Cloud Sigurnost AWS, Azure i GCP — Kompletni Vodič 2026
Cloud Sigurnost AWS, Azure i GCP — Kompletni Vodič 2026
Prema Gartner analizi, 99% cloud sigurnosnih propusta nastaje greškom korisnika — ne cloud provajdera. Naučite kako ispravno konfigurisati IAM, enkripciju, monitoring i compliance.
Zamislite da vaša kompanija pohranjuje osjetljive podatke klijenata u oblaku — a da niste svjesni da su ti podaci dostupni svima na internetu zbog jedne pogrešno postavljene opcije. Nije to scenario iz naučne fantastike: prema podacima iz 2025/2026. godine, oko 80% organizacija doživjelo je barem jedan cloud sigurnosni incident u proteklih godinu dana. Uzrok? Najčešće nije sofisticirani hakerski napad — već pogrešna konfiguracija infrastrukture, prekomjerne IAM dozvole ili nedostatak monitoringa.
U ovom vodiču prolazimo kroz sve ključne aspekte sigurne cloud konfiguracije na AWS-u, Azure-u i GCP-u: od IAM politika i enkripcije podataka, do monitoring alata, IaC skeniranja i compliance zahtjeva. Konkretni primjeri, stvarni alati i provjerene statistike — bez izmišljenih podataka.
Zašto je cloud sigurnost kritična u 2026. godini?
Raširena prijetnja
Prema više izvora, oko 80% kompanija doživjelo je barem jedan cloud sigurnosni incident u protekloj godini, a 83% u proteklih 18 mjeseci.
Visoki finansijski rizik
Prosječna cijena cloud incidenta uzrokovanog pogrešnom konfiguracijom iznosi 4,3 miliona dolara — i raste 17% godišnje prema dostupnim podacima.
Ubrzavanje prijetnji
Cloud-svjesni napadi porasli su 37% u 2025. godini prema CrowdStrike izvještaju, a 25% svih globalnih sajber napada cilja cloud infrastrukturu.
Tržište cloud sigurnosti u 2026. godini procjenjuje se na između 46 i 67 milijardi dolara, ovisno o izvoru — uz godišnji rast koji konzistentno premašuje 12%. Prema Gartner prognozi, globalna potrošnja na informacijsku sigurnost dostiže 240 milijardi dolara u 2026, uz rast od 12,5% u odnosu na prethodnu godinu. Cloud sigurnost apsorbuje oko 35% ukupnog IT sigurnosnog budžeta prema Fortinet podacima.
Dijeljeni model odgovornosti: Ko je za šta odgovoran?
Jedan od najčešćih uzroka cloud sigurnosnih propusta je nerazumijevanje modela dijeljene odgovornosti. Svaki od tri glavna cloud provajdera ima drugačiji pristup:
| Aspekt | AWS | Azure | GCP |
|---|---|---|---|
| Model odgovornosti | Binarni model — "Security OF" vs. "Security IN" cloud | Slojeviti model — odgovornost se mijenja po IaaS/PaaS/SaaS | "Shared Fate" — Google aktivno učestvuje u sigurnosti klijenta |
| IAM sistem | AWS IAM — JSON politike, bez hijerarhijskog nasljeđivanja | Azure Entra ID + RBAC — hijerarhija Mgmt Group → Subscription | GCP Cloud IAM — Google accounti i Service accounti |
| Upravljanje ključevima | AWS KMS + Secrets Manager | Azure Key Vault | GCP Cloud KMS + Secret Manager |
| Threat Detection | Amazon GuardDuty + AWS Security Hub | Microsoft Defender for Cloud | GCP Security Command Center |
| Audit logging | AWS CloudTrail + CloudWatch | Azure Monitor + Activity Log | Cloud Audit Logs + Cloud Logging |
| DDoS zaštita | AWS Shield | Azure DDoS Protection | Google Cloud Armor |
Bez obzira na provajdera, postoji jedno nepromjenjivo pravilo: korisnik je uvijek odgovoran za IAM konfiguraciju, podatke i aplikacije. Ovo su najčešći uzroci incidenata na svim platformama.
