Dimension Data: Je na zákazníkovi, aby se chránil před riziky cloudu

( 7 hlasy )

parapleAno, cloud computing zřejmě nabídne významné úspory firmám, které se rozhodnou nakupovat software, infrastrukturu, nebo platformu od externích dodavatelů a za služby budou platit průběžně. Využíváním cloudů mohou získat rychlý přístup k těm nejlepším obchodním aplikacím nebo prudce navýšit využití zdrojů vlastní infrastruktury, a to za minimálních nákladů.

Takže cloudem opravdu stojí za to se zabývat. A, podle všeho, mnoho firem tak činí.

Podle celosvětového průzkumu IDG mezi 100 bezpečnostními manažery více než 30% velkých podniků má některé své obchodní aplikace v cloudu. Více než třetina firem během posledních dvou let zvýšila své využití cloud computingu. Zajímavější ovšem je, že dvě třetiny dotazovaných organizací nemají pro cloud computing vytvořenu bezpečnostní strategii. A právě to je velký problém cloud computingu, protože otázka bezpečnosti cloud technologií je mnohem komplexnější a v ohrožení jsou mnohem širší oblasti, než tomu bylo u tradičních IT systémů.

Ze všech oblastí rizik je tím největším to, že u cloud poskytovatelů firmy nemají kontrolu nad tím, kde jsou jejich data umístěna, jak se s nimi zachází, jak se dají zrušit, nebo kdo k nim má přístup. Samozřejmě existují způsoby, jak tato rizika snižovat – ten hlavní spočívá ve spolupráci se systémovým prostředníkem, který je schopen firmu zastupovat při řízení externích systémů nebo poskytovatelů.

Nicméně existuje ještě jeden zádrhel. Přestože zadávající firma nemá pod kontrolou ani samotnou cloud technologii, ani jí nemůže přímo řídit, je i tak zodpovědná za schopnost snížit bezpečnostní rizika na minimum.

 

„Don’t outsource what you don’t uderstand“

Proč? Tak předně proto, že cloud poskytovatelé určitě nebudou měnit svá bezpečnostní nastavení na požádání. Firmy tedy potřebují jasně rozumět svým bezpečnostním požadavkům před tím, než začnou oslovovat dodavatele, aby mohly vybrat toho, který jejich podmínky splní nejlépe.

To ovšem znamená, že zadávající organizace potřebují zhodnotit svá vnitřní rizika, vytvořit jakýsi scénář založený na požadovaných organizačních změnách i odhadované úrovni dalších rizik nutných k rozvoji obchodu – a potom výsledky této analýzy použít ke kontrole funkčnosti vlastních bezpečnostních opatření.

Zároveň taková analýza odhalí, jaké bezpečnostní opatření bude muset přijmout dodavatel, aby firemní data byla v bezpečí. Dále je to otázka zmapování bezpečnostních potřeb organizace s ohledem na možnosti dodavatele. Ale tím zodpovědnost za bezpečnost nekončí.

Neexistují žádné specifické počítačové standardy pro cloud computing. IBM, Cisco, SAP, EMC a další vůdčí technologické společnosti oznámily v květnu 2009 vytvoření „Open Cloud Manifestu“, který volá po důsledné bezpečnosti a monitoringu cloud služeb. Ovšem to, že Amazon.com, Google nebo Salesforce.com se k jeho podepsání nepřipojily, svědčí o tom, že široká shoda všech hráčů je zatím v nedohlednu. Microsoft se také neúčastnil, s tím, že se prý IBM snaží protlačit vlastní zájmy.

Pro srovnání, „Společnost pro bezpečný cloud“, jejímž cílem je „podpora využití best practices pro zvyšování bezpečnosti cloud služeb a poskytování vzdělávání v oblasti využívání cloud computingu, už zaznamenala jisté pokroky v dokumentaci klíčových problémů a navrhování některých řešení.

Nicméně nedostatek obecně akceptovaných standardů znamená, že zadávající organizace se nemohou spoléhat na své dodavatele v základních oblastech zabezpečení – ani na to, že by nějaký oborový orgán reguloval zabezpečení cloudů.  To v důsledku znamená, že firmy si budou muset pohlídat zabezpečení u svých poskytovatelů samy.

