Nigdy dotąd w historii przedsiębiorstwa nie miały tak wygodnego dostępu do infrastruktury obliczeniowej jak obecnie. Chmura to ogromna wygoda w porównaniu z utrzymywaniem i rozwijaniem własnego centrum danych, które jest po prostu drogie – wymaga nie tylko inwestycji w same serwery, okablowanie i urządzenia sieciowe, ale także wydatki na energię elektryczną, koszty pracy, chłodzenia i przestrzeni fizycznej.
Chociaż większość osób rozumie zalety przetwarzania w chmurze, to wyraża jednocześnie zaniepokojenie zagrożeniami bezpieczeństwa związanymi z przechowywaniem danych w chmurze. To zrozumiałe – intuicyjnie trudno o poczucie bezpieczeństwa w przypadku wysyłania danych przez Internet do wirtualnej infrastruktury, której z reguły nigdy nie widzieliśmy na oczy. To dynamiczne środowisko, w którym wszystko elementy podlegają ciągłej ewolucji, w tym zagrożenia cyberbezpieczeństwa. Bezpieczeństwo w chmurze to jednak nic innego jak wciąż… bezpieczeństwo IT, wystarczy uświadomić sobie konkretne różnice z on-premises, aby słowo chmura nie budziło już niepokoju.
Lokalizacja i jurysdykcja
Geograficzne umiejscowienie dostawcy usług jest tym, co w pierwszym rzędzie zwraca naszą uwagę i jednocześnie pierwszym kryterium bezpieczeństwa z jakim mamy do czynienia. Globalni dostawcy usług hiperskalowych jak Amazon AWS, Microsoft Azure, czy Google Cloud Platform dają możliwość firmom umiejscowienie danych oraz uruchomienie ich obciążeń niemal w dowolnym punkcie globu. Dla organizacji europejskich jednak w dużej mierze nie jest to wcale najlepsza wiadomość. Legislacja unijna w zakresie choćby GDPR (RODO) narzuca pewne wymagania co do lokalizacji danych, do których firmy muszą się stosować. Ale do kwestii lokalizacji danych dochodzi jeszcze jeden ważny aspekt – jurysdykcja obejmująca dostawcę usług.
Clarifying Lawful Overseas Use of Data Act, czyli CLOUD Act to obowiązująca od 2018 ustawa umożliwiająca administracji Stanów Zjednoczonych dostęp do danych należących do europejskich firm w przypadku podejrzenia poważnego przestępstwa lub zagrożenia bezpieczeństwa publicznego. Warunkiem jest, że dane te są hostowane przez amerykańskiego usługodawcę. Jeżeli zatem nawiąże się współpracę z amerykańskim usługodawcą, to nawet jeśli dane pozostaną w Europie ustawa będzie ich dotyczyć. Na obecnym etapie jest ona sprzeczna z GDPR.
Bezpieczeństwo to wspólne wyzwanie
Korzystanie z usługi chmury publicznej oraz komunikacja przez Internet oferują organizacjom ogromne oszczędności nie tylko w IT, wzrost efektywności operacyjnej jak i funkcjonalności niedostępne lub zbyt kosztowne w modelu on-premises. Niestety każde udostępnianie danych przez Internet i przechowywanie w infrastrukturze zewnętrznego dostawcy powoduje wzrost ryzyka związanego z cyberbezpieczeństwem. Dostawcy stosują najnowsze rozwiązania w dziedzinie cyberbezpieczeństwa, inwestują też w kompetencje, zaostrzają polityki bezpieczeństwa, aby infrastruktura stawała się mniej podatna na cyberataki. O ile jednak to np. Aruba Cloud jest właścicielem infrastruktury i odpowiada za jej cyberbezpieczeństwo to właścicielem danych przechowywanych w infrastrukturze dostawcy jest przedsiębiorstwo. Kto jest zatem odpowiedzialny za utrzymanie bezpieczeństwa „W” chmurze?
Niestety przeniesienie infrastruktury IT do chmury nie zwalnia nas z obowiązków związanych z compliance – zgodnością z regulacjami oraz bezpieczeństwem danych. Dostawcy usług chmury publicznej publikują modele tzw. wspólnej odpowiedzialności, rozdzielające zakres odpowiedzialności dostawcy i klienta. We wszystkich z nich klient, a nie dostawca usług w chmurze, jest odpowiedzialny za bezpieczeństwo danych, dostępów, szyfrowanie oraz zgodność w ramach konfiguracji i zarządzania systemami i aplikacjami.
