Virtual-IT.pl - wirtualizacja cloud computing storage data center

Artykuły

Jak dbać o bezpieczeństwo chmury i usług chmurowych?

Chmura BezpieczeństwoJakie są realia współczesnej chmury? Co musiało ulec zmianie, by chmura nadawała się do zastosowań wymagających wysokiego stopnia bezpieczeństwa? I co jest wymagane oraz zalecane, aby krytyczne funkcje biznesowe oraz poufne dane były skutecznie chronione w chmurze? To tylko kilka z kluczowych pytań, które warto sobie zadać w kontekście bezpieczeństwa w chmurze.


Czarne prognozy z początku ery chmurowego przetwarzania danych ustąpiły bardziej wyważonym opiniom: w niektórych obszarach chmura może rzeczywiście zapewnić znaczne korzyści w porównaniu z tradycyjnym modelem firmowego IT. Jak to jednak bywa z wszystkimi nowymi kierunkami, każda moneta ma dwie strony. Przyjrzyjmy się krótko najważniejszym zaletom i wadom, które sprawiają, że chmura budzi tak skrajne opinie.

Przedstawiciele tradycyjnego IT za negatywną stronę chmurowego równania uważają często niedoinformowanych użytkowników, którzy:
• Chaotycznie nabywają usługi chmurowe, nie angażując działu IT w proces decyzyjny
• Omijają lub obchodzą wewnętrzne regulaminy, przepisy i kontrakty, które jawnie określają, jak klasyfikować i chronić poufne dane
• Nie konfigurują usług tak, aby zapewnić choćby podstawowe środki bezpieczeństwa, takie jak mocne uwierzytelnianie, kompleksowe szyfrowanie i rejestrowanie zdarzeń na potrzeby audytu
• Ignorują zasady zarządzania cyklem życia i zarządzaniem portfolio produktów, udostępniając aplikacje i dane bez zwracania uwagi na kontrolę dostępu do nich
• Nie biorą pod uwagę, że usługi chmurowe nie są częścią sieci firmy, więc ich dostępność, prędkość i bezpieczeństwo mają swoje ograniczenia
• Powierzają dane firmie trzeciej, która bywa, że nie jest w stanie chronić ich równie skutecznie, jak firmowy dział IT i pracujący w nim administratorzy.

Jeśli chodzi o pozytywy, być może użytkownicy wcale nie są tacy „niedoinformowani” jak się niektórym wydaje. Profesjonalnie zarządzane usługi chmurowe mogą zwiększyć wydajność, efektywność kosztową i dostosować aplikacje np. do wymogów geograficznych, jednocześnie zapewniając wymagane, transparentne i spójne środki bezpieczeństwa (zgodnie z definicją w warunkach świadczenia usługi). Użytkownicy chętnie korzystają z usług chmurowych, ponieważ nie przypominają one żmudnego i kosztownego modelu wpisującego się w zasadę „jedno rozwiązanie pasuje wszędzie” często promowanego przez dział IT. Usługa chmurowa usuwa wiele niepotrzebnych barier i ułatwia bezpośrednie prowadzenie interesów. Obie strony mają mocne argumenty, a praca nad integracją i automatyzacją wymagań w zakresie zabezpieczenia poufnych danych to właśnie to, czego potrzebuje coraz więcej organizacji.

Jakie są realia współczesnej chmury?
Choć model bezpieczeństwa i kosztów w profesjonalnie zarządzanym środowisku chmurowym jest korzystny dla większości aplikacji i danych, współczesne chmury publiczne nie są panaceum na wszystkie potrzeby. W scenariuszach nieprzyjaznych dla chmury występuje kombinacja następujących czynników takich jak: wrażliwe dane, które nigdy nie mogą opuścić firmy, zobowiązania kontraktowe, które określają sposób lokalnego zarządzania danymi i wymagają kompleksowej kontroli fizycznej, a także wymagania w zakresie dostępu offline. Inne powody do obaw to m.in. nieuczciwi administratorzy, którzy mogą uzyskiwać dostęp do danych i manipulować usługami; dane, które mogą zostać zapisane i przeniesione w dowolne miejsce; oraz konieczność ciągłego szyfrowania danych w trakcie ich przesyłu, w spoczynku i w użyciu. Problemy te niesłusznie przypisuje się tylko chmurze, choć występują one również w typowych firmowych modelach zarządzania zasobami.

Na świecie już znaczna część działalności wielu firm odbywa się w chmurze. Dotyczy to również scenariuszy zakładających przetwarzanie wrażliwych informacji, takich jak obsługa płatności, zarządzanie perspektywami sprzedaży, świadczenia dla pracowników czy zarządzanie kadrami. I tak duże organizacje korzystają z chmury w sposób bardziej taktyczny, z kolei małe i średnie firmy przekonały się, że model chmurowy zapewnia im zasoby oraz strukturę kosztów, dzięki której mogą pozostać konkurencyjne, a jednocześnie uzyskać taki stopień bezpieczeństwa, prywatności i zgodności z przepisami, jakiego nie zdołałyby osiągnąć własnymi siłami.

