Jak se připravit na cloud z hlediska bezpečnosti dat

Představte si, že jste CIO nebo CSO velké společnosti, jejíž roční tržby dosahují miliardy dolarů nebo i více. Jaké faktory byste měli vzít v potaz dříve, než se rozhodnete umístit firemní IT infrastrukturu do cloudu? Položte si následující otázky týkající se bezpečnosti. Co všechno patří a naopak nepatří do cloudu? Jakým způsobem ochráníme citlivá data? Jak ošetříme šifrování dat? Jak omezíme přístup k citlivým údajům? Jakým způsobem budou sledována kriticky důležitá systémová metada?

Předpokládejme, že každá společnost využívá několika segmentů u firewallů a odpovídající síťové prostředky pro komunikaci s poskytovatelem cloudu. Každý segment má přitom k dispozici celou škálu aplikací, jež podporuje. A protože služeb téhož cloudu bude pravděpodobně využívat i celá řada dalších společností, mohou sdílet segmenty firewallů a síťových komponent, stejnou databázi, virtualizovaný operační systém i úložiště dat.

Podívejme se nejprve na reálná bezpečnostní omezení ze strany prodejce cloudu. Vzhledem k absenci standardizace současných IT aplikací by mohlo být obtížné umístit veškerou firemní infrastrukturu do cloudu. Některé firmy například využívají mainframová řešení, jež jsou integrována s webovou službou. V našem konkrétním příkladu, s nímž jsme se setkali v nedávné době, byla webová služba propojena s POS (místem prodeje) a komunikovala s mainframem skrze proprietární porty TCP/IP. Mainframe tímto způsobem přijímal a ukládal citlivé kreditní informace. V tomto případě by bylo do cloudu vcelku jednoduše možné přesunout POS, webové služby a TCP/ /IP komunikaci. Mnohem obtížnější by to však bylo v případě samotné mainframové aplikace, úložiště dat a šifrovací technologie. Mainframe by sice také teoreticky bylo možné naportovat do cloudu, znamenalo by to však složité přepisování. A bez provedení analýzy ROI (návratnost investic) by k takovému řešení rozhodně nebylo moudré inklinovat.

Další problém představuje přístup k citlivým datům. Jakým způsobem je s nimi v cloudu nakládáno? SAN (Storage Area Network) rozdělí tyto data po všech discích úložiště. Chceme však, aby byla naše šifrovaná data rozprostřena po všech discích? Co se stane v případě, že dojde k poruše v databázi, souborovém systému nebo na disku SSD? Nedošlo by v tomto případě k rozšíření poruchy u dalších aplikací, jež sdílejí data ve stejném subsystému? Vhodná by byla metoda, která by izolovala šifrovaná data v jedné databázi, souborovém systému nebo na konkrétním disku.

Za třetí, jakým způsobem je možné aktualizovat šifrovací algoritmus pro uložená data? Šifrovaná data, uložená v rámci různých databází a systémových souborů, bude třeba časem aktualizovat, jelikož se zvyšujícím se výkonem procesorů je stále jednodušší cenná data dešifrovat. To znamená, že budou muset byt rozšifrovávána starým algoritmem a následně opět zašifrována novým. A kvůli novému algoritmu mohou nově zašifrovaná zabírat více prostředků v databázi nebo systému souborů. I toto je nutné sledovat.

Řešením by se mohlo stát použití rozdílných přístupů k požadovaným datům uvnitř cloudu poskytovatele. Nabízí se použití LDAP (Lightweight Directory Acess Protocol) nebo rozhraní Active Directory pro databáze, souborový systém nebo část disku, k nimž mají přístup pouze konkrétní jedinci zodpovědní za správu cloudu. Všichni klienti by patřili do jednoho adresáře cloudu rozděleného na cloud pro klienty, segmenty, uživatele s různým přístupem k různým datům v databázích, systémovým souborům nebo částem disku. Tento uzavřený systém zabraňuje neautorizovaným uživatelům i administrátorům dostat se k nesprávným datům.

K uložení segmentů a odpovídajících metadat by mělo být k dispozici prostředí vhodné k tomu, aby mohla společnost vkládat nebo případně extrahovat data, která vlastní. Přesně to adresáře LDAP a Active Directory umožňují. Klient cloudu tak může flexibilně využívat těchto flexibilních možností pro stažení a vylepšení požadovaných aplikací. Může také odstranit jednotlivé segmenty a data, například z důvodu nespokojenosti s cloudem poskytovatele. Hierarchie tohoto adresáře s metadaty by měla obsahovat definici segmentu s virtuálním firewallem, switchem a routerem pro daný segment sítě.