Bezbednost u cloudu | PC Press

Bezbednost u cloudu

Koncept cloud computing‑a nudi velike mogućnosti uštede na IT troškovima, ali poslovanje u cloud‑u nosi i određene rizike. Ti bezbednosni rizici mogu biti znatno manji ukoliko za sebe nađete prava cloud rešenja i brigu o tome poverite dokazanim IT stručnjacima.

cloud-warning-signve veći broj preduzeća u svetu danas koristi cloud baziranu infrastrukturu – virtuelne resurse koji se kao servis obezbeđuju preko interneta. Postoje tri osnovna tipa cloud okruženja: privatni, javni i hibridni. Tri osnovna modela servisa u svakom od cloud okruženja su: Infrastruktura kao servis (IaaS), Platforma kao servis (PaaS) i Softver kao servis (SaaS).

Svaki od ova tri modela ima različit uticaj na primeni bezbednosti u cloud‑u i nijedna mera nije univerzalno primenjiva na sva tri modela. Svaka kombinacija cloud servisa nosi poseban set rizika i zahteva posebne mere zaštite.

Bezbednost kao pojam u svojoj osnovi podrazumeva raspoloživost (dostupnost ovlašćenim licima), integritet (nenarušavanje celovitosti) i pouzdanost (poverljivost, obezbeđenje od krađe). Bezbednost u cloud‑u takođe mora da ispuni ove osnovne zahteve, ali i neke specifične kao što su: bezbednost mreže od zlonamernih aktivnosti spolja, bezbednost transakcija unutar data centra i između korisnika i data centra, bezbednost platforme odnosno softverskih aplikacija, zaštitu čuvanja i skladištenja podataka, saglasnost sa regulativom i propisima.

Uglavnom, bezbednosni aspekti kao što su autentifikacija i autorizacija, enkripcija i kodovanje, digitalni sertifikati i slično, primenjuju se i u cloud‑u i van cloud‑a i IT administratorima su dobro poznati.

Bezbednost podataka je disciplina koja je bazirana na razumevanju rizika. Korisnici moraju biti svesni potencijalnih rizika kada svoje podatke smeštaju u cloud ili koriste cloud aplikacije. Stoga moraju primeniti različite procese i tehnike kontrole da bi upravljali tim rizicima i sveli ih na prihvatljiv nivo. Prihvatljiv i u finansijskom pogledu.

I pored svih nabrojanih aspekata, bezbednost u cloud‑u se može podeliti u dve bazične kategorije: bezbednost koja se odnosi na cloud provajdere i bezbednost koja se tiče korisnika. Provajderi moraju obezbediti da njihova cloud arhitektura bude bezbedna, a podaci i aplikacije korisnika zaštićeni. Korisnici sa svoje strane moraju biti sigurni da je cloud provajder preduzeo sve neophodne mere za zaštitu njihovih podataka. Sa pravne tačke gledišta, ono što je zaštićeno u jednoj zemlji – u drugoj nije, stoga treba voditi računa i o tome koji su pravni mehanizmi raspoloživi ukoliko se dogodi da vaši podaci pohranjeni u oblak jednom budu „provaljeni“ od strane hakera, konkurenata ili nekih drugih nezvanih gostiju.

Kod tradicionalnih data centara problem bezbednosti se uglavnom rešavao primenom firewall‑a i sistema za detekciju zlonamernih napada (IDS – Intrusion Detection Systems). Kod tradicionalnih računara, antivirus softver je naš sistem uglavnom činio sigurnim. Međutim, u cloud‑u takav sistem zaštite u kome se štiti samo ulaz u sistem nije dovoljan, jer se mnogo toga dešava i u samom cloud‑u, odnosno unutar mreže i između servera i virtuelnih mašina u samom data centru.

Prednosti i izazovi bezbednosti u cloud‑u

Znam da kod mnogih postoji dilema – da li i koliko kontrolišete svoje podatke ako ih outsource‑ujete? Pitajte sebe da li i koliko sada kontrolišete svoje podatke, ima li rizika, koji su i koliki? Cloud provajderi uglavnom imaju dobro opremljene data centre, adekvatnu logistiku i visokokvalifikovano IT osoblje, što mala i srednja preduzeća sebi teško mogu da priušte. To podrazumeva i određene prednosti za korisnike cloud‑a, kao što su: mogućnost smeštaja (storage) i centralizacija podataka po nižoj ceni uz stručan monitoring i održavanje sistema; brzo reagovanje na incidente i havarije u sistemu bez gubljenja podataka i ugrožavanje poslovanja; nemogućnost nedostatka resursa (npr. nedovoljan kapacitet diska), automatsko dodeljivanje resursa prema potrebama.

Neki od ključnih izazova za bezbednost u cloud‑u su: smeštaj podataka na više „nepoznatih“ lokacija; smeštaj podataka na medijume i resurse koje deli više korisnika; „raspoloživost“ podataka posle raskida ugovora s provajderom, u slučaju prodaje ili udruživanja kompanije; usaglašenost s pravnom regulativom, „problem“ spoljnog nadzora; restauracija podataka u slučaju prirodnih nepogoda ili usled ljudskih grešaka.

Cloud provajderi mogu da obezbede bezbednost vaših podataka, ali ne zaboravite da ste samo vi suštinski odgovorni za vaše podatke, odnosno podatke vaše kompanije. Pri tome je najvažnije voditi računa o tri aspekta: lokaciji vaših podataka, kontroli vaših podataka i bezbednom transferu vaših podataka.