Chmura w zastosowaniach wymagających wysokiego stopnia bezpieczeństwa - co uległo zmianie?
Dostawcy usług cloud computing, od infrastruktury poprzez platformy, do aplikacji i usług - zajęli się konkretnymi scenariuszami i kwestiami bezpieczeństwa. Dzięki takiemu podejściu udało się opracować rozwiązania chmurowe z certyfikatami PCI DSS i HIPAA. Większość dostawców oferuje też strefy do zarządzania dostępnością zasobów, prywatnością i suwerennością danych, w zależności od przynależności do konkretnych regionów geograficznych. Dostawcy zapewniają także zintegrowane usługi bezpieczeństwa, takie jak brokery zabezpieczeń aplikacji chmurowych (CASB), zapory aplikacji internetowych, zarządzanie zasadami dostępu oraz usługi katalogowe. Zarządzanie środowiskami pozwala na delegowanie uprawnień i ścisłe określenie obszarów odpowiedzialności, co spełnia zasadę jak najmniejszych uprawnień w dostępie administracyjnym. Szyfrowanie stało się rozbudowaną platformą ze zbiorami funkcji zarządzanymi przez klienta. Rygor procesowy, transparentność i bogate funkcje raportowania potwierdzają przydatność profesjonalnie zarządzanej chmury w scenariuszach wymagających wysokiego stopnia bezpieczeństwa. Tym samym chmura stała się platformą dojrzałą z perspektywy bezpieczeństwa.

Zalecenia dotyczące bardziej funkcjonalnych i efektywnych zabezpieczeń chmurowych

Na koniec kilka wskazówek dotyczących umieszczania wrażliwych zasobów w chmurze:
• Należy udokumentować scenariusze bezpieczeństwa, wymagania funkcjonalne, wymagania techniczne, procesy i procedury, które wpływają na decyzje zakupowe. Informacje te należy udostępnić partnerom strategicznym oraz producentom w celu zaplanowania migracji do chmury.
• W przypadkach szczególnych, takich jak PCI, FISMA, HIPAA i geo-prywatność, należy wymagać specjalnej konfiguracji chmury ze szczegółowymi, weryfikowanymi raportami. Należy też uwzględnić takie kwestie, jak obsługa wielu dzierżawców, administracja rozproszona, dostęp osób innych niż pracownicy oraz ograniczanie ryzyka stwarzanego przez strony trzecie.
• Unikanie chmury „z przyczyn bezpieczeństwa” powinno być wyjątkiem, a nie regułą. Wszystkie zastrzeżenia działu IT należy uwzględnić w kompleksowej polityce bezpieczeństwa wspieranej przez technologie i praktyki w ramach modelu chmurowego.
• Należy zdefiniować model wspólnego przepływu pracy administracyjnej dla dostawców oraz właścicieli i dzierżawców aplikacji oraz danych. Trzeba zadbać o to, aby jeden administrator nie mógł negatywnie wpłynąć na bezpieczeństwo albo dostępność krytycznych aplikacji i usług. Wszelkie zmiany kadrowe (zatrudnianie, zastępstwa, zwolnienia) wśród administratorów i użytkowników uprzywilejowanych muszą być uważnie planowane.
• Elastyczność oznacza możliwość zmiany dostawcy usług i musi być rozważona z perspektywy danych, aplikacji, satysfakcji użytkowników, zastosowań oraz modelu administracyjnego. Migracja do chmury, pomiędzy nimi i z chmury to podstawowe aspekty takiej elastyczności.
• Szyfrowanie nie jest opcjonalne i należy traktować je poważnie. Kluczami szyfrowania muszą zarządzać ci, którzy są odpowiedzialni za dane. Dotyczy to danych o firmie, klientach, dostawcach i systemie. Szyfrowanie musi chronić dane w użyciu, w spoczynku oraz w trakcie ich transferu wewnątrz chmury, między nimi, a także podczas interakcji z aplikacjami zewnętrznymi. Algorytm i siłę klucza należy wybrać w zależności od konkretnego zastosowania w całym przewidywanym cyklu życia danych.
• We wdrożeniach chmurowych należy uważnie przemyśleć kwestie suwerenności danych, aby w razie potrzeby utrzymywać dane w granicach kraju, spełniać lokalne i regionalne wymagania w zakresie prywatności oraz zdefiniować udostępnianie danych między suwerennymi enklawami. Należy skonfigurować strefy w celu zagwarantowania wysokiej dostępności oraz ochrony danych.
• Dostęp do wrażliwych danych wymaga uwierzytelniania wielostopniowego. Należy rozważyć użycie CASB, a także brokeringu i federacji tożsamości do celów firmowego uwierzytelniania w chmurze. Zapora aplikacji internetowych powinna chronić wszystkie usługi internetowe i ich interfejsy - zwłaszcza przeznaczone do uwierzytelniania.
• Należy zadbać o transparentność i monitorować kontrakty pod kątem niepożądanych zmian w warunkach świadczenia usług oraz zasadach ochrony prywatności.


Sebastian KisielAutor: Sebastian Kisiel, Lead System Engineer w Citrix