Jsou cloud aplikace bezpečné?

2.7.2012 - Problematika cloud computingu je v posledních letech zmiňována stále častěji. V situaci ovlivněné horšícím se ekonomickým prostředím jsou firmy nuceny zamýšlet se nad efektivitou vynakládaných prostředků a fungováním firemních procesů. Technologie virtualizace použité v systémech cloud computingu umožňují nejen lepší využití HW zdrojů, ale také možnost pořídit si nové služby, které by byly vzhledem k velikosti a rozsahu zdrojů pro firmu klasickým způsobem nedostupné. Účastníci kulatého stolu, který proběhl na podzim 2011 v Bruselu se shodli, že využití cloudu přinese malým a středním firmám v rámci EU úsporu ve výši 1,2 mld. EUR.




Z průzkumů mezi firmami vyplývá, že firmy pohlížejí na cloud computing jako na jeden z nejdůležitějších faktorů, které do budoucna ovlivní podnikání. Stejně tak si ale uvědomují rostoucí bezpečnostní rizika spojená s využíváním internetu a rychlým vývojem technologií.


Co je to cloud computing

Cloud computing je na internetu založený model vývoje a používaní počítačových technologií. Lze ho také charakterizovat jako poskytování služeb či programů uložených na serverech na internetu s tím, že uživatelé k nim mohou přistupovat například pomocí webového prohlížeče nebo klienta dané aplikace a používat je prakticky odkudkoliv. (Wikipedia.org)

Cloud computing je obecným výrazem pro vše co zahrnuje poskytování hostovaných služeb prostřednictvím internetu. Tyto služby jsou rozděleny do tří kategorií a to: infrastruktura jako služba (IaaS), platforma jako služba (PaaS) a software jako služba (SaaS). (TechTarget.com)

Cloudové řešení může být veřejné nebo soukromé. Veřejný cloud je standardizovaným řešením, které poskytuje služby komukoliv na internetu. Nejčastěji jde o emailové služby, on-line kanceláře, úložiště dat. Mohou to být služby velkých poskytovatelů, jako jsou Google, Microsoft, Amazon. Soukromý cloud je tvořen vlastní sítí nebo datovým centrem, které poskytuje hostované služby omezenému počtu uživatelů. Rozsah poskytovaných služeb a uložení dat je nastaveno pro potřeby konkrétního zákazníka a systém je pod jeho dohledem. Toto řešení je vhodné pro správu kritických firemních dat např. údaje z platebních karet.

Třetí možností je ještě hybridní řešení, které kombinuje jak veřejné, tak soukromé cloudové služby. Výhodou může být dostupnost dodatečných služeb nebo lepší ekonomické parametry celého řešení. Celý systém se pak navenek tváří jako jednotné řešení. Charakteristickými vlastnostmi a v mnohých případech i výhodami nasazení cloudových řešení jsou:
  • Sdílení prostředků s více uživateli - což na jednu stranu vede k efektivnímu využití HW vybavení s využitím virtualizace, kdy se při běžném používání vytížení infrastruktury může pohybovat v rozmezí 10 - 15%. Takové řešení je pak z ekonomického a z ekologického hlediska mnohem přijatelnější.  Na druhou stranu sdílení prostředků vyvolává obavy z bezpečnosti uložení zákazníkových dat někde “na hromadě” se všemi ostatními.
  • Vysoká škálovatelnost a elasticita řešení - tato vlastnost představuje velkou výhodu při vykrývání vysokých nároků na výpočetní výkon požadovaný zákazníkem a možnost řešení přizpůsobit se velikosti organizace. Pokud se totiž vyskytne požadavek na zvýšení počtu uživatelů/zaměstnanců, stačí jen objednat další licence a téměř okamžitě je možné firmu rozšířit. Funguje to však i opačně v případě zmenšení nebo rozdělení organizace.
  • Platby podle rozsahu využití - úhrada za využívání služeb je závislá na skutečném objemu využití. Pokud jsou předmětem úhrady licence, platí se jen za konkrétní počet založených uživatelů, pokud jsou to data nebo využitý strojový čas, platí se jen za jeho spotřebovanou část.
  • Způsob správy a aktuálnost systémů - HW a softwarové vybavení je pod správou provozovatele a tak je průběžně, centralizovaně, automaticky aktualizováno. Uživatel se již nemusí starat o údržbu systému a zaměřuje se výhradně na obsah a práci s daty.
  • Přístup přes internet - vzhledem k tomu, že jsou datová centra a systémy umístěny na vzdálených místech, veškerá komunikace je zajištěna prostřednictvím internetu. To přináší výhodu, že uživatelé se mohou připojit ke svým službám odkudkoliv na celém světě.


