo Zabbix. Do budoucna /již brzy/ bude OMS schopno logovat i hardwarová zařízení, pravděpodobně skrze nějaký Syslog server. Díky implementaci tohoto řešení od Microsoftu je možno sledovat celé NetFlow na firewallech a v síti a tím eliminovat možnost přenosu nějakých citlivých informací. Níže je pár obrázků z prostředí, které mám nasazené ve svém LABu.

Hypervisory

Bohužel ani virtualizační hostitelé, na kterých běží virtuální servery nemohou zůstat opomenuti. Čím více se usnadňuje správa prostředí, tím více získávají administrátoři práva k virtuálním serverům. V rámci Hyper-V se jedná například o Powershell Direct, díky kterému Hyper-V administrátor má možnost přímého zásahu do virtuálního serveru bez nutnosti znalosti hesla administrátora k vlastní virtuálnímu serveru. Explicitně lze říci, že Hyper-V administrátor má vyšší práva vůči virtuálnímu serveru nežli Domain nebo Enteprise administrátor. Proto je nutno na tuto technologii nasadit auditní režim, který by nám poskytl informace o tom co se s naším prostředím děje. Pokud bychom provozovali naše servery v rámci Azure prostředí, pak díky Shilded VM a odepření přístupu Powershell Direct máme možnost znemožnit přístup do virtuálku z vnějšku. Další možností pro zabezpečení přístupu je určitě nasazení auditního logu ve virtuálním serveru a to do event logu (powershell event log), který nám poskytne zpětně informace o provedených krocích, identitě, která provedla danou činnost a času kdy tato událost nastala. Abychom mohli vyhodnotit tyto informace globálně pak je potřeba informace sbírat do nějakého externího Syslog serveru, nebo jak bylo uvedeno výše do Operation Management Suite, který nám tyto informace sebere z daných zařízení a to nejen ze zařízení jako jsou servery, ale také z koncových pracovních stanic (tím, ale předbíhám, o stanicích se dočtete až dále).

Pokud bychom měli servery v cloudové službě Microsoft Azure, můžeme se věnovat bezpečnosti ještě mnohem více komplexněji a to jen díky jejich umístění do této platformy. Aplikace pro auditování jsou již v těchto systémech implementovány jak je vidět na níže uvedených obrázcích.

Případně můžeme použít i nové nástroje jako je PowerBI pro rychlé zobrazení bezpečnostních informací.

Virtuální servery

Nyní přichází tedy na řadu asi to nejhorší na zabezpečení a to zejména z důvodu, kdy k virtuálním serverům přistupují různí lidé z organizace. U hypervisoru máme vždy 1 – 2 správce, u sítí máme také 1-2 správce, ale u virtuálních serverů těchto správců můžou být desítky a o to spíše je nutné zde nasadit různé technologie, které nám pomohou zabezpečit celé prostředí. Nejedná se zrovna o jednoduchou disciplínu, a proto to vezměme postupně.

Operační systém

Zde musíme nasadit nějakou technologii, která nám bude auditovat přístupy, změny a event logy. Takže opět nějaký Syslog a případně agenta pro sledování co se na serveru děje. Doporučil bych určitě System Center Operation Manager, který bude sledovat server podle nějaké předem definované šablony a to zejména na prováděné změny, které se budou zaznamenávat do konfigurační databáze, tak aby bylo možno vždy porovnávat stav proti stavu aktuálnímu. Další možností, kterou máme je napsat si nějaké vlastní řešení na sledování změn anebo nainstalovat agenta a opět logovat vše do Operation management Suite. Níže je ukázáno, co můžete díky tomuto sledování získat a jak mohou být data v online režimu vyhodnocena.

V příštích částech článku budeme pokračovat dalšími oblastmi.

Autor: Daniel Hejda

Next Post