Image
25.4.2014 0 Comments

Ako zaistiť bezpečnosť dát a aplikácií aj v cloude

Cloud-computing1.jpg Cloud computing prináša okrem výhod aj nové požiadavky na bezpečnosť dát a aplikácií, ktoré máme v cloude. Podľa ich charakteru a podľa požiadaviek na ich bezpečnosť musíme zvoliť vhodný implementačný typ (privátny, verejný alebo hybridný) a vhodný servisný model cloudu (IaaS, PaaS alebo SaaS), ktorý použijeme. 

Jedna z dôležitých otázok, ktoré musíme riešiť pri bezpečnosti cloudu, je súlad s legislatívou. V niektorých prípadoch treba dosiahnuť aj súlad s ďalšími predpismi alebo normami, ako je napr. ISO/IEC 27000, ktorý predstavuje celosvetovo najrozšírenejší štandard na zostavenie, implementáciu, prevádzku, monitorovanie, revíziu a zlepšovanie bezpečnosti informačných systémov.

Problém je, že špeciálne pre oblasť cloud computingu neexistujú všeobecne záväzné štandardy. Takéto štandardy bezpečnosti, ktoré by akceptovali všetci poskytovatelia cloudových služieb, sa snaží vytvoriť nezisková organizácia Cloud Security Alliance (CSA, https://cloudsecurityalliance.org), ktorá združuje výrobcov bezpečnostných riešení, poskytovateľov cloudových služieb, konzultačné spoločnosti a ďalších vyše sto firiem z tejto oblasti.

Výsledkom snahy CSA sú okrem iného aj dva dokumenty: Security Guidance for Critical Areas of Focus in Cloud Computing (verzia 3) a Cloud Services Providers Security Assessment Questionnaire. Prvý z nich predstavuje best practices na budovanie bezpečného cloudu. Druhý predstavuje súbor otázok určený pre poskytovateľov cloudových služieb. Otázky sú zamerané na zistenie, aké bezpečnostné prvky daný cloud poskytuje pre model IaaS, PaaS alebo SaaS.

Tento problém sa snaží riešiť aj nová stratégia EÚ pre cloud computing New strategy to drive European business and government productivity via cloud computing z 27. septembra 2012.

Na zachovanie bezpečnosti cloudu je nevyhnutné neustále monitorovanie bezpečnosti prevádzky a efektívne nastavenie procesov riešenia bezpečnostných incidentov. Ak monitorovací systém zaznamená bezpečnostný útok, odpoveď musí byť rýchla a adekvátna rozsahu a závažnosti daného útoku.

Pri definícii procesu riešenia bezpečnostného incidentu je dôležité definovať tím, ktorý bude incident riešiť. Mali by v ňom byť ľudia z rôznych oddelení firmy s presne vymedzenými kompetenciami a zodpovednosťou. Ďalšie prvky tohto procesu sú opis eskalácie incidentu, opis postupov pre každú eskalačnú úroveň a spôsob aktualizácie celého procesu na základe reálnych skúseností alebo nových bezpečnostných riešení.

Otázku bezpečnosti v cloude môžeme rozdeliť do štyroch oblastí: dátová, sieťová, prevádzková a fyzická bezpečnosť. Všetky oblasti sa týkajú hlavne infraštruktúry, na ktorej je cloud vybudovaný. Pre cloudovú infraštruktúru je najdôležitejšia jej vysoká dostupnosť, ktorá sa dá dosiahnuť použitím overených technológií, redundantnou architektúrou a jej umiestnením do dátového centra spĺňajúceho podmienky štandardu Tier 3.

Dáta sú to najdôležitejšie, čo má firma uložené v cloude. Pri ochrane dát musíme vyriešiť dve úlohy: ich bezpečné uloženie a ochranu pred zneužitím treťou stranou. Bezpečné uloženie riešime tým, že dáta sú umiestnené na diskových poliach s ochranou RAID. Okrem toho môžu byť zálohované v inej, geograficky vzdialenej lokalite. Na zálohovanie môžeme použiť riešenie Backup & Replication od firmy Veeam, ktoré vykonáva kompresiu dát na blokovej úrovni a zároveň zálohované dáta deduplikuje.