1. IAM — Identitet je novi sigurnosni perimetar
Prema SentinelOne podacima, 70% cloud breacheva nastaje kompromitovanim identitetima. Misconfigured identity policies odgovorni su za svaki treći cloud incident. IAM greške su sistematske i predvidive — što znači da su i preventabilne.
Najčešće IAM greške
Kritične IAM ranjivosti koje treba odmah ispraviti
- ✗ Prekomjerne dozvole (Overprivileged Identities) — Dodjela AdministratorAccess/Owner umjesto granularnih dozvola. Na AWS-u: IAM Users sa PowerUserAccess; na Azure-u: preširoke uloge na Management Group nivou; na GCP-u: Service Accounts sa Editor ulogom na cijeloj organizaciji.
- ✗ Dugoročni access ključevi — AWS Access Keys koji se nikad ne rotiraju (treba ih zamijeniti STS Temporary Credentials); Azure Service Principal tajne u kodu (koristiti Managed Identities); GCP Service Account JSON ključevi u repozitorijumu (koristiti Workload Identity Federation).
- ✗ Toksične kombinacije dozvola — Kombinacije koje omogućuju eskalaciju privilegija, npr. na AWS-u: iam:PutUserPolicy + iam:CreateAccessKey = mogućnost kreiranja admina.
- ✗ Nedostatak MFA — Accounti sa konzolnim pristupom bez Multi-Factor Authenticationa. Phishing je najčešći metod napada koji iskorištava ovu ranjivost.
Ispravna IAM konfiguracija — primjeri po platformama
AWS — IAM Role za EC2/Lambda (bez access ključeva u kodu):
# Ispravno: Koristiti IAM Role za EC2 instance
# Aplikacija automatski dobija credentials — bez hardcoded ključeva
aws ec2 run-instances \
--iam-instance-profile Name=MyAppRole \
--image-id ami-12345678
# IAM Policy — Princip minimalnih privilegija
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::my-app-bucket/*"
}]
}Azure — Managed Identity za VM (bez lozinki u kodu):
# Dodjela Managed Identity Azure VM-u
az vm identity assign \
--name MyVM \
--resource-group MyRG
# Aplikacija pristupa Azure resursima bez lozinki!GCP — Workload Identity Federation za Kubernetes:
# GCP Workload Identity — Kubernetes podovi se autentifikuju automatski
kubectl annotate serviceaccount my-app \
iam.gke.io/[email protected]
# Nema JSON ključeva u repozitorijumu!IAM Best Practices — Zajednički principi za sve platforme
- ✓ Princip minimalnih privilegija (Least Privilege) — počnite sa minimalnim dozvolama i dodajte samo ono što je neophodno
- ✓ MFA za sve privilegovane accounte — na svim trima platformama obavezno
- ✓ Rotacija ključeva svakih 90 dana (AWS IAM password policy preporučuje isti period)
- ✓ Dodjela dozvola grupama, ne pojedinačnim korisnicima
- ✓ Redovni audit IAM uloga, dozvola i API pristupa
- ✓ Koristiti IAM Role/Managed Identity/Workload Identity umjesto statičkih ključeva
- ✓ Implementirati Zero Trust arhitekturu — kontinualna verifikacija, microsegmentacija
2. Enkripcija podataka — u mirovanju i u tranzitu
Enkripcija je osnovna linija odbrane za zaštitu podataka. Svaki od tri cloud provajdera nudi robusne mehanizme enkripcije, ali ih je potrebno ispravno konfigurisati — jer podrazumijevane postavke nisu uvijek dovoljne.
Enkripcija podataka u mirovanju (at rest)
• AWS: Amazon S3 automatski enkriptuje podatke server-side enkripcijom. AWS Key Management Service (KMS) omogućuje kreiranje i upravljanje kriptografskim ključevima. Preporuka: koristiti AWS KMS Customer Managed Keys (CMK) za maksimalnu kontrolu, uz obaveznu rotaciju ključeva.
