Bezpečnostní aspekty cloudu a hybridního IT prostředí

Hlavní obavy a připomínky vůči cloud computingu se týkají bezpečnosti a zajištění přístupu k citlivým údajům, které jsou zpravidla předmětem obchodního nebo jiného tajemství.

Bezpečnostní aspekty cloudu a hybridního IT prostředí


O bezpečnosti datových center ve srovnání s podnikovou serverovnou už asi nikdo nepochybuje, datová centra mají mnohem vyšší úroveň fyzického zabezpečení i zabezpečení dat. Na rozdíl od firem mají poskytovatelé cloudových služeb možnost replikace dat do více geograficky oddělených nezávislých úložišť. Vzdálenost mezi nimi záleží na možnostech poskytovatele a na vašich potřebách. Klíčovým faktorem bezpečnosti cloudových služeb je důvěryhodnost provozovatele datového centra a poskytovatele služby a hlavně zajištění přístupu na straně konzumentů cloudových služeb.

Při jedné z návštěv datového centra Microsoftu v Dublinu nám vysvětlovali, že pro zajištění služeb poskytovaných formou modelů SaaS (Office 365) nebo PaaS (Azure) pracuje několik více či méně propojených týmů bezpečnostních expertů. Jeden tým předpokládá, že útočníci už systém nabourali, a snaží se je odhalit. Jiný tým si hraje na etické hackery a snaží se nabourat vlastní systémy. Pečlivě analyzují logy a dělají mnoho proaktivních preventivních opatření.

Cloud jako takový je bezpečný. Většina útoků na systémy v cloudu je vedena pod identitou ukradenou nebo jinak získanou od zákazníka. Podle statistik největší bezpečnostní hrozbou zůstávají vlastní zaměstnanci, kteří nedodržují bezpečnostní předpisy nebo se úmyslně pokoušejí zneužít firemní data bez ohledu na to, zda jsou v cloudu nebo ve vlastním datovém centru.

Charakteristika útoků a útočníků

K technologickému a znalostnímu posunu dochází průběžně na obou stranách, u obránců čili provozovatelů IT infrastruktury, i u útočníků. Konsolidované a virtualizované IT prostředí v cloudu lze lépe zajistit než heterogenní infrastrukturu, ale mění se i profil útočníků. Zatímco v minulosti byly hackeři IT nadšenci, kteří potřebovali sobě a svým komunitám něco dokázat, případně více či méně etickým způsobem chtěli poukázat na zranitelnost, nebo jen jednoduše chtěli škodit.

Moderní útočníci jsou organizované skupiny, nebo dokonce vládní organizace. Jejich cílem je získat identity, přístupy a následně cenné údaje. Kyberkriminalita je prostě byznys, proto útočníci dokonce analyzují nákladovou efektivitu útoku. Průměrný počet dní, kdy útočník pronikl do systému firmy a zůstal nezjištěn, je 200.

Výhody a rizika stínového IT

Veřejné a částečně i privátní cloudy přinesly s sebou i některé staronové fenomény, především stínové IT. Exekutiva má stále náročnější požadavky na IT podporu a v mnoha případech manažeři nejsou ochotni nebo s ohledem na byznys prostě nemohou akceptovat termíny, které jim navrhne IT oddělení a obstarávají si software, případně cloudové služby sami ve vlastní režii. Teprve pak se obrátí na IT oddělení, od kterého očekávají, že převezme na sebe nákladové bezpečnostní a další atributy řešení, která nakoupila jiná provozovna firmy.

V čem je hlavní riziko takového postupu? Vysvětlíme na příkladu. Marketingové oddělení nutně potřebuje nový nástroj na byznys kritické analýzy, nemůže čekat na standardní pořizovací procesy IT oddělení a obstará si požadovaný nástroj formou cloudové služby ve vlastní režii. Zabezpečení na straně poskytovatele služby bude na nejvyšší možné úrovni, tam problém není, ale zajištění přístupu ke službě na straně zákazníka je často na úrovni zabezpečení účtu sociální sítě teenagera.
Zamyslete se nad slovním spojením „byznys kritické analýzy“. V případě útoku na takovou službu přes ukradenou identitu zákazníka tak kyberkriminálníci nezískají surové údaje, které by jim ve většině případů byli na nic, ale přímo výsledky analýz. Dobrou analogií je, pokud si zloději ze skládky odvezou nákladní auto rudy obsahující zlato nebo si v kapse odnesou zlatou cihličku.

Bezpečnost v hybridním prostředí

Stále více firem sází na hybridní řešení, část infrastruktury si spravují ve vlastní režii a část pronajímají. Může jít například o společnosti se složitou IT infrastrukturou a zastaralými aplikacemi, které nelze přesunout do cloudu nebo jim přechod na cloud neumožňuje síťová odezva, omezení datové propustnosti či jiné regulace. Případně může jít o organizace, které potřebují mít nad svou infrastrukturou úplnou kontrolu a možnost konfigurovat si ji velmi specificky.
Výhodou jsou flexibilita a bezpečnost údajů hostovaných ve vlastní infrastruktuře, ať už skutečná, nebo domnělá. V mnoha případech je důvodem pro implementaci hybridního řešení i latence vzhledem na vzdálenost datových center globálního poskytovatele. Proto do popředí vystupuje otázka zabezpečení takových hybridních řešení. Jelikož ve většině případů jde o heterogenní prostředí a architektura každého řešení je unikátní, analytici a bezpečnostní odborníci otevřeně přiznávají, že k zajištění bezpečnosti hybridních cloudů neexistuje jednoduchý recept.

Především neexistuje jednotná definice hybridního cloudu. Je třeba vyřešit zabezpečení dat uložených u různých poskytovatelů a dat uložených v datových centrech firmy, přístupy k takové hybridní infrastruktuře a samozřejmě i pro zajištění klientských a mobilních zařízení propojených s cloudovou infrastrukturou. Nejvíce se osvědčila tzv. vícevrstvá bezpečnost a firmy, které ji mají implementovanou ve svých systémech a sítích, mohou stejné principy aplikovat i na hybridní cloud.

Klíčové je plánování, které je velmi obtížné až nemožné, pokud je součástí hybridní architektury i stínové IT. Firmy a organizace před nasazením nových technologií neberou velmi v úvahu otázku jejich zabezpečení. Tato otázka se dostane na program dne obvykle až po spuštění nové infrastruktury. Odpovědní zájemci o cloudové služby by si v přípravné fázi projektu měly nejen zvolit nejvýhodnější model jejich poskytování, ale také analyzovat rizika. Co by se stalo, kdyby byly narušeny důvěrnost, integrita nebo dostupnost vašich dat či aplikací v cloudu?

Renomovaní bezpečnostní experti s ohledem na praktické aspekty firmám doporučují, aby se při vytváření bezpečnostních politik zaměřily na jejich portabilitu. Nebylo by prozíravé přizpůsobovat politiku konkrétní cloudové službě. Pokud se společnost někdy z nějakého důvodu rozhodne pro změnu poskytovatele služeb, nebude muset od základů měnit svá bezpečnostní pravidla.





Úvodní foto: © Scanrail - Fotolia.com




Komentáře