 

Seznam

Vytvořit kompletní seznam je trošku komplikovanější, než by si mohlo zdát, protože existuje nejméně patnáct disciplín ve třech navzájem se prolínajících skupinách, které je potřeba zmínit.

První skupina se zabývá právem a uchováváním dokumentů, riziky a dodržováním norem, zahrnuje otázky auditu, business continuance a obnovu procesů při nehodě, principy odezvy a reakce na nežádoucí příhody.

Druhá skupina se zabývá architekturou a procesy, a zahrnuje bezpečnostní architekturu, management informačního životního cyklu, součinnost a přenositelnost, operace datového centra, ukládání dat a  virtualizaci.

Skupina tři se zabývá řízením identity a přístupu, a zahrnuje šifrování a bezpečnost aplikací.

Většina firem je schopna jenom s obtížemi získat a následně udržet kapacity na zajištění výše uvedených oblastí i v rámci své vlastní organizace, nemluvě o zajištění téhož u externích dodavatelů. Navíc, každá z výše uvedených oblastí je ovlivňována faktory, které odlišují cloud technologie od tradičních modelů. Mezi nimi je „abstrakce“ infrastruktury, demokratizace zdrojů, architektura orientovaná na služby, elasticita a dynamičnost zdrojů, a model využívání a alokace zdrojů.

Situaci dále komplikuje fakt, že cloud nabízí hned tři různé modely zprostředkování služeb: Infrastructure as a Service (IaaS), Platform as a Service (PaaS), and Software as a Service (SaaS) – a navíc ještě čtyři možnosti nasazení: privátní, veřejné, řízené, a hybridní. Je naprosto klíčové chápat nutnost vyvážení otevřenosti systému a nároků na jeho bezpečnost v rámci tří možných servisních modelů:

SaaS (Software as a Service) nabízí nejmenší otevřenost a největší díl zodpovědnosti za bezpečnost nechává na cloud poskytovateli, což znamená, že firemní oddělení bezpečnosti ztrácí kontrolu nad:

  • Fyzickými a logickými bariérami v síti
  • Omezením a řízením na koncových bodech
  • Autentikace bez hesla
  • Procesy (pře)nastavování hesel
  • Odhalováním odchylek/nepravidelností v reálném čase
  • Zaznamenávání událostí

Pro srovnání, IaaS (Infrastructure as a Service) nabízí největší otevřenost s tím, že cloud poskytovatel přijímá jenom minimální zodpovědnost za zabezpečení. PaaS (Platform as a Service) leží někde uprostřed, s tím, že zákazník musí vyvážit jak otevřenost systému, tak jeho zabezpečení. Poskytovatelé SaaS a PaaS se chlubí robustními systémy, a často budou tvrdit, že zabezpečení cloud technologií je dokonalejší než u většiny firem. Ale faktem je, že každý bezpečnostní systém, který kdy byl narušen, byl dříve považován za neprostupný.

Například služba Gmail od Google zkolabovala v Evropě v roce 2009. V roce 2007 byl jeden ze zaměstnanců Salesforce.com podveden phishing útokem tak, aby zveřejnil firemní hesla. A nedávno se EC2 služba od Amazon stala cílem zombie útoku.

 

Jak mít vše pod kontrolou

Je nutné začít s úplnými základy. Ponořit se příliš brzy do technických detailů znamená zastřít podstatu skutečných problémů. Ve své zprávě z června 2009 „Hodnocení rizik Cloud computingu“ Gartner uvádí, že rozumní zákazníci si budou klást těžké otázky a budou zvažovat zadání hodnocení nezávislé třetí straně před tím, než se zavážou ke spolupráci s konkrétním cloud poskytovatelem.

Due Diligence

Určitě. Proveďte dalekosáhlou a hlubokou analýzu cloud poskytovatele, se kterým byste rádi spolupracovali.

Smlouvy

Jak je často zvykem u nových technologií, právo za vývojem cloud technologií pokulhává. Otázkou také zůstává místo jurisdikce. Data mohou být chráněna v jedné zemi, ale ne v zemi jiné. V mnoha případech uživatelé cloud služeb ani nevědí, kde jsou jejich informace uloženy. I proto si firmy musí zapamatovat, že smlouvy jsou klíčové pro případný mechanismus vymáhání nároků, a musí tedy být vyjednané tak, aby odrážely jedinečné potřeby dané organizace stejně jako dynamické rysy cloud computingu. Do jednání o podobě smlouvy zahrňte možnosti plánovaného i neočekávaného ukončení spolupráce a také případné řádné navrácení nebo zneškodnění firemních aktiv.