• Azure: Azure Key Vault čuva tajne, lozinke i certifikate. Svi Azure storage accounti kreirani nakon novembra 2023. imaju blokiran javni pristup po defaultu. Za baze podataka: SQL TDE (Transparent Data Encryption) i enkripcija managed diskova su obavezni.
• GCP: Cloud KMS nudi automatsku rotaciju, kontrolu pristupa i audit trail. Opcija Customer-Supplied Encryption Keys (CSEK) daje maksimalnu kontrolu — Google nikad ne pohranjuje te ključeve.
Enkripcija u tranzitu (in transit)
• AWS: TLS za enkriptovanje podataka u tranzitu; VPC Peering za sigurni prenos između različitih VPC-ova.
• Azure: Azure VPN Gateway za enkripciju u tranzitu koristeći IPsec protokole; ExpressRoute za privatnu konekciju između Azure data centara i on-premises infrastrukture.
• GCP: HTTPS za sigurni prenos podataka; Cloud VPN za sigurnu komunikaciju između mreža; VPC Service Controls za ograničavanje kretanja podataka.
# AWS: Provjera da je S3 bucket enkriptovan i bez javnog pristupa
aws s3api get-bucket-encryption --bucket my-bucket
aws s3api get-public-access-block --bucket my-bucket
# Blokiranje javnog pristupa na nivou organizacije (preporučeno)
aws s3control put-public-access-block \
--account-id 123456789012 \
--public-access-block-configuration \
BlockPublicAcls=true,IgnorePublicAcls=true,\
BlockPublicPolicy=true,RestrictPublicBuckets=true3. Monitoring i detekcija prijetnji
Prosječno vrijema detekcije cloud konfiguracijskog problema je više od 180 dana bez automatizacije. Automatizacija može smanjiti to vrijeme za više od 40%. Svaki od cloud provajdera nudi native monitoring alate koji moraju biti aktivirani od prvog dana.
| Kategorija | AWS alati | Azure alati | GCP alati |
|---|---|---|---|
| Audit logging | AWS CloudTrail | Azure Monitor + Activity Log | Cloud Audit Logs |
| Metrике i alarmi | Amazon CloudWatch | Azure Monitor (all-in-one) | Cloud Monitoring |
| Threat detection | Amazon GuardDuty | Microsoft Defender for Cloud | Security Command Center |
| Centralni dashboard | AWS Security Hub | Microsoft Defender for Cloud | Security Command Center |
| Network flow logs | VPC Flow Logs | Azure Network Watcher | VPC Flow Logs |
| Skeniranje podataka | Amazon Macie (S3) | Microsoft Purview | Cloud DLP |
Amazon GuardDuty — ML-bazirano otkrivanje prijetnji
Amazon GuardDuty je AWS-managed threat detection servis koji kontinualno skenira za potencijalno štetne aktivnosti analizom milijardi zahtjeva iz AWS CloudTrail, VPC Flow Logs i DNS logova. Koristeći machine learning i threat intelligence, GuardDuty identificira sumnjive aktivnosti poput cryptocurrency mininga, kompromitovanih kredencijala i izviđačkih pokušaja. Servis ne zahtijeva agente ni dodatnu infrastrukturu — aktivan je u minutama od aktivacije.
Microsoft Defender for Cloud — CSPM i CWPP
Microsoft Defender for Cloud je Cloud Security Posture Management (CSPM) i Cloud Workload Protection Platform (CWPP) rješenje koje koristi napredne AI sposobnosti i Microsoft Threat Intelligence za kontekstualno sigurnosnu zaštitu. Kada detektuje anomalnu aktivnost, šalje sigurnosne alarme i e-mail administratorima sa detaljima o sumnjivoj aktivnosti i preporukama za istragu.
GCP Security Command Center — centralizovana vidljivost
Google Cloud Security Command Center (SCC) je centralizovani servis za izvještavanje o ranjivostima i prijetnjama. Kontinualno prati GCP okruženje, omogućuje vidljivost u cloud assete, identifikuje misconfiguracije i ranjivosti, te detektuje prijetnje koristeći logove u realnom vremenu.