Zdaniem Marcina Zmaczyńskiego, Head of Marketing CEE Aruba Cloud, bezpieczna migracja opiera się na dwóch aspektach. – Klient musi zadbać o to, że wszystkie procedury, na każdym etapie cyklu życia danych gwarantują zgodność z normami wymaganymi czy to przez wewnętrzne procedury czy obowiązujące przepisy. Za przykład mogą posłużyć regulacje EBA (European Banking Authority), dotyczące instytucji finansowych. Precyzują one jasno jakie dane mogą podlegać outsourcingowi, np. do chmury publicznej, a jakie muszą być przechowywane w ramach infrastruktury on-premises.
Subtelne różnice
Według badań firmy analitycznej Gartner 30% organizacji korzystających z usług chmury publicznej podaje zwinność jako główny powód adopcji modelu chmurowego (ustępując jedynie oszczędnościom, które wskazuje 34% firm). Nie powinno to dziwić – możliwość zautomatyzowania wdrażania zasobów pozwala organizacjom skalować infrastrukturę w górę i w dół w zależności od potrzeb, co również pomaga im osiągnąć oszczędności.
Wiemy zatem, że migracja zasobów do chmury nie zwalnia nas z odpowiedzialności za bezpieczeństwo i zgodność z regulacjami. Więcej, ich zapewnienie staje się trudniejsze. Dynamiczny charakter IaaS stwarza lub uwypukla wyzwania, z którymi muszą się zmagać zespoły ds. cyberbezpieczeństwa. Na przykład w przypadku audytu, kiedy tworzona i uruchamiana jest nowa instancja maszyny wirtualnej w jaki sposób wykazać, że jej konfiguracja jest zgodna z PCI DSS1, SOX2, HIPAA3, GDPR4 lub którymkolwiek z szeregu standardów, których organizacje muszą przestrzegać?
Inne zagadnienie – bezpieczeństwo konfiguracji VM podczas uruchamiania. W chmurze czas życia instancji wynosi czasem tylko kilka minut. Uruchomienie zajmuje tylko kilka sekund. Po uruchomieniu instancja wirtualna przechodzi do produkcji niemal natychmiast. Natychmiastowe skanowanie konfiguracji i zgodności jest koniecznością w środowiskach chmurowych, ale czy klienci są tego świadomi?
Dostawcy publikują zasady podziału odpowiedzialności za bezpieczeństwo danych w chmurze publicznej między dostawcą a klientem. Jednak możliwości kompetencyjne zespołów IT, ds. bezpieczeństwa, zarządzania ryzykiem czy zgodnością są bardzo różne w organizacjach a przejście do modelu chmurowego determinuje konieczność zmian procedur i nabycia nowych kwalifikacji, obecnie deficytowych na rynku. Sama świadomość to za mało stąd pojawiające się co jakiś czas doniesienia o wycieku danych przechowywanych w chmurze.
Stąd drugim aspektem, na jaki zwraca uwagę Marcin Zmaczyński są normy bezpieczeństwa jakie gwarantuje infrastruktura oferowana przez dostawcę usług chmurowych. – Podstawowym parametrem, który wskaże na ile godne zaufania są wykorzystywane centra danych są posiadane przez nie certyfikaty. Centra danych, z których korzysta Aruba Cloud mogą się pochwalić najwyższym, 4 poziomem certyfikacji bezpieczeństwa oraz jakości infrastruktury w standardzie ANSI/TIA 942. Oznacza to, że centrum jest stworzone od podstaw z myślą o maksymalnej ochronie danych, między innymi poprzez odpowiednie zaprojektowanie budynku, instalacje systemów przeciwpożarowych czy alternatywnych źródeł zasilania. Przedstawiciele Aruba Cloud gwarantują również wsparcie w kolejnych etapach procesu migracji. Każdy klient może liczyć na profesjonalne doradztwo w kwestii procedur bezpieczeństwa czy tworzenia rozwiązań na bazie infrastruktury Aruby.
