(Nie)bezpieczna chmura?

Cloud computing jest uważany przez osoby specjalizujące się w nowoczesnych technologiach za model rewolucyjny, jednocześnie jednak często bywa przedstawiany w nadmiernie skomplikowany sposób. W celu uproszczenia można powiedzieć, że dobrym przykładem cloud computing jest usługa „Hotmail”. Koncepcja cloud computing w rzeczywistości sprowadza się do tego, że użytkownik łącząc się z centrum danych za pomocą swojego połączenia internetowego, uzyskuje dostęp do usługi online, w tym przypadku do elektronicznej poczty Hotmail.

W miarę tego, jak zaczęliśmy korzystać z internetu w bardziej zaawansowany sposób, a strony WWW stały się bardziej dynamiczne, pojęcie usługi online uległo redefinicji. Kiedyś używaliśmy sieci do wyszukiwania informacji, a obecnie wchodzimy z nią w interakcje. Usługi ewoluowały stając się samodzielnymi aplikacjami. Oferują obecnie funkcje w takiej samej postaci, jakiej przywykliśmy oczekiwać od komputerów osobistych.

Czy wiesz, że:

• w przypadku modelu cloud computing występują te same problemy z zaufaniem, jak w każdej innej usłudze technicznej, ale dodatkowo potęgowane są one z większą złożonością spowodowaną tym, że poruszamy się na wyższym poziomie abstrakcji;
• prawidłowo zaprojektowany i wdrożony model cloud computing może przynieść nowe, bardziej skalowalne strumienie mocy obliczeniowej;
• stowarzyszenie specjalistów ds. bezpieczeństwa The Jericho Forum opracowało model Cloud Cube, który  wymienia kroki, jakie powinny przedsięwziąć firmy, zanim zdecydują się na usługi cloud computing;
• technologia bezpiecznego wyszukiwania i surfowania AVG LinkScanner®  może zastosować ponad 100 wskaźników potencjalnego zagrożenia do strony WWW
• Wszystkie usługi cloud computing mają swe źródła w scentralizowanym centrum danych, po czym są dostarczane indywidualnym użytkownikom, a na poziomie zbiorczym  – całej firmie. Ten korporacyjny szczebel drabiny komputerowej jest miejscem, w którym użylibyśmy terminu „oprogramowanie jako usługa” (Software-as-a-Service, SaaS).

Cloud computing bez zaufania to tylko nisko wisząca mgła

Jeśli usługi cloud computing są dostarczane (i co niezwykle ważne, również wdrażane) inteligentnie, mają pozytywny wpływ na przedsiębiorstwo, ponieważ mogą zapewnić rzeczywistą oszczędność kosztów wynikającą ze współdzielenia zasobów sprzętowych i programowych. Dodając do tego zwiększoną elastyczność, która pozwala działać efektywniej, kiedy popyt na usługi IT rośnie (albo zmniejsza się), jasno zobaczymy, że ten paradygmat przetwarzania danych ma do odegrania ważną rolę we współczesnych centrach danych na całym świecie.

Cloud computing wymaga  jednak zaufania do dostawcy usług, który zarządza centrum danych. Bez zaufania nie można mówić o gwarancji bezpieczeństwa. Decydując się na inwestycję w rozwiązania chmurowe warto zastanowić się, jak dużo danych firma ujawni zewnętrznemu dostawcy.

Bruce Schneier, guru bezpieczeństwa, radzi, by bliżej przyjrzeć się kwestiom bezpieczeństwa związanym z przenoszeniem zasobów do chmury.

„Bezpieczeństwo IT opiera się na zaufaniu. Trzeba ufać producentowi procesora, sprzętu, systemu operacyjnego i oprogramowania, a także dostawcy usług internetowych” — stwierdza Schneier na swoim blogu — „Każdy z tych elementów może narazić firmę na niebezpieczeństwo: złamać zabezpieczenia systemowe, uszkodzić dane, pozwolić przeprowadzającemu atak na dostęp do systemów”.

„Kiedy komputer działa w naszej sieci, możemy chronić go za pomocą innych środków, takich jak zapory sieciowe i systemy wykrywania włamań (IDS). Możemy zbudować odporny system, działający nawet wtedy, gdy producenci, którym musimy ufać, nie są godni naszego zaufania w wystarczającym stopniu” – mówi Schneier.  – „Natomiast w każdym modelu outsourcingowym, czy to cloud computing, czy jakimś innym, brak zaufania jest niemożliwy. Musimy ufać nie tylko zabezpieczeniom zewnętrznego dostawcy, ale również jego niezawodności, dostępności i ciągłości biznesowej”.

Jak dostać się do chmury?

Stowarzyszenie The Jericho Forum opracowało szereg strategii, które firmy powinny stosować w relacjach z dostawcami usług cloud computing. Strategie te wchodzą w skład modelu Cloud Cube (www.opengroup.org/jericho/cloud_cube_model_v1.0.pdf), który omawia kluczowe czynniki, jakie powinny rozważyć firmy przed podpisaniem umowy z producentem lub dostawcą usług.

Adrian Secombe, członek zarządu Jericho Forum i główny dyrektor ds. bezpieczeństwa informacji w firmie farmaceutycznej Eli Lilly, mówi:

„Chmurowe podejście do organizacji firmy może być zarówno bezpieczniejsze, jak i wydajniejsze niż stara struktura silosowa. Widziany z innej perspektywy, model cloud computing otwiera potencjalną puszkę Pandory z sennymi koszmarami specjalisty ds. bezpieczeństwa, wśród których poczesne miejsce zajmuje utrata poufności i integralności danych”.

Choć z czasem może się okazać, że model cloud computing nie spełnia pokładanych w nim nadziei, obecnie wydaje się logiczną drogą rozwoju technologii komputerowej. Można śmiało założyć, że większość firm ostatecznie przyjmie przynajmniej niektóre aspekty tego modelu, zwłaszcza jeśli okazuje się on ekonomiczny i elastyczny.

Zaufanie do dostawcy usług wydaje się nieodłącznym elementem tego modelu, ale nie ulega wątpliwości, że firmy mogą podjąć pewne kroki, aby ograniczyć ryzyko — od wysokopoziomowego modelowania, do bardziej wypróbowanego podejścia do bezpieczeństwa internetowego i sprzętowego.

Według specjalistów z AVG oprogramowanie AVG LinkScanner® w rzeczywistości wykorzystuje „chmurową” bazę danych, aby ocenić, czy dana witryna zawiera złośliwy kod. Oprogramowanie LinkScanner® firmy AVG pomaga też zapobiegać atakom przez sieć WWW, które mogłyby potencjalnie zostać zintegrowane z aplikacjami cloud computing oraz powiązanymi witrynami.

Co robić?

• Zapoznać się z modelem Cloud Cube stowarzyszenia Jericho Forum przed podpisaniem umowy z producentem oprogramowania lub dostawcą usług internetowych.
• Przeanalizować, jak dużo danych będzie eksponowanych i na jakie ryzyko naraża to firmę.
• Używać aktualnego oprogramowania antywirusowego

Przeczytaj więcej o cloud computing