4. Infrastructure as Code (IaC) sigurnost — Shift-Left pristup
Moderni DevSecOps pristup zahtijeva da se sigurnosne provjere ugrade direktno u CI/CD pipeline — prije nego što ikakva infrastruktura bude deployovana. Ovaj "shift-left" pristup može spriječiti do 75% misconfiguracija prije deployments.
Ključni IaC sigurnosni alati
Checkov (Palo Alto Networks / Prisma Cloud)
Najpopularniji open-source statički analizator za IaC. Podržava Terraform, CloudFormation, Kubernetes, Helm, ARM Templates i AWS CDK. Ima 1.000+ built-in politika za AWS, Azure i GCP, te jedinstvenu graph-based analizu koja mapira odnose između resursa.
- ✓ Graph-based analiza resursa
- ✓ Integracija sa GitHub/GitLab CI
- ✓ Custom politike u Python ili YAML
- ✓ Podrška za CIS, NIST, SOC 2 benchmarke
Prowler
Reaktivni sigurnosni skener koji direktno skenira cloud infrastrukturu za misconfiguracije i ranjivosti. Podržava stotine provjera za AWS, Azure, GCP i Kubernetes, te se može integrisati sa AWS Security Hub.
- ✓ Multi-cloud podrška (AWS, Azure, GCP, K8s)
- ✓ Provjere prema CIS, NIST, GDPR, HIPAA
- ✓ Kontinualni monitoring živog okruženja
- ✓ Proširiv custom Python skriptama
Trivy (Aqua Security)
Sveobuhvatni open-source skener koji kombinuje IaC skeniranje, skeniranje container imagea, dependency checking i otkrivanje tajni. Naslijedio je tfsec (deprecated 2024.) i preuzeo cijelu biblioteku pravila.
- ✓ Jedan alat za Terraform, container i dependency skeniranje
- ✓ 31.700+ GitHub zvjezdica
- ✓ Brza integracija u CI/CD pipeline
KICS (Checkmarx)
Keeping Infrastructure as Code Secure — podržava 22+ IaC platformi uključujući Terraform, Pulumi, Ansible, CloudFormation, ARM, Kubernetes i druge. GitLab ga koristi kao defaultni ugrađeni IaC skener.
- ✓ Najšira IaC framework podrška
- ✓ Auto-remediation za built-in politike
- ✓ Default GitLab IaC skener
# GitHub Actions — Automatski IaC security scan na svakom Pull Requestu
name: IaC Security Pipeline
on:
pull_request:
paths:
- 'terraform/**'
jobs:
security_scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v3
# Checkov skeniranje Terraform koda
- name: Run Checkov
uses: bridgecrewio/checkov-action@master
with:
directory: terraform/
framework: terraform
quiet: false
# Prowler skeniranje živog AWS okruženja
- name: Run Prowler
run: prowler aws --region eu-west-1 --compliance gdpr_aws5. Mrežna sigurnost — Segmentacija i Zero Trust
Mrežna segmentacija je kritična komponenta cloud sigurnosti. Ispravna VPC/VNet arhitektura smanjuje površinu napada i sprječava lateralno kretanje napadača unutar infrastrukture.
Preporučena mrežna arhitektura (svi cloud provajderi)
INTERNET
↓
[Internet Gateway / Load Balancer]
↓
JAVNA PODMREŽA — NAT Gateway, Load Balancer
↓ [Security Group / NSG / VPC Firewall]
PRIVATNA PODMREŽA — Application Servers
↓ [Security Group / NSG / VPC Firewall]
IZOLOVANA PODMREŽA — Baze podataka
↓ [Bez internet pristupa]- ✓ AWS: VPC + Security Groups + Network ACLs + AWS WAF
- ✓ Azure: VNet + NSG (Network Security Groups) + Azure Firewall
- ✓ GCP: VPC + Firewall Rules + VPC Service Controls + Cloud Armor
- ✓ Nikad ne izlagati baze podataka direktno internetu
- ✓ Koristiti private subnets za kritične workloade
6. Compliance — GDPR, ISO 27001, SOC 2 u cloud okruženju
Regulatorna usklađenost postala je obavezan dio cloud strategije. Prema IBM Cost of a Data Breach izvještaju za 2025. godinu, prosječna globalna cijena breacheva iznosi 4,44 miliona dolara, dok za kompanije u SAD-u dostiže 10,22 miliona. Compliance nije samo pravna obaveza — to je finansijska zaštita.
| Framework | Primjena | AWS alat | Azure alat | GCP alat |
|---|---|---|---|---|
| GDPR | EU zaštita podataka | AWS Artifact, Macie | Microsoft Purview, Defender | Cloud DLP, SCC |
| ISO 27001:2022 | Upravljanje informacijskom sigurnošću | AWS Security Hub, Config | Azure Policy, Defender | Security Command Center |
| SOC 2 Type II | SaaS/cloud usluge | CloudTrail, Config Rules | Azure Monitor, Policy | Cloud Audit Logs |
| PCI DSS 4.0 | Plaćanja i finansije | AWS Audit Manager | Microsoft Defender | SCC + Cloud Armor |
| CIS Benchmarks | Tehnički sigurnosni standardi | AWS Security Hub (built-in) | Microsoft Defender (built-in) | SCC (built-in) |
Važno je napomenuti: AWS European Sovereign Cloud u januaru 2026. godine postigao je ISO 27001:2022, ISO 27017:2015, ISO 27018:2019 certifikate, kao i SOC 2 i C5 atestacije — što pokriva 69 AWS servisa unutar te regije. Ovo je posebno relevantno za evropske kompanije koje trebaju ispuniti stroge zahtjeve suverennosti podataka.
Za automatizaciju compliance provjera, alati poput Comp AI (open-source) ili komercijalnih rješenja kao što su Vanta i Drata integrišu se direktno sa AWS, Azure i GCP-om te automatizuju prikupljanje dokaza za SOC 2, ISO 27001, GDPR i HIPAA audite.
Jeste li znali?
Prema Gartner prognozi, 99% cloud sigurnosnih propusta kroz 2026. godinu biće greška korisnika — a ne cloud provajdera. Istovremeno, prosječno vrijeme detekcije konfiguracijskog problema u cloud okruženju iznosi više od 180 dana bez automatizacije. Uvođenje automatizovanih alata poput Checkov, Prowler i CSPM rješenja može smanjiti to vrijeme za više od 40% i spriječiti do 75% misconfiguracija prije nego što stignu u produkciju.
7. Multi-cloud sigurnost — Izazovi i rješenja
Prema Fortinet podacima za 2026. godinu, 88% organizacija sada radi u hibridnim ili multi-cloud okruženjima. To uvodi posebne izazove: 56% organizacija ima poteškoće sa zaštitom podataka u multi-cloud okruženjima, a 69% izvještava o problemima u održavanju konzistentnih sigurnosnih kontrola između provajdera.
Multi-cloud sigurnosna strategija
- ✓ Unificiran identity management: Koristiti Okta, Azure Entra ID ili AWS IAM Identity Center sa podrškom za federaciju identiteta između platformi.
- ✓ Policy-as-Code sa Open Policy Agent (OPA): Jedinstven policy engine koji radi na svim cloud platformama — AWS Config, Azure Policy i GCP Security Command Center.
- ✓ Centralizovani logging: Kombinovati AWS CloudTrail, Azure Monitor i GCP Cloud Logging sa centralnom analizom u SIEM rješenjima poput Splunk ili Datadog.
- ✓ Terraform za konzistentnu konfiguraciju: Jedan IaC alat koji upravlja infrastrukturom na svim provajderima sa konzistentnim sigurnosnim politikama.
- ✓ CNAPP rješenja: Wiz, Lacework ili SentinelOne Singularity Cloud za agentless skeniranje i upravljanje rizicima kroz sve cloud okoline.