E-discovery

Je velkou ironií, že zatímco cloud poskytovatelé jsou strážci hlavních dat, jejich zákazníci, kteří tato data vlastní, nesou právní zodpovědnost za jejich uchovávání a schopnost taková data na požádání předložit pro právní úkony (e-discovery). Je proto naprosto nezbytné, aby zákazníci a cloud poskytovatelé měli společně jasnou představu o tom, jaké jsou jejich role a zodpovědnosti s ohledem na e-discovery, včetně takových věcí jako jsou procesy uchovávání dat pro účely soudního řízení a nebo opatření pro expertní svědectví.

Standardy

Při absenci bezpečnostních směrnic specifických pro cloud by se organizace měly ujistit, že jejich dodavatelé splňují alespoň auditorský standard SAS70 a ISO27001, který obsahuje základní principy auditu třetí stranou a který zastává zásady OECD zabývající se bezpečností informací a síťových systémů. Je také obzvláště důležité, aby zákazníci roztřídili data a systémy a tak porozuměli požadavkům na jejich soulad se směrnicemi. Musejí také znát umístění dat – obzvláště co se týče pořizování a následné kontroly zkopírovaných dat. A navíc se musejí být schopny na požádání podrobit auditu, s tím, jak velmi rychle se mění regulační požadavky a zároveň obchodní potřeby každé firmy.

Soukromí

Je klíčové, aby zadávající organizace rozuměly, že svěřená data mají ze své podstaty určitá omezení týkající se ochrany soukromí. Je možné, že cloud poskytovatel nebude mít povolení vlastnit data bez toho, aniž by jejich správa neměla jasně vytyčená pravidla. Navíc, co se týče soukromí, je často pro cloud poskytovatele snazší prokázat správu dat, a ne jejich zničení.

Business continuity

Co se týče náprav škod a následného pokračování obchodního procesu, architektura infrastruktury u cloud technologií se přirozeně bude lišit. Všichni ale budou muset být schopni prokázat celkové rozřadění systémů, sítí, managementu, nákupu, a zaměstnanců. No a samozřejmostí by také měly být zákazníkovy vlastní plány na BC zahrnující dopady a limity cloud computingu.

Vývoj aplikací

Co se týče bezpečnosti aplikací, pamatujte na to, že IaaS, PaaS, and SaaS vytvářejí každý různé hranice pro životní cyklus vývoje softwaru, a je proto potřeba s nimi počítat během vývoje, testování, a zavádění všech obchodních aplikací.

Identita

Klíčem ke správě identit u cloud poskytovatelů je robustní architektura řízení identity i firemní strategie. Zvažte zavedení Single Sign-on (SSO) pro interní aplikace a potom této architektury využijte pro cloud aplikace. Navíc, cloud poskytovatelé s nabídkou “Identita jako služba” mohou být zajímaví pro outsourcing některých úkonů v oblasti identity a podporovat management identity ve spojení s cloud poskytovateli.

Virtualizace

Konečně, přestože organizace by měly zabezpečit virtualizované operační systémy s pomocí  technologií třetích stran, přidat tak další úroveň ochrany a snížit závislost na samotném poskytovateli platformy, sama virtualizace nabízí mnoho výhod v oblasti bezpečnosti – například tvorbu izolovaných prostředí a lépe definovaný prostor pro paměť – což může výrazně snížit nestabilitu systému a zjednodušit proces znovuobnovení.

Nejdřív je trénink...

Asi nejzákladnější pravidlo cloud bezpečnosti je zvolit si pro začátek privátní cloud – virtualizováním základních firemních operací a využívání interních, a tedy autorizovaných, zaměstnanců – za účelem vytvoření funkční cloud metodologie, která posléze může být rozšířena na veřejný cloud, pokud a až to bude potřeba.

Pro přidání komentáře je nezbytné se registrovat.registrace

Cloud.cz (www.cloud.cz), server o Cloud computingu. | Sitemap | RSS - cloud.cz | EMC Showcase