Cloud computing i bezpieczeństwo

0

Coraz więcej osób prywatnych korzysta z usług w chmurze. Również przedsiębiorstwa powoli migrują do chmury. Jednak wiele firm, widząc w chmurach rozwiązania swoich problemów, wstrzymuje się przed migracją z obaw o bezpieczeństwo. W związku z tym postanowiliśmy sprawdzić, jak wyglądają standardy ochrony danych w chmurze na początku 2012 roku, który wedle niektórych będzie rokiem chmur obliczeniowych.

Kopie zapasowe

Zanim jednak przejrzymy zabezpieczenia, zastanówmy się, jakie dane firma może przenieść do chmur. Pierwsze co powinno nas zainteresować, to możliwość wykonywania kopii zapasowych danych bez dodatkowych nakładów na zasoby dyskowe w firmie. Backup w chmurze łatwo się skaluje, zapewniając kopię w miejscu odizolowanym od środowiska pracy, a więc chroniącym np. przed skutkami pożaru w biurze albo kradzieży.
Jednak to tylko początek. W chmurze pracownicy będą trzymać pliki, udostępniając je sobie nawzajem. Nie tylko wtedy gdy będą w biurze, ale też podczas wyjazdu w teren. Także klientom łatwiej będą udostępniali dokumenty, jednocześnie kontrolując reguły dostępu.

Hosting w chmurze

Do chmury można przenieść również hosting. Ma to znaczenie szczególnie w przypadku firm, które wymagają większej mocy obliczeniowej, np. działających w branży informatycznej. Firmy takie skorzystają również na internetowym repozytorium projektów, kodu programistycznego, ułatwiających współpracę wielu pracowników etatowych i zdalnych nad tworzonymi rozwiązaniami. Jednocześnie firma może zrezygnować z utrzymywania stacjonarnego serwera poczty elektronicznej, serwera FTP czy VoIP.

Jeśli chodzi o aplikacje komputerowe, to nie zawsze migracja jest łatwa, szczególnie gdy firma ma programy dedykowane. Jednak jest już wiele obszarów pokrytych przez usługi w chmurze – pisanie dokumentów, zarządzanie finansami, relacjami z klientami czy prezentacjami. Oprócz typu danych i procesów, które przeniesiemy do chmury należy zastanowić się też nad skalą chmury, jaka jest potrzebna, i parametrach niezbędnych do konkretniej usługi, np. backupu czy
instalacji Sharepointa”.

Korzyści z przejścia w chmurę

Trzymanie serwera w biurze zawsze wydawało się atrakcyjnym pomysłem. Jednak jeśli pomyślimy o tym dokładniej, wcale takie nie jest. Serwer wymaga ciągłego nadzoru administratorów, którzy dbają o wiele aspektów poprawnego jego działania:
• sprzętu (który w przypadku awarii musi zostać zastąpiony nowym),
• monitorowania (aby reagować na sytuacje przed ich wystąpieniem),
• aktualizowania i rozwiązywania konfliktów (tak by oprogramowanie było bezpieczne i niepodatne na ataki hakerów),
• oraz prowadzenia innych cyklicznych, żmudnych prac, których regularność jest kluczem do poprawnego i bezpiecznego działania usług.

Ostatecznie administratorzy wielu firm poświęcają czas na powtarzalne czynności, podczas gdy użytkownicy systemu nie mają do kogo zgłosić się po pomoc.
Przeniesienie danych i systemów do chmury sprawia, że firma zostaje odciążona od działań administracyjnych. Tym samym informatycy w firmie mają o wiele więcej czasu na doglądanie systemu, diagnozowanie problemów wykraczających poza te zwyczajowe i pomocy użytkownikom. W ten sposób wartość pracy działu informatyki rośnie zarówno w oczach pracowników, jak i w efektach finansowych, które wyrażają się przez sprawniejsze zarządzanie zasobami cyfrowymi firmy i wdrażaniem metod ich lepszego wykorzystania.


Oszczędności

Jednocześnie chmura jest wyjątkowo elastyczna, jeśli chodzi o zmiany rynkowe i biznesowe. W przypadku znacznego zwiększenia zapotrzebowania na miejsce administrator jest w stanie zrealizować potrzeby pracowników w zaledwie kilka minut, zmieniając odpowiednie ustawienia. Gdy natomiast potrzeby firmy kurczą się i przychodzi czas na oszczędności, równie prosto można zmniejszyć zużycie zasobów takich jak pamięć RAM czy liczba procesorów na serwerach w chmurze, aby w następnym miesiącu dostać dużo niższą fakturę.

