Badania Audytela wskazują, że obawy o bezpieczeństwo danych deklarowane są jako najważniejszy problem z punktu widzenia wdrożenia zewnętrznych usług przetwarzania w chmurze (ang. cloud services) w polskich przedsiębiorstwach.
Obawy te najczęściej wynikają z braku wiedzy dotyczącej stopnia zabezpieczeń oraz architektury platform, za pomocą których świadczone są usługi. Poniżej przyjrzymy się kilku parametrom powszechnie wykorzystywanym przy ocenie poziomu bezpieczeństwa dostawców usług a ich charakterystykę ocenią eksperci z perspektywy firmy badawczej oraz dostawcy usług.
Dostępność usług
Większość polskich dostawców usług cloud deklaruje dostępność platformy na poziomie największych światowych graczy – między 99,95% a 99,99%. Wg Grzegorza Bernatka, managera departamentu R&D w firmie Audytel, przypadki SLA poniżej 99,9% należy traktować jako wyjątki i dotyczą najmniejszych usługodawców. – Tak wysoka dostępność wynika zarówno z redundancji platformy usługowej, jak i umieszczenia jej w bezpiecznym, najczęściej komercyjnym obiekcie data center. Przy wyborze usługodawcy należy zwrócić uwagę, czy platforma jest dywersyfikowana w dwóch lub więcej różnych serwerowniach. Doświadczenia choćby z rynku polskiego wskazują, że pomimo nawet najlepszych zabezpieczeń zdarzają się awarie całych obiektów data center. – twierdzi Grzegorz Bernatek.
Testy i monitorowanie bezpieczeństwa
Aby udowodnić wysoki poziom bezpieczeństwa, większość usługodawców usług cloudowych umożliwia przeprowadzanie niezależnej oceny poziomu bezpieczeństwa i zapewnienia parametrów SLA świadczonych usług. Praktycznie wszyscy badani przez Audytel dostawcy usług deklarują regularne prowadzenie testów bezpieczeństwa platformy, jednakże średnio tylko 1 na 3 firmy udostępnia wyniki tych testów swoim klientom.
Wykres 1. Aspekty bezpieczeństwa związane z platformą cloud
Źródło: opracowania własne Audytel SA
Wszyscy badani przez Audytel dostawcy zadeklarowali posiadanie systemów do monitorowania stanu platformy oraz bezpieczeństwa składowanych danych, a także 94% udostępniało narzędzia do samodzielnego monitorowania platformy oraz ewentualnych incydentów bezpieczeństwa przez klienta.
Certyfikacja
Potwierdzeniem zastosowania właściwych rozwiązań technicznych i organizacyjnych jest certyfikacja. Oprócz spełnienia wymagań obiektu w którym jest platforma usługowa – rekomendowanych na poziomie Rated 3 lub 4 ANSI/TIA-942, standardem stają się certyfikaty systemu zarządzania bezpieczeństwem informacji zgodne z normą ISO/IEC 27001. Ostatni rok przyniósł serię certyfikacji w nowych, dedykowanych dla chmury normach: ISO/IEC 27017 w zakresie zarządzania systemem bezpieczeństwa informacji w chmurze oraz ISO/IEC 27018 w zakresie ochrony informacji danych osobowych w przetwarzaniu w chmurze.
Przykładowo, w zakresie normy ISO/IEC 27017 zapewniono wskazówki oparte na technologii przetwarzania danych w chmurze dotyczące 37 zabezpieczeń uwzględnionych w ISO/IEC 27002, ale również wyróżniono siedem nowych zabezpieczeń danych w chmurze dotyczących następujących kwestii:
- Zakres odpowiedzialności podmiotów w relacjach między dostawcami danych w chmurze a klientami korzystającymi z chmury;
- Usunięcie/zwrot aktywów po rozwiązaniu umowy;
- Ochrona i oddzielenie środowiska wirtualnego klienta;
- Konfiguracja maszyny wirtualnej;
- Działania i procedury administracyjne związane z środowiskiem przetwarzania danych w chmurze;
- Monitorowanie działań w chmurze klientów korzystających z usług przetwarzania danych w chmurze;
- Dostosowanie środowiska sieci wirtualnej i środowiska chmury obliczeniowej.