Ochranu pred zneužitím treťou stranou zabezpečí šifrovanie virtuálnych serverov a ich diskového priestoru. Na šifrovanie môžeme použiť ProtectV od spoločnosti SafeNet. ProtectV šifruje celý virtuálny server vrátane partície operačného systému. Šifrovacie kľúče sú uložené v bezpečnom hardvérovom zariadení, fyzicky umiestnenom u zákazníka, ktorý ich aj spravuje. Prístup k dátam šifrovaného virtuálneho servera vyžaduje explicitnú autentifikáciu a autorizáciu používateľa.

Súčasťou každého virtuálneho systému je firewall umožňujúci bezpečnú komunikáciu cez šifrovaný tunel pomocou protokolu IPSec, OpenVPN alebo SSL. K ďalším bezpečnostným prvkom firewallu patria vyrovnávanie záťaže (Load Balancing), systémy na odhaľovanie útokov a detekciu zraniteľnosti systému (IDS/IPS) a webový aplikačný firewall. Všetky tieto prvky môžu bežať aj ako samostatné bezpečnostné moduly.

V špeciálnych prípadoch možno použiť aj vlastný fyzický firewall. Zariadenie je vtedy umiestnené v dátovom centre a vzniká tak virtuálny rack, ktorý obsahuje fyzické zariadenia používateľa, ale aj virtuálne servery.

Dátové centrum kategórie Tier 3 spĺňa náročné bezpečnostné požiadavky na prevádzku IT, ako je napájanie, chladenie, hasenie a detekcia zatečenia alebo požiaru. Cloudová infraštruktúra je navyše neustále monitorovaná. Monitorovací systém sleduje základné prevádzkové parametre procesorov, pamätí, diskového priestoru, sieťových prvkov a operačných systémov. V prípade potreby vie kontrolovať a vyhodnocovať aj iné špecifické parametre a dokáže monitorovať aj bežiace aplikácie až na úroveň transakcie. Výstupy z monitorovacieho systému sú pre používateľov prístupné cez webové rozhranie, notifikácie a reporty sa zasielajú mailom.

Dátové centrum kategórie Tier 3 spĺňa aj bezpečnostné požiadavky na fyzickú bezpečnosť, ako je lokalita, špeciálna budova so železobetónovým skeletom, bezpečnostný perimeter, nepretržitá strážna služba, kontrolovaný vstup do budovy, osobná identifikácia čipovou kartou a PIN kódom, kamerový sledovací systém a zónovanie prevádzkových priestorov.

Rozmach používania cloud computingu prináša nové bezpečnostné riziká. Pre všetky oblasti bezpečnosti - dátovú, sieťovú, prevádzkovú aj fyzickú - existujú riešenia, pomocou ktorých vieme dosiahnuť rovnakú úroveň ochrany dát a aplikácií ako pri tradičnom budovaní vlastnej IT infraštruktúry.

Skúsenosti z posledného obdobia ukazujú, že najväčšou bezpečnostnou hrozbou zostávajú vlastní zamestnanci, ktorí či už z nedbalosti nedodržujú bezpečnostné predpisy, alebo sa úmyselne pokúšajú zneužiť firemné dáta bez ohľadu na to, či sú v cloude alebo vo vlastnom dátovom centre.

Ľubomír Očko, Managing Director, Rackscale, s. r. o.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Internet 1

Prečo Google v utorok večer nefungoval?

24.11.2016 00:15

V utorok večer postihol služby Googlu rozsiahly výpadok, ktorý trval zhruba dve hodiny a zasiahol vo veľkej miere krajiny strednej Európy vrátane Česka a Slovenska. Používatelia nemali prístup k vyhľa ...

Internet

Instagram konkuruje Facebooku a Snapchatu. Zavádza živé video a miznúce správy

24.11.2016 12:00

Instagram sa pri svojich novinkách už aj v minulosti inšpiroval Snapchatom a tentoraz podľa jeho vzoru pridáva aj živé videá a miznúce správy. Živé videá čoskoro umožnia používateľom jednoduchým stla ...

Internet

Sociálna sieť LinkedIn v Rusku končí, ďalší na rade je Facebook a Twitter

18.11.2016 00:06

Federálna služba pre dozor v oblasti telekomunikácií, informačných technológií a masmédií (Roskomnadzor) vo štvrtok oznámila, že nariadila poskytovateľom komunikačných služieb zablokovať prístup na Li ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá