Raptoric Journal/Aplikacije i cloud
Aplikacije i cloud15. lipnja 2026. · 12 min čitanja

Sigurnost u oblaku: što tvrtka mora znati

Prelazak u oblak ne prenosi i odgovornost za sigurnost na pružatelja. Evo kako funkcionira podijeljena odgovornost, koji su najčešći rizici i kako ih smanjiti.
Cloud inženjer pregledava konzolu i nadzornu ploču cloud infrastrukture.
Autor
LH
Lovro Heruc
Ofenzivna sigurnost, aplikacije i detekcija
Podijelite
LinkedInX / TwitterCopy link

Prelazak u oblak donosi fleksibilnost i brzinu, ali i čestu zabludu: da pružatelj clouda preuzima brigu o sigurnosti. Istina je drugačija. Pružatelj osigurava infrastrukturu, ali za ispravnu konfiguraciju, kontrolu pristupa i zaštitu podataka odgovara korisnik. Velik dio incidenata u oblaku posljedica je upravo pogrešne konfiguracije, ne propusta pružatelja. Ovaj tekst objašnjava model podijeljene odgovornosti, najčešće rizike i kako ih smanjiti.

Ovo je dio našeg pregleda sigurnosti aplikacija. Procjenu i jačanje cloud okruženja pružamo kroz sigurnost aplikacija i clouda.

Model podijeljene odgovornosti

Ključ razumijevanja cloud sigurnosti je model podijeljene odgovornosti. Pružatelj odgovara za sigurnost samog oblaka: fizičke poslužitelje, mrežu i osnovnu infrastrukturu. Korisnik odgovara za sigurnost u oblaku: kako konfigurira usluge, tko ima pristup i kako štiti podatke. Granica ovisi o vrsti usluge, ali odgovornost korisnika nikad ne nestaje.

PodručjeOdgovornost
Fizička infrastrukturaPružatelj clouda.
Mreža i osnovne uslugePružatelj clouda.
Konfiguracija uslugaKorisnik.
Kontrola pristupa i identitetiKorisnik.
Podaci i njihova zaštitaKorisnik.
Tko za što odgovara u oblaku.

Najčešći rizici

Većina problema u oblaku ne dolazi od sofisticiranih napada, nego od previda u postavkama.2

  • Javno izložena pohrana podataka koja je trebala biti privatna.
  • Preširoke ovlasti, gdje korisnici i servisi imaju više prava nego što trebaju.
  • Slabo upravljanje identitetima i nedostatak dvofaktorske autentifikacije.
  • Nešifrirani podaci u pohrani ili prijenosu.
  • Nedostatak nadzora i zapisa, pa se sumnjive radnje ne primijete.

Kako smanjiti rizik

Sigurnost u oblaku postiže se disciplinom u konfiguraciji i pristupu.

  1. 01
    Primijenite najmanje ovlasti
    Svaki korisnik i servis dobiva samo prava koja su mu nužna.
  2. 02
    Učvrstite identitete
    Uvedite dvofaktorsku autentifikaciju i redovito pregledavajte pristup.
  3. 03
    Provjerite izloženost
    Osigurajte da pohrana i usluge nisu javno dostupne bez razloga.
  4. 04
    Šifrirajte podatke
    Zaštitite podatke i u pohrani i u prijenosu.
  5. 05
    Nadzirite konfiguraciju
    Pratite postavke kontinuirano jer se okruženje stalno mijenja.

Cloud i usklađenost

Korištenje oblaka ne oslobađa tvrtku obveza. GDPR i dalje vrijedi za osobne podatke u oblaku, a regulirani subjekti pod NIS2 i DORA-om moraju upravljati i rizicima vanjskih pružatelja. Ugovor s pružateljem i jasna podjela odgovornosti dio su usklađenosti.

Kako Raptoric pomaže

Procjenjujemo konfiguraciju i pristup u cloud okruženju te pomažemo zatvoriti najčešće rizike, kroz sigurnost aplikacija i clouda. Dogovorite uvodni razgovor.

Česta pitanja

Brine li pružatelj clouda o našoj sigurnosti?
Samo djelomično. Pružatelj štiti infrastrukturu, ali za konfiguraciju, kontrolu pristupa i zaštitu podataka odgovara korisnik. To je model podijeljene odgovornosti i odgovornost korisnika nikad ne nestaje.
Koji je najčešći uzrok incidenata u oblaku?
Pogrešna konfiguracija, primjerice javno izložena pohrana ili preširoke ovlasti. Većina problema ne dolazi od sofisticiranih napada, nego od previda u postavkama.
Vrijedi li GDPR za podatke u oblaku?
Da. Prebacivanje podataka u oblak ne mijenja obveze prema GDPR-u. Tvrtka ostaje odgovorna za zaštitu osobnih podataka i mora to urediti i ugovorom s pružateljem.
Je li sigurnost u oblaku jednokratan posao?
Nije. Cloud okruženje se stalno mijenja, pa konfiguraciju i pristup treba nadzirati kontinuirano. Jednokratno postavljanje brzo zastari i otvara nove rizike.

Izvori

  1. 1ISO/IEC. ISO/IEC 27017: Code of practice for cloud services. International Organization for Standardization, 2015. Poveznica
  2. 2ENISA. ENISA Threat Landscape. European Union Agency for Cybersecurity, 2024. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →