26 мај 2014

Bezbednost u Cloudu



Koncept Cloud computinga nudi velike mogućnosti uštede na IT troškovima, ali poslovanje u cloudu nosi i određene rizike.  Ti bezbednosni rizici mogu biti znatno manji ukoliko za sebe nađete prava cloud rešenja i brigu o tome poverite dokazanim IT stručnjacima.

Sve veći broj preduzeća u svetu danas poseduje i koristi cloud baziranu infrastrukturu – virtuelne resurse koji se kao  servis obezbeđuju preko Interneta. Postoje tri osnovna tipa cloud okruženja: privatni, javni i hibridni cloud. Tri osnovna modela servisa u svakom od cloud okruženja su: Infrastruktura kao servis (IaaS), Platforma kao servis (PaaS) i Softver kao servis (SaaS). Svaki od ova tri modela ima različiti uticaj na primenu bezbednosti u cloudu i nijedna mera nije univerzalno primenjiva na sva tri modela. Svaka kombinacija cloud servisa nosi poseban set rizika i zahteva posebne mere zaštite. 

Bezbednost kao pojam u svojoj osnovi podrazumeva raspoloživost (dostupnost ovlašćenim licima), integritet (nenarušavanje celovitosti) i pouzdanost (poverljivost, obezbeđenje od krađe).  Bezbednost u cloudu takođe mora da ispuni ove osnovne zahteve, ali i neke specifične kao što su: bezbednost mreže od zlonamernih aktivnosti spolja, bezbednost transakcija unutar data centra i između korisnika i data centra, bezbednost platforme odnosno softverskih aplikacija, zaštitu čuvanja i skladištenja podataka, saglasnost sa regulativom i propisima. Uglavnom, bezbednosni aspekti kao što su autentifikacija i autorizacija, enkripcija i kodovanje, digitalni sertifikati i slično, primenjuju se i u cloudu i van clouda i IT administratorima su dobro poznati.
Bezbednost podataka je disciplina koja je bazirana na razumevanju rizika. Korisnici moraju biti svesni potencijalnih rizika kada svoje podatke smeštaju u cloud ili koriste cloud aplikacije. Stoga moraju primeniti različite procese i tehnike kontrole da bi upravljali tim rizicima i sveli ih na prihvatljiv nivo. Prihvatljiv i u finansijskom pogledu.

I pored svih nabrojanih aspekata, bezbednost u cloudu se može podeliti u dve bazične kategorije: bezbednost koja se odnosi na cloud provajdere i bezbednost koja se tiče korisnika. Provajderi moraju obezbediti da njihova cloud arhitektura bude bezbedna, a podaci i aplikacije korisnika zaštićeni. Korisnici sa svoje strane moraju biti sigurni da je cloud provajder preduzeo sve neophodne mere za zaštitu njihovih podataka. Sa pravne tačke gledišta, ono što je zaštićeno u jednoj zemlji - u drugoj nije, stoga treba voditi računa i o tome koji su pravni mehanizmi raspoloživi ukoliko se dogodi da vaši podaci budu “provaljeni”. 
Kod tradicionalnih data centara problem bezbednosti se uglavnom rešavao primenom firewall-a i sistema za detekciju zlonamernih napada (tzv. IDS – Intrusion Detection Systems). Kod tradicionalnih računara, antivirus softver je naš sistem uglavnom činio sigurnim. Međutim, u cloudu takav sistem zaštite u kome se štiti samo ulaz u sistem nije dovoljan, jer se mnogo toga dešava i u samom cloudu odnosno unutar mreže i između servera i virtuelnih mašina u samom data centru.

