IT Focus rozmawia z Sebastianem Kisielem, inżynierem systemowym w firmie Citrix, o tym, jak firmy mogą zabezpieczyć swoje dane w różnorodnych środowiskach.
Jeśli chodzi o chmurę, jakiego stopnia bezpieczeństwa organizacja może spodziewać się po infrastrukturze, która do niej nie należy?
Sebastian Kisiel: Bezpieczeństwo w chmurze w rzeczywistości może być większe, niż w tradycyjnym centrum danych — zwłaszcza w przypadku dostawców, którzy w pełni ujawniają stosowane metodologie, określające poziom zabezpieczeń. Wiele organizacji i działów firm, które nie mogą sobie pozwolić na wszystkie wymagane zabezpieczenia fizyczne, wielopoziomowe technologie ochrony oraz rygorystyczne procesy administracyjne regulujące podział zadań i odpowiedzialności — a to jedynie kilka przykładów — w chmurze odnajdzie znacznie wyższy poziom bezpieczeństwa. Nawet w przypadku tradycyjnych centrów danych działy biznesowe, które nie są właścicielami wszystkich zabezpieczeń i procesów, wielokrotnie powierzają swoje bezpieczeństwo działowi IT — a nawet zlecają zewnętrznym firmom zarządzanie swoim środowiskiem informatycznym. Chmura to po prostu kolejny poziom abstrakcji centrum danych, ale trzeba nią profesjonalnie zarządzać, aby zapewniała wystarczający stopień bezpieczeństwa, prywatności i zgodności z przepisami. Organizacja powinna jednak być pewna, że dostawca usług chmurowych zna i dysponuje wymaganymi procesami i technologiami bezpieczeństwa, zarówno przed zawarciem umowy, jak i w czasie jej trwania. Należy uważnie przeczytać warunki świadczenia usług i zwrócić uwagę na możliwe zmiany, które mogą mieć miejsce w trakcie trwania umowy.
Dlaczego model chmury hybrydowej łagodzi obawy o bezpieczeństwo cloud computingu?
Sebastian Kisiel: Chmura hybrydowa wykorzystuje zarówno zasoby należące do organizacji i przez nią zarządzane — chmurę prywatną — oraz technologie chmury publicznej. Zaprojektowanie środowiska w sposób, który pozwala na zabezpieczenie aplikacji i danych zarówno w chmurach prywatnych, jak i publicznych, zapewnia ochronę danych wszędzie, gdzie są one składowane. Oczywiście, punkty styku między chmurami publicznymi a prywatnymi, w tym łączność sieciowa, usługi katalogowe i polityki dostępu, muszą być odpowiednio zdefiniowane i zautomatyzowane w celu spełnienia określonych wymagań bezpieczeństwa. Technologie chmury hybrydowej coraz częściej wykorzystuje się do przetwarzania poufnych danych, na przykład do cloudburstingu (używania zasobów chmury publicznej w przypadku przeciążenia lokalnego systemu) przez detalistów podczas świątecznego szczytu czy też do wymiany chronionych danych pacjentów przez różne instytucje sektora medycznego.
Jakie najczęstsze pomyłki popełniają organizacje, przy wdrażaniu zasobów i usług IT w chmurze?
Sebastian Kisiel: Najczęstszą pomyłką jest założenie, że chmurą można zarządzać tak, jak tradycyjnym centrum danych — co zmusza dział IT do brania pod uwagę wyłącznie chmur prywatnych. Choć nie wszystkie wrażliwe środowiska i procesy są gotowe do wdrożenia w chmurze publicznej, istnieje wiele aplikacji, w tym przetwarzających poufne dane, które mogą skorzystać na bezpieczeństwie, elastyczności i ekonomiczności cloud computingu. IT musi ściśle współpracować z działami biznesowymi, aby w pierwszej kolejności zrozumieć ich cele, a następnie wprowadzić odpowiednie rozwiązania i regulacje, a co za tym idzie zbudować dyscyplinę IT.
Wspomniał Pan, że użytkownicy wykorzystują aplikacje chmurowe, takie jak chociażby Dropbox, aby obejść zabezpieczenia IT. Jak dział IT ma na to reagować? Czy wprowadzenie zbyt drakońskich zakazów nie doprowadzi do konfliktu z użytkownikami?
Sebastian Kisiel: Usługi klasy konsumenckiej do współdzielenia, przechowywania i backupu plików okazały się bardzo użyteczne z perspektywy wydajności pracy i dostępności danych do użytku osobistego. Problemem jest korzystanie z tych usług np. do transferu poufnych danych, ponieważ może to narazić użytkownika i jego organizację na naruszenie określonych umów, regulacji i przepisów. Dział IT potrzebuje rozwiązań klasy korporacyjnej, które dorównują usługom konsumenckim lub przewyższają je pod względem funkcjonalności, a jednocześnie ochronią firmowe dane. Tak naprawdę użytkownicy chcą postępować fair w stosunku do swojej firmy i jeśli tylko dział IT zacznie ich odpowiednio wspierać i działać bardziej pod kątem „jak to zrobić bezpiecznie?”, a nie „jak wyeliminować?”, z pewnością organizacja może zyskać wyższą produktywność i stopień bezpieczeństwa.
Na jakie zagrożenia są narażone chmurowe aplikacje i usługi?
Sebastian Kisiel: Niestety, cloud computing cierpi na wiele tych samych problemów, z którymi mamy do czynienia w tradycyjnych środowiskach IT. Słabe hasła, współdzielenie kont i brak szyfrowania to tylko kilka typowych problemów, które mogą przenieść się do chmury. Na szczęście jest jeszcze druga, pozytywna strona medalu — ponieważ chmura jest nowym środowiskiem, wsparcie przestarzałych technologii bezpieczeństwa nie jest celem rozwiązania, jak to często zdarza się w tradycyjnych środowiskach IT. Nowo zaprojektowana aplikacja chmurowa może oferować obsługę wielu usługobiorców i instancji (multitenant), delegowanie obowiązków, zarządzanie cyklem życia i zmianami oraz automatyzację zabezpieczeń, a wszystko po to, by zapewnić bezpieczeństwo zaczynając od interfejsu użytkownika skończywszy na samych danych. Automatyzacja zabezpieczeń w ramach zarządzania chmurą, w całym cyklu życia środowisk w niej umieszczanych, eliminuje wiele słabych punktów, które mogłyby być wykorzystane choćby przez hakerów.