Usługi bezpieczeństwa
Na bezpieczeństwo danych składowanych w chmurze wpływa także udostępnianie przez usługodawców cloud services usług zwiększających bezpieczeństwo, takich jak:
- Szyfrowanie danych przechowywanych w chmurze
- Bezpieczny dostęp do chmury (szyfrowanie połączenia z chmurą, wielopoziomowe uwierzytelnianie)
- Anty-DDoS
- Firewall oraz systemy IDS/IPS
- Web Application Firewall (WAF)
- Systemy antymaleware
- Systemy kopii zapasowych oraz usługi odtwarzania po awarii
- Security Operations Centre (SOC)
Usługi przetwarzania w chmurze często określane są jako bezpieczne środowisko do przechowywania danych. – Jednak wpływ na to bezpieczeństwo ma wiele czynników. Świadomość własnych potrzeb oraz spodziewanych zagrożeń pozwala na określenie brzegowych wymagań dla usługodawcy. Na szczęście dla użytkowników na polskim rynku rozrzut skali i jakości oferowanych usług jest spory, a to daje szanse na zdroworozsądkowe wypośrodkowanie wymagań oraz kosztów kupowanego rozwiązania. – uważa Grzegorz Bernatek.
Świadomie przygotuj migrację do chmury
Zdaniem Tomasza Sobola, CMO w Beyond.pl, wiedza i zrozumienie jak działa chmura obliczeniowa, jak wygląda jej bezpieczeństwo oraz na co zwrócić uwagę wybierając dostawcę tego typu usług jest w naszym kraju nadal bardzo skromna.
– Nie dziwią mnie więc wyrażane obawy związane z bezpieczeństwem usług chmurowych. Migracja do chmury może się udać i przynosić korzyści. Może też być nieudanym projektem, zwłaszcza jeśli na samym początku nie przygotujemy się do tego zadania i wybierzemy rozwiązanie niedopasowane do naszych potrzeb.
Często powtarzam klientom, że migracja do chmury wymaga odpowiednio przygotowanego procesu, który uwzględnia analizę potrzeb klienta, audyt obecnej infrastruktury, analizę ryzyk oraz zdefiniowanie kluczowych celów jakie chcemy przez to działanie osiągnąć.
Dopiero w kolejnym etapie rozpoczynamy wybór dostawcy usług i weryfikujemy jego kompetencje w oparciu o nasze potrzeby biznesowe i dalszy plan rozwoju firmy. Weryfikacja i wybór powinno odbywać się kompleksowo. To znaczy nie w sposób wybiórczy, gdzie porównujemy tylko jeden parametr tj. np. SLA 99,95% a 99,99%.
W przypadku chmury obliczeniowej o wadze tego parametru nie będzie stanowić liczba, która jest bliższa 100%, ale cały katalog usług jaki jest niezbędny do świadczenia usługi cloud computingu, a więc standard infrastruktury IT, kompetencje administratorów, stosowane rozwiązanie do wirtualizacji, support oraz sieć. Dopiero wszystkie te elementy i ich standard połączone w jedną całość dają realny obraz usługi informatycznej i jej gwarantowany poziom świadczenia (SLA). Dlatego w ostatnim czasie tak ważne stały się certyfikacje centrów danych (ANSI/TIA, Uptime Institut), weryfikacje stosowanych rozwiązań (np. Vmware Cloud Verified), czas odpowiedzi i wsparcia suportu, redundancja łączności i BGP w centrach danych. Każdy z tych elementów może okazać się krytyczny i zaważyć na ciągłości działania usługi, jej bezpieczeństwie oraz wydajności zgodnie z oczekiwanym i zakontraktowaną umową.