Prednosti i izazovi bezbednosti u cloudu

Znam da kod mnogih postoji dilema: Da li i koliko kontrolišete svoje podatke ako ih outsource-ujete? Pitajte sebe da li i koliko sada kontrolišete svoje podatke, ima li rizika, koji su i koliki? Cloud provajderi uglavnom imaju dobro opremljene data centre, adekvatnu logistiku i visoko-kvalifikovano IT osoblje, što mala i srednja preduzeća sebi teško mogu da priušte. To podrazumeva i određene prednosti za korisnike clouda, kao npr. : mogućnost smeštaja (storage) i centralizacija podataka po nižoj ceni uz stručan monitoring i održavanje sistema; brzo reagovanje na incidente i havarije u sistemu bez gubljenja podataka i ugrožavanje poslovanja; nemogućnost nedostatka resursa (npr. nedovoljan kapacitet hard-diska), automatsko dodeljivanje resursa prema potrebama.  

Neki od ključnih izazova za bezbednost u cloudu su: smeštaj podataka na više „nepoznatih” lokacija; smeštaj podataka na medijume i resurse koje deli više korisnika; „raspoloživost” podatka posle raskida ugovora sa provajderom, u slučaju prodaje ili udruživanja kompanije; usaglašenost sa pravnom regulativom, „problem” spoljnog nadzora; restauracija podataka u slučaju prirodnih nepogoda ili usled ljudskih grešaka.
Cloud provajderi sigurno mogu obezbediti sigurnost i bezbednost vaših podataka, ali ne zaboravite da ste samo vi odgovorni za vaše podatke odnosno podatke vaše kompanije. Pri tome je najvažnije voditi računa o tri aspekta: lokaciji vaših podataka, kontroli vaših podataka i bezbednom transferu vaših podataka.

Poverenje u cloud

Neke vrste podataka su isuviše osetljive za smeštaj u javni ili hibridni cloud. U to npr. svakako spadaju personalni podaci ili poverljivi poslovni podaci, o klijentima npr.. Neki stručnjaci, nasuprot ovome, tvrde da korisnici u cloudu mogu potpuno biti zaštićeni ukoliko se primene pravi i tranparentni nivoi kontrole. Primena enkripcije (kodovanja) i tokenizacije može dodatno zaštititi vaše podatke od krađe i neovlašćenog korišćenja.

Ako napravite sopstveni privatni cloud, u vašim prostorijama, sva odgovornost je na vama kao administratoru vašeg data centra. Ako odlučite da deo ili ceo vaš cloud outsource-ujete (premestite kod nekog provajdera), onda ulazite u model sa podeljenom odgovorošću i poverenje u određenoj meri poklanjate nekom drugom. Zašto bi trebalo da imate poverenje u svog cloud provajdera? Zato što će možda on vaš IT posao obaviti bolje nego vi sami! Danas je većina Cloud provajdera sertifikovana za poslove koje rade. To znači da su spremni i sposobni da ispune određene standarde koji vam odgovaraju i koje vi verovatno ne možete tako lako ispuniti i dostići. Ako ih i ispunjavate, koliko vas sve to košta i može li biti efikasnije i jeftinije? 

Izbor cloud provajdera je stvar poverenja. To poverenje se gradi ne samo na osnovu tehnologije, već i primenjenog sistema bezbednosti i ljudi koji su odgovorni za bezbednost i sigurnost vaših podataka, naročito u pogledu dostupnosti, pristupa i nadzora tih podataka. Veliki cloud provajderi imaju stotine IT stručnjaka koji se bave problematikom bezbednosti u cloudu i to je činjenica koja se mora poštovati.

Kako (p)ostati bezbedan

Evo nekoliko bezbednosnih pitanja koje kompanije treba da razmotre zajedno sa svojim cloud provajderima i nekoliko saveta kako da osigurate bezbednost u cloudu:

·         Znati ko čemu i kako pristupa. Odrediti privilegovane korisnike i pooštriti kontrolu pristupa.

·         Ograničiti pristup podacima baziran na user kontekstu. Promeniti nivo pristupa cloudu zavisno od toga odakle korisnik pristupa i čime pristupa (smartfon, javni ili privatni računar).

·         Povećati stepen obezbeđivanja podataka koji su smešteni u cloud. Identifikovati osetljive i poverljive baze podataka i za njih primeniti dodatnu zaštitu, enkripciju i monitoring. Razmotriti da li je moguća enkripcija podataka na svim nivoima, gde se dizajniraju i kako se testiraju algoritmi enkripcije i da li to rade iskusni profesionalci.

·         Povećati stepen bezbednosti za pristup sa mobilnih aparata. Osigurati maksimalno da korprativni podaci budu odvojeni i zaštićeni od ličnih podataka na mobilnom aparatu. 

·         Obezbediti dodatnu zaštitu u mreži data centra, sa mogućnostima (što naprednije) analize i kontrole pristupa sadržajima i aplikacijama u cloudu u realnom vremenu.

·         Obezbediti mogućnost praćenja aktivnosti i nadzora u samom cloudu. Cilj je da se identifikuju mogući signali da rizik potencijalnog napada ili curenja podataka postoji. Npr. registrovanje neuobičajene promene toka podataka u određeno doba dana ili noći, višestruki pokušaji validacije passworda i sl. Dobro bi bilo da cloud provajder ima mogućnost da istraži i proveri bilo koju nedozvoljenu ili neželjenu aktivnost.

·         Proveriti usaglašenost sa regulativom, posedovanje odgovarajućih sertifikata, mogućnost eksterne revizije, kredibilitet provajdera i njegovih administratora.

·         Razmotriti backup, održivost i raspoloživost podataka. Da li cloud provajder može pouzdano da prebaci korisnikove podatke na drugu lokaciju ukoliko postojeća postane problematična ili neraspoloživa? Šta se dešava sa podacima u slučaju havarija, da li provajder nudi potpunu restauraciju podataka i, ako nudi, koliko bi taj proces trajao? Da li je omogućena kontrola svake lokacije na kojoj su smešteni podaci korisnika? Šta se dešava sa podacima ukoliko cloud provajder napusti svoju delatnost, da li se i u kojoj formi korisniku vraćaju podaci?  

Zaključak

Bezbednost u cloudu je veoma važan faktor u njegovoj primeni i ukoliko se budete pridržavali ovih saveta i pažljivo razmotrite sva ova pitanja, potruno ćete biti spremni da ocenite realnost primene Cloud computing rešenja koje zadovoljava vaše potrebe.

Sa daljim rastom i razvojem biznisa u cloudu, bezbednost u cloudu postaće sve važnije i sve kompleksnije pitanje. Slučaj Edvarda Snoudena, viteza modernog doba, naterao je regulatorna tela u EU i šire da ozbiljno razmotre osetljivost transfera podataka smeštenih istovremeno na serverima u nekoliko (prekomorskih) država i dodatno reformišu pravnu regulativu. Sad kad sigurno znamo da mogu da nas gledaju i slušaju kad hoće i ako hoće, ne treba biti paranoik. O bezbednosti vaših podataka ipak i uglavnom sami odlučujete! Ključ je u vašim rukama, cloud provajderi su tu da olakšaju biznis i učestvuju u njegovom unapređenju.

4 коментара:

Анониман је рекао...

Kome je namenjen ovaj tekst?

Saša Stamenković је рекао...

Kome je namenjen tekst? Dobro pitanje.

Kome je namenjen blog? I to bih mogli da preispitamo uskoro, ionako se bliži jubilarnu 500. post. Možda je vreme "za penziju" ili druge oblike izražavanja. Videćemo!

P.S.: Inače, ovo je moj tekst objavljen u nekom od prethodnih brojeva Connect-a.

Ninoslav је рекао...

Dobar tekst, ali smatram da nedostaje pregled cloud provajdera kod nas.
Ninoslav

Saša Stamenković је рекао...

@NINOSLAV:

Hvala na pohvali, a što se tiče pregleda - nema besplatne reklame!

Ovaj tekst je, istine radi, bio napisan kao uvertura za reklamu jednog srpskog cloud provajdera. Reklama je usledila u drugom tekstu u časopisu u kome je tekst objavljen.