O bezpečnosti datových center ve srovnání s podnikovou serverovnou už asi nikdo nepochybuje, datová centra mají mnohem vyšší úroveň fyzického zabezpečení i zabezpečení dat. Na rozdíl od firem mají poskytovatelé cloudových služeb možnost replikace dat do více geograficky oddělených nezávislých úložišť. Vzdálenost mezi nimi záleží na možnostech poskytovatele a na vašich potřebách. Klíčovým faktorem bezpečnosti cloudových služeb je důvěryhodnost provozovatele datového centra a poskytovatele služby a hlavně zajištění přístupu na straně konzumentů cloudových služeb.
Při jedné z návštěv datového centra Microsoftu v Dublinu nám vysvětlovali, že pro zajištění služeb poskytovaných formou modelů SaaS (Office 365) nebo PaaS (Azure) pracuje několik více či méně propojených týmů bezpečnostních expertů. Jeden tým předpokládá, že útočníci už systém nabourali, a snaží se je odhalit. Jiný tým si hraje na etické hackery a snaží se nabourat vlastní systémy. Pečlivě analyzují logy a dělají mnoho proaktivních preventivních opatření.
Cloud jako takový je bezpečný. Většina útoků na systémy v cloudu je vedena pod identitou ukradenou nebo jinak získanou od zákazníka. Podle statistik největší bezpečnostní hrozbou zůstávají vlastní zaměstnanci, kteří nedodržují bezpečnostní předpisy nebo se úmyslně pokoušejí zneužít firemní data bez ohledu na to, zda jsou v cloudu nebo ve vlastním datovém centru.
Charakteristika útoků a útočníků
K technologickému a znalostnímu posunu dochází průběžně na obou stranách, u obránců čili provozovatelů IT infrastruktury, i u útočníků. Konsolidované a virtualizované IT prostředí v cloudu lze lépe zajistit než heterogenní infrastrukturu, ale mění se i profil útočníků. Zatímco v minulosti byly hackeři IT nadšenci, kteří potřebovali sobě a svým komunitám něco dokázat, případně více či méně etickým způsobem chtěli poukázat na zranitelnost, nebo jen jednoduše chtěli škodit.
Moderní útočníci jsou organizované skupiny, nebo dokonce vládní organizace. Jejich cílem je získat identity, přístupy a následně cenné údaje. Kyberkriminalita je prostě byznys, proto útočníci dokonce analyzují nákladovou efektivitu útoku. Průměrný počet dní, kdy útočník pronikl do systému firmy a zůstal nezjištěn, je 200.
Výhody a rizika stínového IT
Veřejné a částečně i privátní cloudy přinesly s sebou i některé staronové fenomény, především stínové IT. Exekutiva má stále náročnější požadavky na IT podporu a v mnoha případech manažeři nejsou ochotni nebo s ohledem na byznys prostě nemohou akceptovat termíny, které jim navrhne IT oddělení a obstarávají si software, případně cloudové služby sami ve vlastní režii. Teprve pak se obrátí na IT oddělení, od kterého očekávají, že převezme na sebe nákladové bezpečnostní a další atributy řešení, která nakoupila jiná provozovna firmy.
V čem je hlavní riziko takového postupu? Vysvětlíme na příkladu. Marketingové oddělení nutně potřebuje nový nástroj na byznys kritické analýzy, nemůže čekat na standardní pořizovací procesy IT oddělení a obstará si požadovaný nástroj formou cloudové služby ve vlastní režii. Zabezpečení na straně poskytovatele služby bude na nejvyšší možné úrovni, tam problém není, ale zajištění přístupu ke službě na straně zákazníka je často na úrovni zabezpečení účtu sociální sítě teenagera.
Zamyslete se nad slovním spojením „byznys kritické analýzy“. V případě útoku na takovou službu přes ukradenou identitu zákazníka tak kyberkriminálníci nezískají surové údaje, které by jim ve většině případů byli na nic, ale přímo výsledky analýz. Dobrou analogií je, pokud si zloději ze skládky odvezou nákladní auto rudy obsahující zlato nebo si v kapse odnesou zlatou cihličku.
Bezpečnost v hybridním prostředí
Stále více firem sází na hybridní řešení, část infrastruktury si spravují ve vlastní režii a část pronajímají. Může jít například o společnosti se složitou IT infrastrukturou a zastaralými aplikacemi, které nelze přesunout do cloudu nebo jim přechod na cloud neumožňuje síťová odezva, omezení datové propustnosti či jiné regulace. Případně může jít o organizace, které potřebují mít nad svou infrastrukturou úplnou kontrolu a možnost konfigurovat si ji velmi specificky.
Výhodou jsou flexibilita a bezpečnost údajů hostovaných ve vlastní infrastruktuře, ať už skutečná, nebo domnělá. V mnoha případech je důvodem pro implementaci hybridního řešení i latence vzhledem na vzdálenost datových center globálního poskytovatele. Proto do popředí vystupuje otázka zabezpečení takových hybridních řešení. Jelikož ve většině případů jde o heterogenní prostředí a architektura každého řešení je unikátní, analytici a bezpečnostní odborníci otevřeně přiznávají, že k zajištění bezpečnosti hybridních cloudů neexistuje jednoduchý recept.
