Czarne chmury

Usługi cloud computing są coraz częściej wykorzystywane przez firmy, w tym także polskie. Oprócz zysków przetwarzanie w chmurze niesie z sobą także zagrożenia.

Czarne chmury
Czytaj też:

CIO w prywatnych chmurach

Większość organizacji planuje strategię wykorzystania przetwarzania danych w chmurze albo podobne usługi wykorzystuje w praktyce. Czym jest prywatna chmura dla CIO?

Cloud computing - szansa, czy zagrożenie dla CIO?

Większość osób odpowiedzialnych za korporacyjne środowiska IT jest świadoma potencjalnych korzyści biznesowych wynikających z zastosowania rozwiązań oferowanych w modelu usługowym. W miarę wzrostu liczby wykorzystanych aplikacji dostarczanych w formie usługi rosną jednak obawy przed utratą kontroli nad środowiskiem IT.

IEEE podejmuje prace nad standardami cloud computing

Organizacja IEEE podejmuje pierwsze kroki zmierzające do uporządkowania sytuacji panującej w obszarze chmur obliczeniowych i inicjuje w ramach nowego przedsięwzięcia Cloud Computing Initiative dwa projekty, które powinny pomóc rozwiązywać problemy związane z brakiem zgodności takich środowisk IT.

Cloud computing w dojrzałej administracji - na początek komunikacja

Wdrażanie rozwiązań opartych na modelu chmury można zacząć w polskiej administracji od platform wideokonferencyjnych i narzędzi pracy grupowej.

Koniec oprogramowania jakie znamy

Z Jackiem Murawskim, dyrektorem generalnym Microsoft Polska rozmawiamy o strategii polskiego oddziału w zakresie sprzedaży rozwiązań cloud computing, planach rozwoju tych usług i nowej ofercie aplikacji oferowanych w chmurze.

Jak będzie wyglądał Office 365, czyli biuro Microsoftu w chmurze

Nowy pakiet Microsoftu jest obecnie w fazie testów beta, ale jeszcze przed wakacjami ma się znaleźć w sprzedaży. Wczoraj (17 kwietnia) Microsoft udostępnił publicznie wersję beta Office 365.

Jednym z powodów rozpowszechniania usług w modelu cloud są czynniki ekonomiczne. W przypadku niektórych procesów biznesowych wynajęcie maszyny wirtualnej u dostawcy chmury jest znacznie tańsze od uruchamiania procesów związanych z obsługą kolejnego serwera przez IT. Jednak przy korzystaniu z usługodawcy w modelu cloud dane firmowe z definicji wychodzą poza sieć IT przedsiębiorstwa, zatem należy poważnie rozważyć ryzyko takiego przedsięwzięcia.

Niemal każda firma przetwarza dane uznawane za wrażliwe - na przykład dane osobowe pracowników w dziale kadr. Ponieważ dane osobowe muszą być odpowiednio chronione, przeniesienie ich do publicznej chmury praktycznie nie jest możliwe bez dodatkowych zabezpieczeń. Ponadto nawet wtedy firma nie mogłaby podać lokalizacji przetwarzanych informacji, a takie są wymagania odnośnie do przetwarzania informacji o szczególnym znaczeniu, takich jak dane osobowe przechowywane na przykład w systemie ERP. Jest to jeden z powodów, dla których publiczna chmura nie nadaje się do hostowania danych o szczególnym znaczeniu, niezależnie od stosowanych zabezpieczeń w infrastrukturze usługodawcy. Wynika to stąd, że przy tak klasyfikowanej informacji przynajmniej część zabezpieczeń musi być kontrolowana przez przedsiębiorstwo.

Zobacz również:

  • Cisco i Microsoft transmitują dane z prędkością 800 Gb/s
  • Kwanty od OVHCloud dla edukacji
  • Nvidia odtworzyła całą planetę. Teraz wykorzysta jej cyfrowego bliźniaka do dokładnego prognozowania pogody

Kłopotliwy sąsiad

W środowisku cloud computing nie można stwierdzić, kto jeszcze współdzieli zasoby. Ponieważ fakt hostowania wielu maszyn wirtualnych w jednym środowisku fizycznym jest jednym z założeń tej usługi, istnieje dość duże ryzyko pozyskania przez inny podmiot dostępu do przetwarzanych danych. Przyczyną może być błąd w konfiguracji separacji połączeń maszyny wirtualnej i zasobów storage (zoning) lub niedostateczne oddzielenie połączeń sieciowych (możliwość sniffingu, także sieci SAN przy powszechnym korzystaniu z protokołu iSCSI). O ile zewnętrzne połączenia są już od dawna standardowo szyfrowane za pomocą SSL, o tyle nie zawsze to dotyczy połączeń niosących dane wewnątrz sieci SAN. Należy przy tym pamiętać, że stosowanie protokołu FibreChannel nie gwarantuje bezpieczeństwa, gdyż są już narzędzia, które umożliwiają sniffing wewnątrz sieci SAN i wychwycenie informacji transakcyjnych tą drogą również jest możliwie. Rozwiązaniem, które zmniejsza ryzyko przechwycenia danych przez podsłuch sieci SAN, jest konsekwentnie stosowane szyfrowanie wszystkich informacji wysyłanych do i z maszyny wirtualnej. Chociaż powoduje to wzrost obciążenia CPU, ale przy dzisiejszych procesorach narzut ten jest niewielki i nie uzasadnia on pozostawienia danych w postaci niezaszyfrowanej.

Kolejnym ryzykiem, które należy rozważyć, jest możliwość przełamania zabezpieczeń hypervisora przez podmiot trzeci. Chociaż jest to mało prawdopodobne, zdarzenie takie nadal jest możliwe - oprogramowanie wirtualizujące jest na tyle skomplikowane, że na pewno zawiera błędy, które w pewnych warunkach być może udaje się wykorzystać. Dostawcy cloud computing hostują wiele maszyn wirtualnych i aplikacji, przy czym mają bardzo ograniczoną kontrolę nad tym, co dana maszyna robi. Jeśli włamywacz będzie miał uprawnienia systemowe wewnątrz hypervisora (co zazwyczaj jest regułą, bo jakoś musi administrować swoją maszyną, także w obcym środowisku), to może spróbować wykorzystać którąś ze znanych mu luk i starać "wydostać się" ze środowiska chronionego hypervisorem. Skutkiem przejęcia kontroli nad hypervisorem jest przełamanie zabezpieczeń praktycznie wszystkich maszyn wirtualnych hostowanych w tym środowisku. Jest to poważne zagrożenie, dlatego należy wziąć je pod uwagę przy rozważaniu hostowania aplikacji w publicznej chmurze, z której usług może skorzystać każdy, także włamywacz.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200