CyberbezpieczeństwoPolecane tematy
Bezpieczeństwo w chmurze Promocja
Promocja
Przenosząc działalność do chmury publicznej, organizacje często muszą godzić się z tym, że rezygnują z pełnej kontroli nad swoimi danymi. Choć oddanie zewnętrznej firmie kontroli nad nimi wiąże się z pewnym ryzykiem, dane przechowywane w chmurze wcale nie muszą być mniej bezpieczne. A zatem, w jaki sposób firmy mogą zabezpieczyć swoje dane w różnorodnych środowiskach chmury oraz czego należy się wystrzegać przy wykorzystaniu usług chmurowych?
Bezpieczeństwo związane z korzystaniem z infrastruktury, która nie należy do danej organizacji to wciąż jeden z najistotniejszych aspektów wykorzystania chmury. I choć wiąże się z nim wiele przerysowanych zagrożeń, kwestie bezpieczeństwa są kluczowe dla wielu organizacji podczas procesu decyzyjnego.
Chmura zewnętrzna a bezpieczeństwo organizacji
W kontekście bezpieczeństwa rozwiązań opartych na modelu cloud bardzo ważne jest rzetelne określenie potencjalnych zagrożeń tam, gdzie realnie mogą one występować i wyeliminowanie innych, często nieuzasadnionych obaw. „W rzeczywistości bezpieczeństwo w chmurze może być większe, niż w tradycyjnym centrum danych — zwłaszcza w przypadku wyspecjalizowanych dostawców usług w modelu cloud, którzy w pełni ujawniają metodologie, określające poziom i rodzaj stosowanych zabezpieczeń” – nadmienia Sebastian Kisiel z polskiego oddziału firmy Citrix. „Wiele organizacji, które decydują się na korzystanie z zewnętrznego dostawcy to podmioty, które – np. ze względu na swoją wielkość – nie mogą pozwolić sobie na wszystkie wymagane i często kosztowne fizyczne zabezpieczenia czy też wielopoziomowe technologie ochrony. Decydując się na przeniesienie części swoich danych do chmury mają zatem szanse na uzyskanie nawet wyższego poziomu bezpieczeństwa niż ten, który wielokrotnie musiałyby zapewnić same” – dodaje.
Chmura to kolejny poziom abstrakcji centrum danych, lecz aby zapewniała wystarczający stopień bezpieczeństwa, prywatności i zgodności z przepisami wymaga profesjonalnego zarządzania.
Nawet w przypadku tradycyjnych centrów danych działy biznesowe, które nie są właścicielami wszystkich zabezpieczeń i procesów, powierzają swoje bezpieczeństwo działowi IT — a nawet zlecają zewnętrznym firmom zarządzanie swoim środowiskiem informatycznym. Chmura to zatem kolejny poziom abstrakcji centrum danych, lecz aby zapewniała wystarczający stopień bezpieczeństwa, prywatności i zgodności z przepisami wymaga profesjonalnego zarządzania. Dla organizacji, która korzysta z takiego modelu oznacza to, że powinna ona być pewna, że dostawca usług chmurowych zna i dysponuje wymaganymi procesami i technologiami bezpieczeństwa, zarówno przed zawarciem umowy, jak i w czasie jej trwania. Należy uważnie czytać warunki świadczenia usług i zwrócić uwagę na możliwe zmiany, które mogą mieć miejsce w trakcie trwania umowy.
Dla kogo hybryda?
Alternatywą dla firm, które ze względów formalnych, prawnych czy też działając w określonym sektorze nie chcą lub nie mogą w pełni polegać na zewnętrznym dostawcy jest chmura hybrydowa. Hybryda wykorzystuje zarówno zasoby należące do organizacji i przez nią zarządzane (chmurę prywatną) oraz technologie chmury publicznej. Odpowiednie zaprojektowanie środowiska w sposób, który pozwala na zabezpieczenie aplikacji i danych, zarówno w chmurach prywatnych, jak i publicznych, zapewnia ochronę danych wszędzie, gdzie są one składowane. Oczywiście, punkty styku między chmurami publicznymi a prywatnymi, w tym łączność sieciowa, usługi katalogowe i polityki dostępu, muszą być odpowiednio zdefiniowane i zautomatyzowane w celu spełnienia określonych wymagań bezpieczeństwa.