Rizika provozování cloudových řešení

Přesto, že cloudová řešení představují jasné přínosy, představují také určitou hrozbu. Přenechání provozování služeb jiné osobně představuje pro mnohé sázku do loterie. Zvláště pokud byli zvyklí dohlížet a řídit kritické oblasti jako je bezpečnost a výkon systémů. Bezpečnost je dnes hlavní výzvou napříč cloudovými řešeními.

Z průzkumu společnosti KPMG (Clarity in the Cloud 2011) vyplývá, že:

  • 44 % dotázaných společností považuje za největší překážku zavedení cloudových technologií bezpečnost,
  • 29 % dostatečnou výkonnost systému,
  • 20 % problémy s integrací cloudu do současných systémů,
  • 18 % nedostatečný dohled nad IT systémy,
  • 16 % ztráta plné kontroly nad daty s ohledem na zájmy zákazníků.

Obecně mohou být v oblasti rizik informačních systémů definovány následující zdroje rizika. Tabulka srovnává cloudové řešení s klasickým modelem - tedy provozováním systémů na vlastním HW v rámci firmy.

 

Klasický model Zdroje rizik Cloudové řešení
??? Výpadky díky přetížení Dynamické přizpůsobení potřebného výkonu
Data jsou pod dohledem majitele Problémy s utajením ? Může být řešeno šifrováním dat
??? Ztráta / krádež hardwaru Data jsou chráněna v centrálním úložišti
??? Problém s dostupností / porucha serverů / ztráta dat Oddělené redundantní systémy
Místo uložení je známé a v souladu s legislativou Problémy se shodou kvůli oddělenému uložení dat ? Úložiště lze smluvně stanovit na konkrétní místo
??? Problémy správy softwaru Automatické a trvalé aktualizace
Nemusí být vždy možné určit viníka škody Otázky záruk v případě problémů ? Záruky jsou jasně stanoveny
??? Virová hrozba Vysoce efektivní antivirová ochrana
??? Útoky z internetu Komplexní řešení bezpečnosti s bezpečnostními týmy 24/7


??? - riziko záleží na konkrétních bezpečnostních opatřeních společnosti 

? - může být upraveno podle konkrétních požadavků společnosti

Zdroj: T-Systems Czech Republic

  • Výpadky díky přetížení - u klasického řešení založeného na vlastních serverech je výkonnost systému předem jasně vymezena, pokud se systém přiblíží k hranicím své výkonnosti, s největší pravděpodobností nastanou výpadky způsobené přetížením. Cloudové řešení je v tomto ohledu mnohem flexibilnější a disponuje dostatečnou výkonnostní rezervou.
  • Problémy s utajením dat - majitel dat má u klasického konceptu jasný přehled o tom, kdo k datům přistupuje, sám nastavuje úroveň ochrany dat. U cloudobého řešení, je to již otázkou důvěry a případného zašifrování dat.
  • Ztráta/krádež hardwaru - s rostoucím počtem mobilních zařízení (notebooky, smartphony) i s použitím např. USB disků roste pravděpodobnost ztráty zařízení i dat. U cloudového řešení jsou data uloženy v zabezpečené serverovně a jsou prohlížena vzdáleně.
  • Problémy s dostupností, poruchami a ztrátou dat - udržení vlastního systému v bezvadném provozu vyžaduje dobré plánování, spolehlivou práci správců a hlavně dostatek finančních prostředků. Udržet krok s technologickým vývojem a získat kvalitní a spolehlivé zaměstnance není levnou záležitostí. U cloudových řešení je mnohem větší prostor pro standardizaci všech procesů a samotné systémy jsou zdvojené nebo jinak jištěné pro dosažení maximální bezpečnosti a výkonnosti.
  • Problémy se shodou kvůli uložení dat - právní předpisy hlavně při práci s citlivými osobními údaji dbají na bezpečnost uložení a způsob nakládání s údaji. U cloudových řešení tak může nastat situace, že data by mohla být uložena v zemích, které legislativně nevyhoví. Zde je na dodavateli cloudu, aby zajistil schodu s legislativou a garantoval např. uložení dat v rámci ČR.
  • Problémy správy softwaru - softwarové vybavení by mělo být pod stálým dohledem a v případě, že se vyskytne bezpečnostní chyba, měla by být okamžitě instalována bezpečnostní aktualizace. U klasického řešení není však často k dispozici bezpečnostní profesionál ani systematická kontrola, která by se o toto postarala. U cloudových řešení jsou tyto problémy trvale sledovány, automaticky jsou instalovány bezpečnostní záplaty.
  • Otázka záruk v případě problémů - u systémů by měly být jasně specifikovány odpovědnosti za vzniklé problémy. V tomto však může vzniknout problém jak u klasického tak u cloudového přístupu, kdy není možné jasně definovat viníka problémů.
  • Virové hrozby - odhalení virové hrozby je otázkou antivirových systémů a dostatečně výkonného hardwaru. U klasického systému často nejsou vyčleněny dostatečné zdroje pro efektivní antivirovou obranu. U cloudového řešení může být díky centralizaci této kontroly ochrana efektivnější.
  • Útoky z internetu - problematika obrany před útoky z internetu představuje požadavek na kvalitní bezpečnostní tým a systematické zabezpečení. U klasického serverového přístupu to však často není z ekonomických důvodů možné. 

Kvalitní zajištění bezpečnosti firemních systémů vyžaduje dostatek péče, která je často nad možnosti malý, středních, ale i velkých firem, jak dokázaly krádeže a úniky zákaznických dat v nedávné minulosti. Značnou bezpečnostní hrozbou je zde lidský faktor. Velcí poskytovatelé cloudových řešení mají možnost najímat nejlepší světové IT specialisty, aby dostatečnou úroveň nastavili, nebo v případě problémů zajistili nápravu. Zajistit takovouto úroveň ve firmě o 20 zaměstnancích je prakticky nemožné. Společnosti jsou často ukolébány falešným pocitem bezpečí, pokud na server fyzicky vidí a mají nad správou kontrolu. Pocit bezpečí rychle mizí po odcizení serveru ze sídla společnosti, vypuknutí požáru, povodně, přepsání dat na disku po špatném nastavení diskového pole, špatně nastaveném parametru zálohování nebo zcizení dat zaměstnancem.


Hlavní zdroje ohrožení firemních dat

Přesto, že je oblast bezpečnosti cloudu vnímána jako nejvýznamnější problém jejich nasazení, je dobré se podívat, jaká jsou obecně největší ohrožení firemní bezpečnosti. Společnost Deloite ve své studii (2011 TMT Global Security Study) zaměřené na technologické společnosti, média a telekomunikace identifikuje jako největší hrozby pro rok 2012:

  • Využívání mobilních zařízení - 34 %
  • Porušení bezpečnosti zahrnující případy třetích stran - 25 %
  • Chyby a opomenutí zaměstnanců - 20 %
  • Rychlou implementaci nových technologií - 18 %
  • Zneužití informací a informačních systémů zaměstnanci - 17 %
Z výše uvedených čísel je vidět, že velkým rizikem je používání mobilních zařízení, jako jsou notebooky, chytré telefony a tablety. Data na těchto zařízeních mohou být ztracena při ztrátě zařízení, zapůjčení cizí osobně nebo zcizena díky nedostatečnému zabezpečení zařízení. Naprostá většina ohrožení vzniká v souvislosti s činností a chybami vlastních zaměstnanců. Jedná se jak o neúmyslné tak o úmyslné vynesení informací. Zaměstnanci často nepřisuzují informacím kritickou váhu a necítí se osobně zodpovědní za jejich ochranu.


Dodržování bezpečnostních standardů ze strany zaměstnanců

Dnešní převážně mladí zaměstnanci díky sociálním sítím a značnému zapojení do virtuálního života mají posunuté vnímání soukromí a např. zveřejňování až intimních informací na internetu pro ně nepředstavuje ztrátu soukromí. Podobným způsobem může pak být přistupováno k utajování firemních údajů a zaměstnanci se rádi podělí s okolím o zajímavé informace. Podle zjištění společnosti CISCO při průzkumu mezi studenty a mladými zaměstnanci, 70 % zaměstnanců porušuje bezpečnostní pravidla s určitou pravidelností.

  • Nejčastěji (33 %) si myslí, že nedělají nic špatného,
  • 22 % zaměstnanců považuje použití zakázaných aplikací za nutné k dokončení své práce,
  • 19 % porušuje nařízení proto, že nejsou nikým kontrolována,
  • 18 % tvrdí, že nemá čas přemýšlet o pravidlech, když musí pracovat a
  • 16 % dodržování pravidel nevyhovuje.

Společnosti, které chtějí v měnícím se prostředí obstát, by tak měly věnovat dostatečnou pozornost nastavení bezpečnostních standardů uvnitř společností, zaměstnance v oblasti bezpečnosti vzdělávat a dohlédnout nad jejím dodržováním. Stejná pravidla platí také pro výběr a kontrolu poskytovatele cloudových služeb. V závislosti na druhu dat, která mají být do cloudu umístěna je zapotřebí zvážit, jestli je ochrana cloudového úložiště dostatečná. Pokud není, je možné ještě využít nástrojů třetích stan, které možností zabezpečení rozšiřují o šifrování, zálohování, obranu před distribuovanými útoky z internetu (DDoS), proniknutím malwaru apod. Při výběru poskytovatele je vhodné dohlédnout, zda má také potřebnou certifikaci jako ISO 27001, SOC 2 nebo SOC 3.

Z výše uvedeného se asi jako největší hrozba cloud computingu jeví předání firemních dat jiné osobě a neshoda s právními předpisy. Pokud firma identifikuje kritická data, která nemůže svěřit poskytovateli cloudových služeb, ale chce využít výhod virtualizace, začíná cesta u soukromého cloudu. V soukromém cloudu je možné vše od začátku nastavit a plně kontrolovat. Po získání dostatečných zkušeností může přijít na řadu hybridní a nakonec i veřejný cloud.

Pokud se jedná o data, která firmu nemohou z obchodního hlediska poškodit, nejsou obavy z bezpečnosti na místě, protože obecně jsou technologie a postupy použité u cloudových poskytovatelů bezpečnější než běžné firemní IT systémy. Při výskytu obavy z bezpečnosti cloudu je dobré porovnat současný stav a úroveň bezpečnosti poskytovanou dodavatelem cloudu a možná zjistíte, že to nejbezpečnější co můžete udělat je přejít do cloudu co nejrychleji.

 

David Skála, konzultant, který zavádí ve firmách nástroje pro snadnou práci na dálku s využitím internetu (online kanceláře - Google Apps, Microsoft Office 365, webináře, elearning, videokonference, firemní sociální sítě apod.). Firma také poskytuje konzultace a školení. Více zde >



© 2016 PRÁCE NA DÁLKU.CZ

Spolupracujeme: