Image
25.4.2014 0 Comments

Ako zaistiť bezpečnosť dát a aplikácií aj v cloude

Cloud-computing1.jpg Cloud computing prináša okrem výhod aj nové požiadavky na bezpečnosť dát a aplikácií, ktoré máme v cloude. Podľa ich charakteru a podľa požiadaviek na ich bezpečnosť musíme zvoliť vhodný implementačný typ (privátny, verejný alebo hybridný) a vhodný servisný model cloudu (IaaS, PaaS alebo SaaS), ktorý použijeme. 

Jedna z dôležitých otázok, ktoré musíme riešiť pri bezpečnosti cloudu, je súlad s legislatívou. V niektorých prípadoch treba dosiahnuť aj súlad s ďalšími predpismi alebo normami, ako je napr. ISO/IEC 27000, ktorý predstavuje celosvetovo najrozšírenejší štandard na zostavenie, implementáciu, prevádzku, monitorovanie, revíziu a zlepšovanie bezpečnosti informačných systémov.

Problém je, že špeciálne pre oblasť cloud computingu neexistujú všeobecne záväzné štandardy. Takéto štandardy bezpečnosti, ktoré by akceptovali všetci poskytovatelia cloudových služieb, sa snaží vytvoriť nezisková organizácia Cloud Security Alliance (CSA, https://cloudsecurityalliance.org), ktorá združuje výrobcov bezpečnostných riešení, poskytovateľov cloudových služieb, konzultačné spoločnosti a ďalších vyše sto firiem z tejto oblasti.

Výsledkom snahy CSA sú okrem iného aj dva dokumenty: Security Guidance for Critical Areas of Focus in Cloud Computing (verzia 3) a Cloud Services Providers Security Assessment Questionnaire. Prvý z nich predstavuje best practices na budovanie bezpečného cloudu. Druhý predstavuje súbor otázok určený pre poskytovateľov cloudových služieb. Otázky sú zamerané na zistenie, aké bezpečnostné prvky daný cloud poskytuje pre model IaaS, PaaS alebo SaaS.

Tento problém sa snaží riešiť aj nová stratégia EÚ pre cloud computing New strategy to drive European business and government productivity via cloud computing z 27. septembra 2012.

Na zachovanie bezpečnosti cloudu je nevyhnutné neustále monitorovanie bezpečnosti prevádzky a efektívne nastavenie procesov riešenia bezpečnostných incidentov. Ak monitorovací systém zaznamená bezpečnostný útok, odpoveď musí byť rýchla a adekvátna rozsahu a závažnosti daného útoku.

Pri definícii procesu riešenia bezpečnostného incidentu je dôležité definovať tím, ktorý bude incident riešiť. Mali by v ňom byť ľudia z rôznych oddelení firmy s presne vymedzenými kompetenciami a zodpovednosťou. Ďalšie prvky tohto procesu sú opis eskalácie incidentu, opis postupov pre každú eskalačnú úroveň a spôsob aktualizácie celého procesu na základe reálnych skúseností alebo nových bezpečnostných riešení.

Otázku bezpečnosti v cloude môžeme rozdeliť do štyroch oblastí: dátová, sieťová, prevádzková a fyzická bezpečnosť. Všetky oblasti sa týkajú hlavne infraštruktúry, na ktorej je cloud vybudovaný. Pre cloudovú infraštruktúru je najdôležitejšia jej vysoká dostupnosť, ktorá sa dá dosiahnuť použitím overených technológií, redundantnou architektúrou a jej umiestnením do dátového centra spĺňajúceho podmienky štandardu Tier 3.

Dáta sú to najdôležitejšie, čo má firma uložené v cloude. Pri ochrane dát musíme vyriešiť dve úlohy: ich bezpečné uloženie a ochranu pred zneužitím treťou stranou. Bezpečné uloženie riešime tým, že dáta sú umiestnené na diskových poliach s ochranou RAID. Okrem toho môžu byť zálohované v inej, geograficky vzdialenej lokalite. Na zálohovanie môžeme použiť riešenie Backup & Replication od firmy Veeam, ktoré vykonáva kompresiu dát na blokovej úrovni a zároveň zálohované dáta deduplikuje.

Ochranu pred zneužitím treťou stranou zabezpečí šifrovanie virtuálnych serverov a ich diskového priestoru. Na šifrovanie môžeme použiť ProtectV od spoločnosti SafeNet. ProtectV šifruje celý virtuálny server vrátane partície operačného systému. Šifrovacie kľúče sú uložené v bezpečnom hardvérovom zariadení, fyzicky umiestnenom u zákazníka, ktorý ich aj spravuje. Prístup k dátam šifrovaného virtuálneho servera vyžaduje explicitnú autentifikáciu a autorizáciu používateľa.

Súčasťou každého virtuálneho systému je firewall umožňujúci bezpečnú komunikáciu cez šifrovaný tunel pomocou protokolu IPSec, OpenVPN alebo SSL. K ďalším bezpečnostným prvkom firewallu patria vyrovnávanie záťaže (Load Balancing), systémy na odhaľovanie útokov a detekciu zraniteľnosti systému (IDS/IPS) a webový aplikačný firewall. Všetky tieto prvky môžu bežať aj ako samostatné bezpečnostné moduly.

V špeciálnych prípadoch možno použiť aj vlastný fyzický firewall. Zariadenie je vtedy umiestnené v dátovom centre a vzniká tak virtuálny rack, ktorý obsahuje fyzické zariadenia používateľa, ale aj virtuálne servery.

Dátové centrum kategórie Tier 3 spĺňa náročné bezpečnostné požiadavky na prevádzku IT, ako je napájanie, chladenie, hasenie a detekcia zatečenia alebo požiaru. Cloudová infraštruktúra je navyše neustále monitorovaná. Monitorovací systém sleduje základné prevádzkové parametre procesorov, pamätí, diskového priestoru, sieťových prvkov a operačných systémov. V prípade potreby vie kontrolovať a vyhodnocovať aj iné špecifické parametre a dokáže monitorovať aj bežiace aplikácie až na úroveň transakcie. Výstupy z monitorovacieho systému sú pre používateľov prístupné cez webové rozhranie, notifikácie a reporty sa zasielajú mailom.

Dátové centrum kategórie Tier 3 spĺňa aj bezpečnostné požiadavky na fyzickú bezpečnosť, ako je lokalita, špeciálna budova so železobetónovým skeletom, bezpečnostný perimeter, nepretržitá strážna služba, kontrolovaný vstup do budovy, osobná identifikácia čipovou kartou a PIN kódom, kamerový sledovací systém a zónovanie prevádzkových priestorov.

Rozmach používania cloud computingu prináša nové bezpečnostné riziká. Pre všetky oblasti bezpečnosti - dátovú, sieťovú, prevádzkovú aj fyzickú - existujú riešenia, pomocou ktorých vieme dosiahnuť rovnakú úroveň ochrany dát a aplikácií ako pri tradičnom budovaní vlastnej IT infraštruktúry.

Skúsenosti z posledného obdobia ukazujú, že najväčšou bezpečnostnou hrozbou zostávajú vlastní zamestnanci, ktorí či už z nedbalosti nedodržujú bezpečnostné predpisy, alebo sa úmyselne pokúšajú zneužiť firemné dáta bez ohľadu na to, či sú v cloude alebo vo vlastnom dátovom centre.

Ľubomír Očko, Managing Director, Rackscale, s. r. o.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Internet

Google Mapy vám už ukážu, kde sa dá dobre zaparkovať

19.01.2017 00:23

Mapy Googlu budú opäť užitočnejšie. Ich nová aktualizácia v9.44 beta totiž prináša funkciu, ktorá ukáže používateľom, aké možnosti parkovania môžu očakávať na mieste určenia. Získajú tak predstavu o t ...

Internet 8

Stroj na morálne dilemy. Moral Machine umožní rozhodnúť, koho život má autonómne vozidlo obetovať pri nehode

19.01.2017 00:40

So samojazdiacimi autami experimentuje čoraz viac firiem, a tak sa vynárajú aj otázky o tom, ako majú vozidlá rozhodovať v krízových situáciách. Ak napríklad niekto nečakane vbehne do jazdnej dráhy, m ...

Internet

10 trendov pre tohtoročný trh s mobilnými aplikáciami

18.01.2017 00:15

Na začiatku nového roka sa spoločnosť Resco pozrela na najdôležitejšie trendy, ktoré čaká tento biznis v roku 2017. Výskum spoločnosti App Annie predpokladá, že celkové výdavky spotrebiteľov na nákup ...

Žiadne komentáre

Vyhľadávanie

ShowIT

Najnovšie videá