Niektórzy mówią, że dane w chmurze są mniej bezpieczne. Inni mówią, że nie trzeba być pilotem samolotu, aby czuć się w nim pewnie. Ale tak jak pilotowi powierzamy swoje bezpieczeństwo, tak firma, polegając na usługach dobrego dostawcy chmury, zwiększa swoje bezpieczeństwo. Szczególnie wtedy gdy weźmiemy pod uwagę dynamiczny rozwój zagrożeń w Sieci, na które firma hostingowa potrafi szybciej reagować niż ograniczony personalnie zespół pracowników działu IT.

Jeśli więc zadbamy o wybranie dobrego usługodawcy, który stawia kwestię bezpieczeństwa wyżej niż nasza firma, możemy czuć się bezpiecznie. Gdy nasze dane zostaną przeniesione do chmury, będziemy mieli do nich dostęp z każdego miejsca na świecie i na wiele sposobów – nie tylko z komputera, ale też urządzeń mobilnych. Synchronizacja plików między komputerami, przesyłanie megabajtów załącznikami do e-maili odejdzie do lamusa, a pracownicy firmy zwiększą swoją efektywność pracy na zasadzie tych samych reguł, które sprawiły, że całe społeczeństwo stało się bardziej efektywne przez chmurę zwaną Internetem.

Jakie są zagrożenia?

Przeniesienie danych do Internetu rodzi pewne obawy, których nie da się zignorować. Firmy poważnie podchodzą do tajemnicy ich informacji, które stanowią podstawę działania na rynku. Lista klientów, dane finansowe, wyniki badań, projekty badawcze, patenty czy strategie rynkowe – to tylko kilka rodzajów treści, które nie mogą zostać pod żadnym pozorem ujawnione na rynku silnie konkurujących podmiotów.
Przeniesienie danych firmowych do chmury rodzi od razu pytanie: na ile treść umieszczona na publicznym serwerze dostępnym w Internecie będzie bezpieczniejsza od komputera stojącego w biurze firmy zamykanym na klucz i oddzielonym przez bezpieczny punkt dostępu od Internetu. W jaki sposób dane przesyłane między pracownikami przez publiczne serwery mają być bezpieczniejsze od danych przesyłanych kablem pomiędzy komputerami stojącymi w biurze?

Niewątpliwie, aby firma mogła korzystać z chmury, odpowiedzi na te pytania muszą zostać udzielone, a dane o wiele bardziej zabezpieczone niż w środowisku sieci lokalnej. W Sieci bowiem, oprócz osób postronnych, są też hakerzy chętni do kradzieży danych gospodarczych, konkurencja, wirusy, trojany, prawnicy i organizacje zrzeszające twórców – wszyscy oni mogą doprowadzić do przecieków danych, przejęcia ich albo zablokowania usług. Dlatego też ważne jest upewnienie się, że wybrany dostawca chmury wie, jak bronić się przed tymi zagrożeniami z należną starannością.

Dostęp do chmury

Jeśli mielibyśmy umieścić dane w chmurze, ważne jest też to, abyśmy mieli łatwy do niej dostęp. Firma pracująca osiem godzin dziennie (albo nawet więcej w trybie pracy wielozmianowej) musi mieć pewność, że gdy rano wszyscy do niej przyjdą i włączą komputery, będą mieli dostęp do kontaktów do klientów, dokumentów i innych treści. W końcu, jeśli już wszystko przeniesiemy do chmury, chcielibyśmy móc na niej polegać bez posiłkowania się dokumentami papierowymi w stopniu, w jakim czynimy to teraz.Zdecydowanie niedopuszczalna jest wtedy sytuacja utraty danych. Skoro dane nie będą miały odpowiedników papierowych, lokalnych, muszą być absolutnie bezpieczne. Najlepiej gdyby chmura dbała o integralność treści, tworzenie kopii zapasowych i przywracania w razie awarii.

W przypadku danych przechowywanych na dysku lokalnym ryzyko ich utraty jest duże bez odpowiedniego monitoringu. Przeniesienie ich do chmury powoduje, że mogą one być na wiele sposobów zabezpieczane, a stopień bezpieczeństwa zależy tylko i wyłącznie od tego, jak wysoki standard chce uzyskać firma. Jednocześnie uzyskanie takiego stopnia zabezpieczenia danych nie wymaga uciążliwych prac, od których starannego i regularnego wykonania zależy bezpieczeństwo całej firmy. Proces zabezpieczania danych przed utratą w chmurze jest o wiele prostszy do realizacji niż w biurze.

