Gartner: Sedm rizik cloud computingu

( 6 hlasy )
kruhCloud computing začíná srovnávat krok s potřebami firem; než však podlehnete trendu "cloud", měli byste znát jeho specifická bezpečnostní rizika.

Cloud computing sužuje mnoho bezpečnostních rizik. Uvědomělí zákazníci proto budou klást svým poskytovatelům těžké otázky a zvažovat bezpečnostní hodnocení od neutrální třetí strany před tím, než se konkrétním cloud poskytovatelům zavážou, říká Gartner v červnově zprávě nazvané „Hodnocení bezpečnostních rizik Cloud computingu“

Podle Gartner se cloud technologie vyznačují některými specifickými atributy, a nutně tedy podléhají potřebě hodnocení bezpečnostních rizik v oblastech jako je integrita dat, obnova nebo ochrana soukromí dat, a nebo v právních záležitostech týkajících se například e-discovery, plnění nařízení a norem či auditů.

Jako příklad cloud technologií, které nabízejí externím zákazníkům snadno škálovatelné IT kapacity přes Internet, uvádí Gartner EC2 službu od Amazonu nebo Google App Engine od Google.

Zákazníci musí vyžadovat transparentnost, a vyvarovat se těch obchodníků, kteří nebudou ochotni poskytnout detailní informace o svých bezpečnostních programech. Firmy by se proto měly obeznámit s odbornou kvalifikací tvůrců bezpečnostních politik, architektů, programátorů a provozovatelů, stejně jako nastavením procesů kontroly rizik. Nemělo by se zapomínat ani na kontrolu úrovně testování, což ověří nejenom fungování služby samotné, ale i chod kontrolních procesů, včetně schopnosti poskytovatelů identifikovat neočekávaná slabá místa.

Zde je seznam sedmi specifických bezpečnostních rizik, které Gartner doporučuje svým zákazníkům zvážit před tím, než se rozhodnou pro konkrétního cloud poskytovatele.

1. Privileged user access.

Externě outsourcované služby v oblasti zpracování citlivých dat se vymykají kontrolám, které za normálních okolností IT oddělení využívají u interních in-house programů. Proto je nutné zjistit si o lidech, kteří budou spravovat vaše data maximum informací, včetně těch, které se týkají výběru konkrétních administrátorů a kontroly jejich přístupu k vašim datům.

2. Regulatory compliance.

Zákazníci jsou ve finále vždy zodpovědní za bezpečnost a úplnost svých vlastních dat, byť by byla ve správě poskytovatelů služeb. Spolehliví poskytovatelé služeb jsou podrobováni externím auditům a nepochybně se nebudou bránit prokázat svou schopnost data zabezpečit. Naproti tomu těm poskytovatelům, kteří se kontrolám auditu brání, by se firmy měly raději obloukem vyhnout.

3. Data location.

Při využití cloud platformy nebudete vědět, kde se vaše data nacházejí – nejspíš nebudete znát ani zemi, v které jsou uložena. Gartner proto radí, abyste si od svého poskytovatele vymohli závazek k ukládání a zpracovávání dat pod jurisdikcí konkrétní země, a smluvně se dohodli i na dodržování místních požadavků uchování důvěrných informací klientů.

4. Data segregation.

Firemní data se v cloudu obvykle nacházejí ve sdíleném prostředí ve společnosti dat od ostatních zákazníků. Šifrování je efektivní, ale není to všelék. Podle Gartnera navíc někdy můžou šifrovací selhání data úplně znehodnotit, a i normální šifrování může zkomplikovat dostupnost. Cloud provider by měl tedy firmě poskytnout důkaz toho, že šifrovací protokoly byly navrženy a testovány zkušenými profesionály.

5. Recovery.

Váš cloud poskytovatel by vám měl dát vědět, co se s vašimi daty a službami stane v případě nějaké nehody. Podle Gartner jsou totiž řešení postrádající schopnost replikace dat a aplikací vystavena ohromnému riziku selhání. Ověřte si proto, zda je váš provider schopen provést kompletní obnovu a jak dlouho by případně trvala.

6. Investigative support.

Pátrat po nežádoucích či ilegálních aktivitách může být v cloud computingu nemožné, varuje Gartner. Protože se zápisy a data od mnoha různých zákazníků často nacházejí na společném místě, a nebo jsou hostována napříč několika měnícími se provozovately, je velmi obtížné cloud služby prověřovat. Firmy by tedy od svých cloud providerů měly vyžadovat podporu konkrétních typů šetření, včetně předložení důkazů o tom, že poskytovatel má s poskytováním tohoto typu služeb zkušenosti.

7. Long-term viability.

Ujistěte se, že váš cloud poskytovatel není v ohrožení bankrotu ani převzetí od jiné firmy. I když se takový scénář může zdát nepravděpodobný, je dobré vědět, že i v takovém případě budou vaše data dostupná. Gartner radí ověřit si u potenciálních dodavatelů, zda by byli v tomto případě schopni získat data zpět a zda by byla dostupná ve formátu, který lze importovat do replikované aplikace.
<
(zdroj www.infoworld.com)

Pro přidání komentáře je nezbytné se registrovat.registrace

Cloud.cz (www.cloud.cz), server o Cloud computingu. | Sitemap | RSS - cloud.cz | EMC Showcase