Především neexistuje jednotná definice hybridního cloudu. Je třeba vyřešit zabezpečení dat uložených u různých poskytovatelů a dat uložených v datových centrech firmy, přístupy k takové hybridní infrastruktuře a samozřejmě i pro zajištění klientských a mobilních zařízení propojených s cloudovou infrastrukturou. Nejvíce se osvědčila tzv. vícevrstvá bezpečnost a firmy, které ji mají implementovanou ve svých systémech a sítích, mohou stejné principy aplikovat i na hybridní cloud.
Klíčové je plánování, které je velmi obtížné až nemožné, pokud je součástí hybridní architektury i stínové IT. Firmy a organizace před nasazením nových technologií neberou velmi v úvahu otázku jejich zabezpečení. Tato otázka se dostane na program dne obvykle až po spuštění nové infrastruktury. Odpovědní zájemci o cloudové služby by si v přípravné fázi projektu měly nejen zvolit nejvýhodnější model jejich poskytování, ale také analyzovat rizika. Co by se stalo, kdyby byly narušeny důvěrnost, integrita nebo dostupnost vašich dat či aplikací v cloudu?
Renomovaní bezpečnostní experti s ohledem na praktické aspekty firmám doporučují, aby se při vytváření bezpečnostních politik zaměřily na jejich portabilitu. Nebylo by prozíravé přizpůsobovat politiku konkrétní cloudové službě. Pokud se společnost někdy z nějakého důvodu rozhodne pro změnu poskytovatele služeb, nebude muset od základů měnit svá bezpečnostní pravidla.
Lidský faktor
Kromě výhod mají hybridní řešení i nevýhody. Jednoznačně největším rizikem jsou vlastní zaměstnanci. Někdy stačí malý podnět, objektivní nebo subjektivní, a pracovník začne zaměstnavateli škodit. Jindy jsou příčinou neopatrného a nezodpovědného přístupu neznalost a neinformovanost. I poskytovatelé cloudových služeb mají zaměstnance, ti jsou však dobře vyškoleni a každý má přístup pouze k takové části infrastruktury a na takové úrovni, jak to vyžadují jeho pracovní povinnosti. Proto při definování pomyslné čáry mezi vlastní a cloudovou infrastrukturou musejí firmy reálně posoudit, kolik energie, zdrojů a znalostí dokážou investovat do zabezpečení vlastní serverovny či datového centra.
Při výběru poskytovatele cloudové služby je zřejmě bezpečnější spolehnout se na renomovanou globální firmu se striktně definovanými, a co je nejdůležitější, i striktně vynucovanými bezpečnostními politikami než na start-up, kde dělají ti nejlepší geek, vzděláním a zkušenostmi zřejmě předčí „kravaťáka“ v renomovaných firmách, ale na bezpečnostní směrnice mají vlastní názor. To je paradoxně ten lepší případ. V horším případě žádné směrnice nemají a spoléhají se na vlastní zkušenosti a neomylnost.
Optimální míra zabezpečení
Při cloudových službách platí, že čím více autonomie zákazník požaduje, tím více infrastruktury musí spravovat. U modelu IaaS klient spravuje vše nacházející se v architektonickém schématu nad úrovní virtualizační vrstvy, tedy servery, databáze, prostředí pro běh aplikací a aplikace samotné. Na zmíněných úrovních je zodpovědný i za úroveň zabezpečení.
Firmy a organizace jsou pod značným tlakem, aby zlepšily bezpečnost svých informačních systémů vzhledem k rostoucímu počtu interních a externích útoků, které se zaměřují především na nejcennější artikl – na data. Strategie zabezpečení sítě musí být optimalizována nejen vzhledem k ochraně informačních aktiv podniku proti hrozbám, ale i pro běžné fungování. Moderní obchodní operace vyžadují otevřené sítě propojené s partnery, poskytovateli služeb a dalšími zainteresovanými „třetími“ stranami. Při plánování míry zabezpečení není proto možné se ubírat ani nadmíru konzervativní cestou a příliš omezovat síťový přístup.
Nové modely poskytování IT jako služby vyžadují i nové modely zabezpečení, k dispozici je zabezpečení jako služba. Trh bezpečnostních služeb se rozšířil nad rámec tradičních managed security services směrem k outsourcingu a cloudovým službám typu security-as-a-service.
Kontroverzní výhoda cloudu
Provozovatel služby má ze zákona povinnost v určitých situacích poskytnout údaje oprávněným orgánům. Ve firmě policie při prohlídce okamžitě zabaví servery, disky a další komponenty, které potřebují. Pokud jsou požadované údaje v cloudové službě, proces, aby se oprávněné orgány dostaly k údajům předmětného zákazníka, je relativně složitý. Provozovatel služby ve většině případů osloví klienta a požádá ho, aby údaje sám vydal, nebo o údaje požádá globálního poskytovatele služby. To se nedá přímo, ve věci musí rozhodnout soud země, kde poskytovatel sídlí. Takže proces zabavení údajů, který místní policie zvládne za hodinu, může v cloudové službě trvat týdny nebo spíše měsíce.