Jednocześnie z bezpieczeństwem danych u usługodawcy wiąże się bezpieczeństwo w kontekście ich przenoszenia. Powodem, dla którego firmy wolą stawiać własne serwery, jest to, że mają nad nimi całkowitą kontrolę. Mogą je przenosić, modyfikować i pobierać wedle uznania. Dla firmy chcącej przenieść dane do chmury ważne jest to, aby mogła w każdej chwili uwolnić się od usługodawcy, aby mogła pobrać swoje dane albo przenieść je do innej chmury.
Standardy przenoszenia danych między chmurami nadal są rozwijane. Obecnie jednak dla firmy jest ważne to, aby firma dostarczająca chmurę miała opracowane procedury przekazywania danych. Firma może chcieć zrezygnować z chmury i uzyskać swoje gigabajty danych – dostawca chmury musi wiedzieć, jak je dostarczyć. Gdy firma chce przenieść dane do innego usługodawcy, dostawca chmury musi mieć gotowe procedury przekazywania danych do innego usługodawcy. Nie chodzi tutaj też o czyste dane, np. pliki, ale również dane programów księgowych, dane osobowe czy dane o kontaktach biznesowych. W ich przypadku może być potrzebne sprostanie pewnym normom odnośnie do migracji i przenoszenia albo udostępnienie przez usługodawcę w standardowym formacie obsługiwanym przez więcej usługodawców. „Dla przykładu firma Cal.pl przenosi dane ze swoich standardowych hostingów do chmury w trybie 1:1, podczas gdy przenoszenie danych z chmury Cal.pl do innej odbywa się za pomocą standardowych protokołów.

Co firmy chmurowe robią żeby się chronić?

Dostawcy chmur w różny sposób chronią dane, które przechowują. Znajomość tych metod pozwala w dużym stopniu ocenić bezpieczeństwo rozwiązania. Po pierwsze, liczy się sposób, w jaki fizycznie chronione są serwery. Gdzie zostały one zlokalizowane? Czy dostęp do nich mają jedynie zaufane osoby po potwierdzeniu swojej tożsamości? Jak pomieszczenia serwerowe zabezpieczone są przed pożarem i innymi kataklizmami? W jaki sposób dostarczany jest i zabezpieczany prąd oraz dostęp do Internetu?
Ponadto, ważne jest to, co robi usługodawca, by ratować dane w przypadku awarii. Czy i jak dyski serwerów są monitorowane na wypadek awarii? Czy tworzone są sumy kontrolne i kopie zapasowe? Czy kopie znajdują się fizycznie na innych maszynach, najlepiej w innej lokalizacji, tak aby w przypadku np. pożaru nie utracono kopii? Czy jeśli jedno centrum danych ulegnie awarii, jest kto przejąć po nim zadania?
Jeśli miejsce przechowywania i dostępu do serwerów jest zabezpieczone fizycznie, trzeba też spojrzeć na bezpieczeństwo informatyczne w dwóch aspektach:
• po pierwsze, nawet jeśli ktoś będzie miał dostęp do dysków serwera, nie może móc ich odczytać, a więc dane muszą być odpowiednio dobrze szyfrowane, aby nawet w przypadku kradzieży nie zostały odczytane,
• po drugie, dane między serwerami a pracownikami wędrować będą przez publiczne łącza Internetu. Mogą one być podsłuchiwane zarówno w pobliżu firmy, serwerowni albo w dowolnym węźle je przesyłającym. W przypadku publicznego Internetu treści o tym, jakie strony oglądamy czy jakie e-maile wysyłamy, często wędrują w postaci jawnej możliwej do odczytania. W przypadku danych firmowych tak być nie może. Wszystkie dane muszą być szyfrowane i to w stopniu uniemożliwiającym złamanie zabezpieczeń w najbliższej, dającej się przewidzieć, przyszłości.
Na szczęście jest kilka sposobów, aby ocenić, jak bardzo usługodawca zadba o dane firmowe, zanim skorzystamy z jego usług.

Jak można sprawdzić usługodawcę?

Na ocenę usługodawcy wpływają aspekty wewnętrzne i zewnętrzne jego funkcjonowania. W skład tych pierwszych należy zaliczyć takie, które odnoszą się również do innych firm: jak długo funkcjonuje ona na rynku i czy zatrudnia nowe osoby. Te dane potrafią pokazać nam, na ile daje ona szanse na długotrwałą współpracę.

Dalej należy sprawdzić, czy usługodawca przeprowadza audyty swoich usług. W ten sposób inna firma potwierdza pewien standard pracy. Na rynku istnieją też różne certyfikaty, które usługodawca może uzyskać po wdrożeniu odpowiednich norm, również odnośnie do hostingu w chmurze.

Jakiś pogląd na działanie firmy mogą dać również artykuły prasowe, ale należy do nich podchodzić sceptycznie. Czy firma doświadczała wcześniej naruszeń bezpieczeństwa albo wycieków? Jak reagowała w takich sytuacjach? W jaki sposób sprawę komentowali jej klienci? Czy firma ma dobre wyniki dostępności w badaniach realizowanych przez firmy zewnętrzne? Te dane można zebrać samemu i uzyskać pewien obraz działania przedsiębiorstwa.

Teraz przyjrzyjmy się poszczególnym dostawcom chmury w Polsce i na świecie.

