Bezpieczeństwo w chmurze – chmura w bezpieczeństwie

Po ocenie aspektów ekonomicznych, prawnych i technologicznych, konieczne jest również zrozumienie ryzyk dotyczących bezpieczeństwa i odporności działania chmury. Oczywiście kluczowym elementem jest wybór modelu usług, który istotnie determinuje rodzaje zagrożeń i wynikających z nich ryzyk (jak również kosztów).
 

Modele usług w chmurze

Potencjalnie największy poziom kontroli mamy w modelu Infrastructure as a Service (IaaS) - gdzie nadzorujemy nasze systemy na poziomie administracyjnym. W tym modelu dostawca zapewnia usługi sieciowe, zasoby komputerowe (wirtualne lub sprzętowe) i przestrzeń na gromadzenie danych. Model ten jest zbliżony do tradycyjnego modelu on-premise z punktu widzenia kontroli. W modelu Platform as a Service (PaaS) spadają z nas obowiązki utrzymania wspierających systemów operacyjnych (np. aktualizacja, maintenance, zasoby), co pozwala skoncentrować się na wytwarzaniu i zarządzaniu aplikacjami. Z kolei w modelu Software as a Service (SaaS) mamy najmniejszy wpływ - aplikacja i infrastruktura wspierająca jest zarządzana i utrzymywana po stronie dostawcy, a usługa jest udostępniana przez Internet końcowemu użytkownikowi np. poprzez przeglądarkę internetową.
 

Modele wdrożenia chmury

Drugim istotnym komponentem jest sposób wdrożenia chmury. Może on być zrealizowany w 3 wariantach. Chmura publiczna (całkowicie zorganizowana w zasobach chmury), chmura hybrydowa (łącząca elementy systemów w chmurze oraz tych zlokalizowanych w infrastrukturze organizacji) lub chmura prywatna (gdzie zasoby zlokalizowane są w infrastrukturze organizacji przy użyciu technologii wirtualizacji). Przykładowo wariant hybrydowy może zapewniać etapowe rozwijanie infrastruktury w chmurze, co pozwala na większy komfort.

Powyższe decyzje i powiązane z nimi działania powinny wynikać ze strategii transformacji do chmury (określonych kierunków, celów, priorytetów, inicjatyw w tym zakresie) powiązanej ze strategią biznesową organizacji. Transfer do chmury może odbywać się etapowo, w zależności od profilu biznesowego organizacji, uwzględniając np. w pierwszym kroku migrację jednego konkretnego systemu. Pamiętajmy też, że dane naszej organizacji mogły już trafić do chmury przy współpracy z zewnętrznymi partnerami, dostawcami, którzy podjęli decyzję o przeniesieniu swojego biznesu do przetwarzania w chmurze.

Sprawdzone metody bezpieczeństwa

W zasadzie podejście do chmury nie różni się znacząco od podejścia do bezpieczeństwa organizacji. Należy tylko uwzględnić specyfikę tej usługi. Można w miarę prosty sposób spróbować podejść do tematu bezpieczeństwa chmury zadając podstawowe pytania potencjalnym dostawcom chmury dotyczące przetwarzania naszych danych – ich przechowywania oraz przesyłania. Ważne też jest zrozumienie, w jakim stopniu nasza organizacja korzysta z usług chmurowych już dziś. Czasem nie zdajemy sobie sprawy, że w praktyce możemy już korzystać z chmury (np. Salesforce, Cloud ERP SAP, Office 365). Część z naszych operacji biznesowych może być już przeniesiona do chmury, decyzją poszczególnych właścicieli biznesowych – co należy uwzględnić w strategii danej organizacji.

Kontrola nad danymi w chmurze

Istotne jest też gdzie przechowujemy obecnie nasze dane i gdzie mają się docelowo znajdować. W systemach znajdujących się w naszej infrastrukturze odpowiadamy i kontrolujemy nasze środowisko. Za bezpieczeństwo chmury odpowiada dostawca, ale za bezpieczeństwo swoich danych w chmurze odpowiadamy my. Pytanie więc w jaki sposób możemy sprawować kontrolę nad danymi? Oczywiście dostawca chmury musi zapewnić mechanizmy do tego celu i możliwość zabezpieczenia danych zgodnie z naszą klasyfikacją w całym cyklu życia informacji – od jej wytworzenia w sposób bezpieczny przez użytkowników (np. w chmurze lub zdalnie i upload przez VPN), przechowywania, poprzez przetwarzanie przez użytkowników (tu np. wchodzą aspekty bezpieczeństwa urządzeń użytkowników - BYOD, ale również kontrole przed wyciekiem danych – DLP itd.), jej współdzielenia, aż po archiwizację lub zniszczenie. Automatycznie dochodzą kwestie zapewnienia poufności danych (transfer informacji – warstwa transportowa, sama aplikacja, dane w czasie przechowywania – np. bazy danych – szyfrowanie, tokenizacja, maskowanie, itd.). W międzyczasie znaczenia nabierają kwestie zarządzania, w tym modelu i architektury bezpieczeństwa. A także konieczność zapewnienia bezpieczeństwa infrastruktury: systemów operacyjnych, maszyn wirtualnych, oraz samego procesu wytwarzania aplikacji DevSecOps. Powinniśmy również zadbać o zapewnienie monitorowania pod kątem zagrożeń, wykrywanie cyberataków i odpowiedniej reakcji na incydenty naruszenia bezpieczeństwa. Szczególne ważne jest zwrócenie uwagi na czas reakcji na incydent po stronie dostawcy oraz ogólny model komunikacji z klientem, który zagwarantuje efektywną wymianę informacji o potencjalnych zagrożeniach. Na koniec powinniśmy zagwarantować odpowiednią odporność usług, tak aby w wyniku ataku zminimalizować straty i przywrócić procesy biznesowe w oczekiwanym czasie.

Podstawowe podejście do bezpieczeństwa może różnić się w zależności od profilu ryzyka organizacji, jak również rodzaju chmury. Możemy je przeprowadzić sprawnie, jeśli zarządzamy ryzykami cyberbezpieczeństwa od samego początku projektu migracji. Istotne jest również, czy możemy wykorzystać obecne zdolności organizacji, dostępne narzędzia technologiczne lub czy potrzebujemy nowych narzędzi dedykowanych do pracy w chmurze. Przykładowo wykorzystanie usług monitorowania infrastruktury sieciowej pod kątem bezpieczeństwa w modelu managed service powinno z powodzeniem zostać zmigrowane do środowiska w chmurze. Ciekawym rozwiązaniem jest też tzw. Cloud Access Security Broker (CASB) – klasa produktów (narzędzi i usług) pośredniczących między organizacją a dostawcą chmury w celu zarządzania ryzykami związanymi z ochroną danych, prywatnością użytkowników i monitorowaniem bezpieczeństwa w chmurze.