O bezpečnosti, jako jedné z největších dosud nevyřešených otázek spojených s cloud computingem, jsme se v minulých dílech seriálu Cloud computingu v praxi zmínili už mnohokrát. Právě bezpečnost jsme také označili jako jeden z hlavních problémů, které brání firmám zvažovat cloud jako plnohodnotnou náhradu za svou vlastní infrastrukturu, a tedy brání masivnímu rozvoji cloudu jako takovému. V dnešním prvním díle zaměřeném na bezpečnost se blíže podíváme na jednotlivá bezpečnostní rizika spojená s cloudem a přiblížíme si jejich možná řešení.
Bezpečnostní hrozby cloud computingu se v naprosté většině případů týkají možnosti zcizení cenných firemních dat. Je to ostatně poměrně logické. Interní firemní informace představují velkou konkurenční výhodu, která může subjektům poskytnout jednak informace o vnitřním chodu firmy, její organizační struktuře a aktuální finanční situaci, tak i mohou prozradit budoucí strategii firmy a informace o chystaných produktech a službách. Jinými slovy prakticky jakákoliv firemní data představují cenné know-how a mají doslova cenu zlata.
Hlavním problémem „elektronizace“ firemních procesů je pak fakt, že tato data jsou v čím dál tím vyšším ohrožení. Zatímco ještě před několika desítkami let byly důvěrně informace bezpečně uzamčeny ve skříních, nebo trezorech, a pro jejich získání se tak bylo nutné fyzicky do firmy vloupat a překonat všechna bezpečnostní opatření, postupné rozšíření počítačů a především internetu tuto nutnou fyzickou přítomnost při krádeži dat značně zjednodušilo. Útočník tak dnes může být i na druhém konci světa, aby se k citlivým datům mohl dostat a zcizit je. To dokazuje i jen několik měsíců starý případ společnosti Google, která, v reakci na údajný hackerský útok pocházející z kontinentální Číny, se z tohoto trhu dokonce zcela stáhla.
Zatím jsme se přitom bavili pouze o situacích, kdy jsou data stále fyzicky přítomna na serverech společnosti. Cloudové služby ovšem mění i tento princip a informace se tak přesouvají do datových středisek po celém světě. To samozřejmě možnosti jejich zcizení nadále rozšiřuje.
Dvě strany bezpečnostních rizik cloudu
Bezpečnostní rizika spojená s cloud computingem se v zásadě dají rozdělit na dvě skupiny. První z nich spočívá na straně poskytovatelů těchto služeb, kteří musí zajistit bezpečné uložení a správu dat svých klientů a zabezpečit, aby k jimi využívaným aplikacím měly přístup pouze oprávněné osoby.
Druhá část se pak týká klientů samotných, a na rozdíl od poskytovatelů, se netýká pouze technických bezpečnostních rizik. Jinými slovy na klientech jako takových je především dohlížet na poskytovatele, zdali plní svou roli tak jak má, a v případě shledání problémů je okamžitě začít řešit. Druhým, a pravděpodobně ještě komplikovanějším úkolem je zabránit únikům a zneužití dat na své straně, což zahrnuje především práci s poměrně komplikovaným lidským faktorem. Na pomyslných bedrech klientů tak neleží nic menšího, než důsledně kontrolovat své zaměstnance, jestli to nejsou právě oni, kdo je zodpovědný za úniky citlivých informací.
V rámci našeho dnešního tématu se ale budeme zabývat výhradně prvním typem bezpečnostních rizik, tedy takovým technickým zabezpečením cloudových služeb, aby k problémům nedocházelo na straně jejich poskytovatele. Druhé téma je bezesporu také zajímavé, s největší pravděpodobností by ale samo o sobě vydalo na vlastní seriál.
Fyzické zabezpečení datových středisek
Jak už bylo výše zmíněno, cloudové služby přináší konec důležitého bezpečnostního prvku ochrany dat, tedy možnost zabránit fyzickému přístupu k datům jako takovým. To ovšem není úplně pravda, respektive odpovědnost za znemožnění přístupu potencionálních účastníků k diskům s daty byla „pouze“ přenesena z firem na poskytovatele cloudových služeb. Zajištění adekvátní ostrahy datových středisek proti vloupání a zcizení dat je tak jedním z bezpečnostních rizik, které budou muset poskytovatelé cloudových služeb řešit.
Samozřejmě, fyzické přepadení datového centra bude až pravděpodobně poslední možností potencionálních útočníků. Mnohem „jednodušší“ je pokusit se k datům dostat přes internet, tedy překonáním virtuálních bezpečnostních zábran. Právě se zajištěním jejich nejvyšší kvality jsou spojeny všechny ostatní bezpečnostní otázky.
Cloud computing v praxi je seriál, který pro vás od dubna 2010 každé úterý připravujeme. Jeho cílem je poskytnout odpovědi, které ve spojení s technologií cloud computingu čím dál tím častěji vyvstávají a informovat o aktuálních trendech a novinkách z této oblasti.
Máte námět na zajímavé téma z oblasti cloud computingu, o kterém máte co říct, nebo o kterém si chcete přečíst? Napište nám ho na redakce@itbiz.cz.
Přenos dat
Pravděpodobně nejkritičtější otázka ohledne bezpečnosti cloudových služeb se týká přenosu dat. Aby měl přechod na cloud vůbec smysl, musí komunikace mezi hostovanými službami a jejich uživateli probíhat co nejrychleji. Jakmile by uživatelé na odezvu na doslova každé kliknutí museli čekat až několik vteřin, cloud by zcela ztratil smysl. Právě skloubení rychlé odezvy systému a kvalitního zabezpečení přitom představuje poměrně velký problém.
Zabezpečení přenášených dat navíc musí být realizováno nejen mezi pracovními stanicemi, respektive tenkými klienty a servery poskytovatele, ale také mezi servery a širokou paletou mobilních zařízení, jako jsou smartphony, nebo tablety. Vzhledem k jejich stále rostoucí zvyšující se oblíbenosti a růstu prodejů jsou to právě mobilní zařízení, jejichž otázka ve spojení s cloudem neustále nabývá na významu.
Zajistit adekvátní zabezpečení při přístupu z mobilních zařízení přitom představuje větší problém, než při jiných formách připojení. Zatímco na notebook, nebo pracovní stanici lze nasadit vlastní antivitorý program, případně v rámci využití tenkých klientů může být bezpečnostní politika vynucována a prováděna centrálně použitím bezpečnostního prvku jako mezičlánku mezi firemní sítí a „okolním“ internetem, mobilní zařízení takový „luxus“ ani zdaleka nenabízí. Na druhou stranu je pravdou, že počet škodlivého kódu určeného pro smartphony a tablety je zatím velmi nízký, stejně tak ale existuje jen velmi málo bezpečnostních řešení pro tato mobilní zařízení. Pokud se ale použití těchto zařízení ve spojitosti s cloudem rozšíří, což je téma, kterým jsme se v jednom z minulých příspěvků už zabývali, lze očekávat, že vzroste i počet aktivních hrozeb.
V příštím díle, který vyjde v úterý 27. července se podíváme na další bezpečnostní rizika je umístění dat a jejich záloha. Řekneme si také více o roli organizace Cloud Security Alliance v této oblasti.