Amazon

Chmura Amazon AWS jest jedną z bardziej popularnych. Posiada certyfikat organizacji usługi SAS70, certyfikat bezpieczeństwa systemu zarządzania informacjami ISO 27001, certyfikat standardu bezpieczeństwa danych DSS oraz certyfikat uprawniający do używania chmury w części zadań amerykańskiej administracji. Komputery znajdują się w serwerowniach należących do firmy, a wiedza o ich lokalizacji jest znana tylko uprawnionym osobom, tak samo jak dostęp do nich.

Jeśli chodzi o stronę informatyczną, również zadbano o bezpieczeństwo: dane w chmurze AWS mogą być szyfrowane. System zarządzania tożsamością i dostępem (IAM) służy do tworzenia dowolnej liczby kont użytkowników z różnymi hasłami i poziomami uprawnień. Z kolei aby zabezpieczyć dostęp do ustawień firmowej chmury, można zapisać się do wieloczynnikowej autentykacji (MFA). Wtedy aby wejść do ustawień chmury, należy oprócz loginu i hasła z odpowiednimi uprawnieniami podać jeszcze token uzyskany z przenośnego generatora haseł.

Azure

Azure jest chmurą oferowaną przez Microsoft. Wszystkie dane między komponentami systemu przesyłane są w postaci zaszyfrowanej. Aby zmniejszyć ryzyko ataków przeprowadzanych przez konta użytkowników, otrzymują oni na początku najniższe potrzebne uprawnienia. W ten sposób potencjalny atak hakerski wymaga od przestępcy również zdobycia wyższych uprawnień.

Aby uniknąć przejmowania dostępu z jednego VM (Virtual Machine) do innego, główny VM jest oddzielony od VM-ów gości. Wart odnotowania jest mechanizm pełnego kasowania zgłoszonych danych. W momencie, gdy pliki zostaną wybrane przez użytkownika do skasowania, są one usuwane poprawnie ze wszystkich serwerów, na których występują. Także w Azure nie mogą wystąpić takie problemy jak nieskasowane zdjęcia (z czym boryka się np. Facebook).

iCloud

Kolejną ciekawą z punktu widzenia bezpieczeństwa chmurą jest iCloud od Apple. Jest to względnie nowa usługa. Dokumenty, kopie zapasowe, kontakty, kalendarze i inne treści są przesyłane między chmurą a urządzeniami Apple przez szyfrowane połączenie SSL. Tak samo dane na serwerach Apple są szyfrowane.
Dostęp do danych odbywa się przez odpowiednie aplikacje używające tokena dostępu otrzymanego po wprowadzeniu przez użytkownika przynajmniej ośmiocyfrowego hasła. Żeby pracownicy mogli bezpiecznie korzystać z urządzeń Apple do działań biznesowych, trzeba opracować odpowiednią politykę zachowania. Dla przykładu, oprócz aplikacji Apple mogą oni instalować aplikacje firm trzecich. W takim wypadku należałoby upewnić się przedtem, że twórca takiej aplikacji zadbał o szyfrowanie i bezpieczne przechowywanie danych na poziomie wymaganym przez daną organizację. Dużym ułatwieniem w tym obszarze jest weryfikacja aplikacji dodawanych do Apple Store przez zespół firmy Apple.

Cal.pl

Również na naszym rodzimym rynku znajdują się komercyjne chmury. Jedną z nich oferuje Cal.pl pod nazwą Cloud Server. Firma INFO-CAL działa na rynku od 1994 roku. Serwerownia znajduje się w Niemczech, jest wyposażona w system przeciwpożarowy, całodobowy monitoring, a do pomieszczeń mają dostęp jedynie uprawnione osoby wyposażone w karty magnetyczne. Dostawy prądu zabezpieczane są przez UPS-y i tworzone są kopie zapasowe przechowywanych danych. Dostępność serwerów wynosi 99,9%.

Dane w chmurze muszą być odpowiednio zabezpieczone – szczególnie gdy dotyczy to informacji poufnych, firmowych czy prywatnych i wrażliwych. O usłudze Cal.pl dobrze świadczy stosowanie się do standardów wyznaczonych przez GIODO. Opisują one, w jaki sposób przechowywane i przetwarzane powinny być dane osobowe. Ich spełnienie jednak dowodzi, że równie wysoki standard bezpieczeństwa wyznaczony przez GIODO chroni wszystkie dane firmowe znajdujące się w chmurze Cal.pl.
W ramach usługi Cloud Server otrzymujemy dostęp przez secure shell (ssh). Secure shell sprawia, że wszystkie dane przesyłane między klientem a chmurą są szyfrowane i nikt nie jest w stanie ich odczytać. Można więc bezpiecznie zarządzać chmurą niezależnie od rodzaju zabezpieczenia połączenia do Internetu.

Michał Trziszka (Cal.pl)

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