Bezpieczeństwo to jednak nie jedyny ważny aspekt związany z przejściem do chmury. Jak podkreśla Marcin Zmaczyński, istnieje wiele innych kwestii, na które należy zwrócić uwagę przy planowaniu migracji. – Odpowiednie przygotowanie całego procesu zagwarantuje osiągnięcie maksymalnych korzyści z infrastruktury chmurowej, a zarazem pozwoli uniknąć w przyszłości problemów, gdy firma będzie się rozwijać. Pierwszym kluczowym czynnikiem, na którym należy się pochylić jest właściwe wyliczenie kosztów, zwłaszcza w długofalowej perspektywie. Należy pamiętać, że chmura to nie tylko uniknięcie zakupu sprzętu w momencie migracji. To także gwarancja, że infrastruktura z której korzystamy nie zestarzeje się, przez co unikniemy problemu tzw. długu technologicznego. Dodatkowo korzyści z rozwiązań chmurowych wykraczają poza strefę informatyczną. Wiele firm pomija fakt, że dedykowane centrum danych pozwala ograniczyć koszty energii elektrycznej, inwestycji w przestrzeń na serwer czy instalacji koniecznych do chłodzenia. Prócz rozwiązania tymczasowych problemów z infrastrukturą techniczną chmura pozwala również otworzyć biznes na nowe trendy, takie jak Big Data czy sztuczna inteligencja których znaczenie będzie rosnąć w coraz większej liczbie sektorów. Wreszcie często firmy zapominają, że chmura pozwala w prosty i tani sposób rozwiązać problem backupu, czy to przez usługę duplikowania danych czy usługi Disaster Recovery as a Service, pozwalającej na natychmiastowe przywrócenie nie tylko plików, ale także wszystkich hostowanych procesów.
99% nieświadomych firm wg badań McAfee
Raportowane obecnie incydenty naruszenia ochrony danych często spowodowane są nie tylko infekcjami malware (złośliwego oprogramowania) czy celową działalnością zewnętrznych podmiotów, ale najczęściej także błędami ludzkimi, nadużyciami (byłych) pracowników czy prostymi awariami bezpieczeństwa.
Firmy różnie reagują w obliczu problemu naruszenia zabezpieczeń – od przysłowiowego chowania głowy w piasek po podejmowane szybko działania, przejrzystą politykę informacyjną i minimalizację skutków w celu ochrony reputacji. Gwałtowny wzrost wykorzystania technologii opartych na chmurze jak infrastruktura jako usługi (IaaS) dodał nowy aspekt zagrożeń – incydenty spowodowane błędną konfiguracją i/lub niedostatecznym uwierzytelnianiem w przestrzeni chmury publicznej.
Według najnowszych badań przeprowadzonych przez firmę McAfee i zaprezentowanych w raporcie Native-Cloud: The Infrastructure-as-Service Adoption and Risk, większość błędów konfiguracji IaaS pozostanie niezauważona. Niezauważona przez klientów – ale czy przez przestępców?
Raport podaje, że w rzeczywistości ujawniany i zgłaszany jest tylko 1% problemów związanych z możliwą podatnością IaaS spowodowaną niewłaściwą konfiguracją, co może sugerować, że na całym świecie działa rzesza firm nieświadomych potencjalnego wycieku danych. Szeroko opisywany była zwłaszcza przypadek Capital One.
– Każda firma cechuje się indywidualną specyfiką w obszarze zarówno potrzeb jak i wykorzystywanych rozwiązań, dlatego dla każdej z nich proces migracji będzie wyglądał inaczej. Nie można stworzyć jednakowego szablonu, który pozwoli przenieść zasoby każdej z nich do chmury i efektywnie korzystać z jej możliwości. – przekonuje Marcin Zmaczyński. – To co mogą jednak robić dostawcy usług to prowadzenie rzetelnej edukacji, skierowanej do osób odpowiedzialnych za IT w firmach. Koniecznie jest upowszechnianie wiedzy nie tylko o korzyściach, ale także o możliwościach, jakie wynikają z migracji do chmury, jak i również o zagrożeniach z nieprawidłowego jej przeprowadzenia. Aruba już od lat prowadzi tego typu działalność, organizując m.in. webinary i współpracując z ekspertami do spraw bezpieczeństwa IT. Wkrótce ukaże się nasz e-book, dedykowany wszystkim tym, którzy zastanawiają się jak przenieść swoje zasoby do chmury, ale nie wiedzą jak lub mają wątpliwości co do bezpieczeństwa tego procesu. Publikacja będzie kompletnym kompendium wiedzy, które mamy nadzieję pozwoli przekonać jeszcze więcej polskich firm do chmury, co z kolei zaowocuje ich dynamicznych rozwojem.
—
1. Payment Card Industry Data Security Standard
2. Ustawa Sarbanesa-Oxleya
3. Health Insurance Portability and Accountability Act
4. General Data Protection Regulation