Problemem związanym z wykorzystaniem chmury mogą być sami jej użytkownicy. Wykorzystując w pracy konsumenckie aplikacje chmurowe pracownicy – często nawet nieświadomie – naruszają firmowe zabezpieczenia IT.
Technologie chmury hybrydowej coraz częściej wykorzystuje się do przetwarzania poufnych danych, na przykład do cloudburstingu (używania zasobów chmury publicznej w przypadku przeciążenia lokalnego systemu) przez detalistów podczas świątecznego szczytu czy też do wymiany chronionych danych pacjentów przez różne instytucje sektora medycznego.
Czego unikać
Jednym z błędnych założeń w organizacjach jest to, że chmurą można zarządzać tak, jak klasyczną infrastrukturą centrum danych. Takie myślenie zmusza dział IT do brania pod uwagę wyłącznie chmur prywatnych. I choć nie wszystkie wrażliwe środowiska i procesy są gotowe do wdrożenia w chmurze publicznej, istnieje wiele aplikacji, w tym przetwarzających poufne dane, które mogą skorzystać na bezpieczeństwie, elastyczności i ekonomiczności chmury. Dlatego jednym z podstawowych zadań IT jest ścisła współpraca z działami biznesowymi, aby w pierwszej kolejności zrozumieć ich cele, a następnie wprowadzić odpowiednie rozwiązania i regulacje.
Cloud computing cierpi na wiele podobnych problemów, z którymi mamy do czynienia w tradycyjnych środowiskach IT. Słabe hasła, współdzielenie kont i brak szyfrowania to tylko kilka z tych, które mogą przenieść się do chmury.
Innym problemem związanym z wykorzystaniem chmury mogą być sami jej użytkownicy. Wykorzystując w pracy konsumenckie aplikacje chmurowe (np. Dropbox), pracownicy – często nawet nieświadomie – naruszają firmowe zabezpieczenia IT. To z kolei może prowadzić do naruszenia przez organizację określonych umów, regulacji czy przepisów. W takich sytuacjach istotne jest to, jak dział IT zareaguje na takie zdarzenia. Wprowadzenie zbyt restrykcyjnych zakazów wcale nie rozwiąże pojawiającego się problemu, a jedynie może doprowadzić do konfliktu z użytkownikami. Należy zastosować rozwiązania klasy korporacyjnej, które często w prostocie stosowania dorównują usługom konsumenckim, lecz przewyższają je pod względem funkcjonalności, jednocześnie chroniąc firmowe dane. Tak naprawdę większość użytkowników nie chce działać przeciw organizacji i jeśli tylko dział IT zacznie ich odpowiednio wspierać i działać bardziej w myśl zasady ‘jak to zrobić bezpiecznie’, a nie ‘jak wyeliminować dane działanie’, firma z pewnością może zyskać wyższą produktywność i bezpieczeństwo.
Warto również pamiętać, że cloud computing cierpi na wiele podobnych problemów, z którymi mamy do czynienia w tradycyjnych środowiskach IT. Słabe hasła, współdzielenie kont i brak szyfrowania to tylko kilka z tych, które mogą przenieść się do chmury. Na szczęście jest jeszcze druga, pozytywna strona medalu — ponieważ chmura jest stosunkowo nowym modelem, wsparcie przestarzałych technologii bezpieczeństwa nie jest celem, jak to często zdarza się w przypadku tradycyjnych środowisk IT. Chmura może oferować obsługę wielu usługobiorców i instancji (multitenant), delegowanie obowiązków, zarządzanie cyklem życia i zmianami oraz automatyzację zabezpieczeń, a wszystko po to, by zapewnić bezpieczeństwo zaczynające się od interfejsu użytkownika a kończące na samych danych.