Poverenje u cloud

Neke vrste podataka su isuviše osetljive za smeštaj u javni ili hibridni cloud. U to npr. svakako spadaju personalni podaci ili poverljivi poslovni podaci, o klijentima na primer. Neki stručnjaci, nasuprot ovome, tvrde da korisnici u cloud‑u mogu potpuno biti zaštićeni ukoliko se primene pravi i transparentni nivoi kontrole. Primena enkripcije (kodovanja) i tokenizacije može dodatno zaštititi vaše podatke od krađe i neovlašćenog korišćenja.

Ako napravite sopstveni cloud, u vašim prostorijama, sva odgovornost je na vama kao administratoru vašeg data centra. Ako odlučite da deo ili ceo vaš cloud outsource‑ujete (premestite kod nekog provajdera), onda ulazite u model s podeljenom odgovornošću i poverenje u određenoj meri poklanjate nekom drugom.

Zašto bi trebalo da imate poverenja u svog cloud provajdera? Zato što će možda on vaš IT posao obaviti bolje nego vi sami! Danas je većina cloud provajdera sertifikovana za poslove koje rade. To znači da su spremni da ispune određene standarde koji vam odgovaraju i koje vi verovatno ne možete tako lako ispuniti i dostići. Ako ih i ispunjavate, koliko vas sve to košta i može li biti efikasnije i jeftinije?

Izbor cloud provajdera je stvar poverenja. To poverenje se gradi ne samo na osnovu tehnologije već i primenjenog sistema bezbednosti i ljudi koji su odgovorni za bezbednost i sigurnost vaših podataka, naročito u pogledu dostupnosti, pristupa i nadzora tih podataka. Veliki cloud provajderi imaju stotine IT stručnjaka koji se bave problematikom bezbednosti u cloud‑u i to je činjenica koja se mora poštovati.

Bezbednost u cloud‑u je veoma važan faktor u njegovoj primeni i ukoliko se budete pridržavali ovih saveta i pažljivo razmotrite sva ova pitanja, potpuno ćete biti spremni da ocenite realnost primene cloud computing rešenja koje zadovoljava vaše potrebe.

Daljim rastom i razvojem biznisa u cloud‑u, bezbednost u cloud‑u postaće sve važnije i sve kompleksnije pitanje. Slučaj Edward Snowden naterao je regulatorna tela u EU i šire da ozbiljno razmotre osetljivost transfera podataka smeštenih istovremeno na serverima u nekoliko (prekomorskih) država i dodatno reformišu pravnu regulativu. Sad kad sigurno znamo da mogu da nas gledaju i slušaju kad hoće i ako hoće, ne treba biti paranoik.

O bezbednosti vaših podataka ipak i uglavnom sami odlučujete! Ključ je u vašim rukama, cloud provajderi su tu da olakšaju biznis i učestvuju u njegovom unapređenju.

Kako (p)ostati bezbedan

Evo nekoliko bezbednosnih pitanja koje kompanije treba da razmotre sa svojim cloud provajderima i nekoliko saveta kako da osigurate bezbednost u cloud‑u:

Znati ko čemu i kako pristupa. Odrediti privilegovane korisnike i pooštriti kontrolu pristupa.

Ograničiti pristup podacima baziran na user kontekstu. Promeniti nivo pristupa cloud‑u zavisno od toga odakle korisnik pristupa i čime pristupa (smartfon, javni ili privatni računar).

Povećati stepen obezbeđivanja podataka koji su smešteni u cloud. Identifikovati osetljive i poverljive baze podataka i za njih primeniti dodatnu zaštitu, enkripciju i monitoring. Razmotriti da li je moguća enkripcija podataka na svim nivoima, gde se dizajniraju i kako se testiraju algoritmi enkripcije i da li to rade iskusni profesionalci.

Povećati stepen bezbednosti za pristup s mobilnih aparata. Osigurati maksimalno da korporativni podaci budu odvojeni i zaštićeni od ličnih podataka na mobilnom aparatu.

Obezbediti dodatnu zaštitu u mreži data centra, s mogućnostima (što naprednije) analize i kontrole pristupa sadržajima i aplikacijama u cloud‑u u realnom vremenu.

Obezbediti mogućnost praćenja aktivnosti i nadzora u samom cloud‑u. Cilj je da se identifikuju mogući signali da rizik potencijalnog napada ili curenja podataka postoji. Npr. registrovanje neuobičajene promene toka podataka u određeno doba dana ili noći, višestruki pokušaji validacije password‑a i sl. Dobro bi bilo da cloud provajder ima mogućnost da istraži i proveri bilo koju nedozvoljenu ili neželjenu aktivnost.

Proveriti usaglašenost s regulativom, posedovanje odgovarajućih sertifikata, mogućnost eksterne revizije, kredibilitet provajdera i njegovih administratora.

Razmotriti backup, održivost i raspoloživost podataka. Da li cloud provajder može pouzdano da prebaci korisnikove podatke na drugu lokaciju ukoliko postojeća postane problematična ili neraspoloživa? Šta se dešava s podacima u slučaju havarija, da li provajder nudi potpunu restauraciju podataka i, ako nudi, koliko bi taj proces trajao? Da li je omogućena kontrola svake lokacije na kojoj su smešteni podaci korisnika? Šta se dešava s podacima ukoliko cloud provajder napusti svoju delatnost, da li se i u kojoj formi korisniku vraćaju podaci?

(Objavljeno u časopisu connect#33)


Enjoy.ing
ekapija

Twitter