Fakty i mity bezpieczeństwa w chmurze

0

To jasne, że dla wielu organizacji kwestia bezpieczeństwa usług w chmurze stwarza bariery w jej stosowaniu. W rzeczywistości, ostatnio przeprowadzona ankieta na grupie ponad 300 dyrektorów ds. informatycznych ujawniła, że 78% z nich uważa bezpieczeństwo za główny powód powstrzymujący ich od przejścia do chmury, a w szczególności chmury publicznej.

Przypomina mi się mantra, która stale powtarza się w moich prezentacjach dotyczących bezpieczeństwa: odpowiedzią na pytanie „ile dużo bezpieczeństwa?” jest „wystarczająco.” Oczywiście, opisanie znaczenia „wystarczająco” wymaga trochę pracy. Niestety, przy dostępności tak dużej liczby list kontrolnych dotyczących bezpieczeństwa, kuszącym jest ślepe podążanie za radami kogoś innego – zwłaszcza tymi, które mogą potwierdzać istniejące uprzedzenia. Jest to najgorsza rzecz jaką można zrobić.

Kluczową kwestią, którą należy zapamiętać jest to, że wiele decyzji dotyczących bezpieczeństwa wymaga ustalenia pewnego rodzaju kompromisu. Aby być bezpiecznym w chmurze wymagana jest zamiana jednej formy kontroli na inną. Tradycyjna kontrola jest oparta na lokalizacji: jeżeli wiesz gdzie coś się znajduje i możesz sobie rościć do tego prawo własności, wtedy jest to najprawdopodobniej bezpieczne. Kiedy natomiast nie wiesz gdzie coś się znajduje i wydaje się, że ktoś inny to posiada, wtedy najprawdopodobniej nie jest to bezpieczne.
W chmurze, koncepcja bezpieczeństwa opartego na lokalizacji staje się nieaktualna. Nie jesteś w stanie określić dokładnego miejsca, w którym znajdują się twoje dane (budynek, pokój, półka, jednostka, napęd). Lecz jest to jak najbardziej pozytywna rzecz! Ktoś inny jest opiekunem twoich danych – ktoś, kto zapewne posiada większy budżet oraz większą liczbę pracowników odpowiedzialnych za ich ochronę przed atakami zewnętrznymi, ze strony innych klientów, a nawet ze strony samego dostawcy. Czy to oznacza, że osiągnięcie obiecywanych korzyści wynikających z chmury wymaga całkowitej rezygnacji z bezpieczeństwa?
Nie. Wymiana, której dokonujesz wymaga zmiany twojego rozumienia kontroli. Rezygnujesz ze starego modelu bazującego na lokalizacji, a w zamian za to przyjmujesz nowy. Ten nowy model jest zbudowany z poziomów bezpieczeństwa podlegających kontroli, technologii dla prywatności plus ochrony integralności (tj. szyfrowanie plus podpis elektroniczny) oraz ustaleń na poziomie serwisu. Możesz zachować kontrole – oraz własność – nad danymi, nawet wtedy gdy nie masz kontroli – lub własności – nad infrastrukturą. Pod jednym względem, ten model nie jest nowy: używamy go chociażby w przypadku łączności. Tam gdzie dzielenie się łączami (Internetem) zastąpiło dedykowane łącza (wydzierżawione linie) polegamy na dokładnie tym samym modelu, aby przesyłane dane były bezpieczne. Model ten rozszerza się również do przetwarzania i przechowywania danych.

Jednakże, istnieje również kolejny czynnik, który lubię nazywać bezinteresowną stroną trzecią. Dostawcy chmury nie znają kontekstu twoich danych oraz nie wiedzą jak dużą wartość posiadają one dla ciebie. Pozwala to istotnie zredukować zagrożenia wewnętrzne. Ale czy zależy im na bezpieczeństwie twoich danych? Podobnie jak uliczni sprzedawcy żywności w Bangkoku, którzy rozumieją, że ich środki życiowe są zależne od nie zrobienia krzywdy swoim klientom, tak samo dostawcy chmur rozumieją, że w ich interesie jest wdrożenie kontroli, która wymusza rozdział pomiędzy ich zadaniami administracyjnymi, a danymi klientów. Dodatkowo, ta forma kontroli sprawia, że chmura staje się trudną platformą dla przestępców, którzy próbują kraść dane lub dokonywać ataków.

Dostawcy pracują nad zbudowaniem wielkiej skali, z maksymalną możliwą automatyzacją: mniej ludzi oznacza mniej okazji do popełnienia błędów, a to wpływa na wzrost bezpieczeństwa. Zasadniczo pytanie: „jak dużo bezpieczeństwa?” nie jest właściwe. Powinieneś raczej zadać sobie pytanie: „jak dużo ryzyka?” Decyzje dotyczące bezpieczeństwa, kierowane przez analizę ryzyka zawsze tworzą właściwą równowagę oraz pozwalają dokonać wyboru właściwych kompromisów. Dyrektorzy ds. Informatycznych oraz ds. bezpieczeństwa, namawiam was abyście skontaktowali się z dyrektorami ds. bezpieczeństwa waszych dostawców i zapytali ich o strategie minimalizacji ryzyka – ci stawiający na dobre relacje z klientem będą chcieli podzielić się z wami tymi informacjami ponieważ wiedzą, że w ten sposób mogą zyskać wasze zaufanie. Odkryjesz zapewne, że przewidzieli oraz zminimalizowali ryzyka, o których istnieniu nie miałeś pojęcia.

Chmura doskonale rozwiązuje wiele problemów i wciąż się rozwija. Porównując ją do tego co było kilka lat wstecz, dziś oferta jest bardziej urozmaicona, elastyczna i pochodzi od dobrze znanych i zaufanych firm. Jeśli chmura staje się coraz bezpieczniejsza, a co za tym idzie zauważamy wzrost zainteresowania nią przez coraz większą liczbę osób, zapewne staje się więc również wystarczająco dobra dla reszty z nas.

Jacek Kuźmicki, Dyrektor d/s Strategii i Rozwoju Biznesu, Riverbed Technology

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