8. Sigurnost storage servisa — Sprječavanje najčešćih propusta
Javno dostupni storage bucketi su jedan od najkatastrofalnijih oblika cloud misconfiguracije. Prema Tenable podacima iz 2025. godine, 9% javno dostupnih cloud storage servisa sadrži osjetljive podatke. Javne cloud storage ekspozicije čine skoro 20% svih cloud curenja podataka.
# AWS S3 — Blokiranje javnog pristupa (organizacijski nivo)
aws s3control put-public-access-block \
--account-id 123456789012 \
--public-access-block-configuration \
BlockPublicAcls=true,IgnorePublicAcls=true,\
BlockPublicPolicy=true,RestrictPublicBuckets=true
# Provjera: Da li je bucket enkriptovan?
aws s3api get-bucket-encryption --bucket my-sensitive-bucket
# AWS: Od aprila 2023. novi S3 bucketi blokiraju javni pristup po defaultu
# Ali stari bucketi NISU automatski zaštićeni — potrebna je ručna provjera!Na Azure-u, svi storage accounti kreirani nakon novembra 2023. blokiraju javni pristup po defaultu. Na GCP-u, javni pristup Google Cloud Storage bucketima može se blokirati na nivou bucketa, projekta, foldera ili organizacije.
"Misconfiguration and inadequate change control je i dalje broj jedan cloud prijetnja — iznad čak i zero-day napada. Problem nije cloud sigurnosna tehnologija — to je način na koji organizacije konfigurišu, upravljaju i regulišu svoja cloud okruženja.
— Cloud Security Alliance, Top Threats to Cloud Computing 2025
Praktična checklista za sigurnu cloud konfiguraciju
Cloud Security Checklist 2026 — Kritični koraci
IAM i pristup
- ✓ MFA za sve privilegovane accounte
- ✓ Princip minimalnih privilegija
- ✓ Rotacija ključeva svakih 90 dana
- ✓ Koristiti IAM Role umjesto statičkih ključeva
- ✓ Redovni audit IAM dozvola
- ✓ Ukloniti neaktivne accounte i ključeve
Enkripcija i storage
- ✓ Enkripcija svih podataka at rest (KMS/Key Vault)
- ✓ TLS za sve podatke in transit
- ✓ Blokiranje javnog pristupa storage bucketima
- ✓ Rotacija enkripcijskih ključeva
- ✓ Backup i disaster recovery plan
Monitoring i logging
- ✓ CloudTrail/Azure Monitor/Cloud Audit Logs aktivni u svim regionima
- ✓ GuardDuty/Defender/SCC aktiviran
- ✓ VPC Flow Logs omogućeni
- ✓ Alarmi za neobičnu aktivnost
- ✓ Logovi enkriptovani i zaštićeni od izmjene
IaC i DevSecOps
- ✓ Checkov ili Trivy u CI/CD pipelineu
- ✓ Prowler za skeniranje živog okruženja
- ✓ Policy-as-Code sa OPA/Sentinel
- ✓ Git secrets skeniranje (GitLeaks)
- ✓ Terraform state file zaštita
Cloud sigurnost u 2026. godini nije opcija — to je poslovni imperativ. Sa 80% organizacija koje su doživjele cloud breach u protekloj godini, 37% rastom cloud-svjesnih napada i prosječnom cijenom incidenta od 4,3 miliona dolara, troškovi neaktivnosti daleko premašuju troškove implementacije sigurnosnih mjera. Ključna poruka je jasna: problem nije u cloud tehnologiji — cloud provajderi AWS, Azure i GCP nude robusne sigurnosne alate. Problem je u konfiguraciji, upravljanju i kulturi sigurnosti unutar organizacija. Implementacija IAM principa minimalnih privilegija, enkripcije, automatizovanog monitoringa i IaC sigurnosnog skeniranja u CI/CD pipelineu nije samo tehnička odluka — to je strateška investicija koja štiti podatke, reputaciju i finansijsku stabilnost svake organizacije koja koristi cloud infrastrukturu.
