Eksperci powtarzają, że jeśli dokładnie wyselekcjonuje się operatora chmury, to można do jego środowiska bezpiecznie przenieść większość aplikacji i danych. Historia lubI się powtarzać. Jest tylko kwestią czasu, kiedy wątpliwości dotyczące bezpieczeństwa i prywatności przetwarzania w chmurze zostaną rozwiązane tak, jak było w przyszłości z wirtualizacją.

Mimo tak jednoznacznego stanowiska niektórych ekspertów dzisiaj bezpieczeństwo to główny hamulec wykorzystania cloud computingu w wielu dużych firmach. Obawy są szczególnie widoczne wśród kadry kierowniczej IT, która dopiero rozważa migrację do chmury. Ci, którzy już zdecydowali się na ten krok, są zwykle zadowoleni z zabezpieczeń, które oferuje usługodawca.

Zobacz również:

• Złośliwe oprogramowanie w chmurze - nowy, niebezpieczny trend
• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24

Ankieta przeprowadzona przez firmę Intermap wśród 250 decyzyjnych osób w średnich i dużych firmach pokazała, że 40% ankietowanych, którzy uważają się za ostrożnych w stosunku do chmury, wymieniło bezpieczeństwo jako główną przeszkodę. Dla kontrastu, tylko 15% spośród osób, które stwierdziły, że poznały chmurę w praktyce, odpowiedziało w ten sam sposób. Zdaniem analityków z Intermap wyniki pokazują, że firmy znacznie przeszacowują zagrożenia bezpieczeństwa związane z chmurą. Grupa „ostrożnych” przykłada mniejszą wagę do kwestii wydajności czy cięcia kosztów niż firmy, które już korzystają z chmury. To może sugerować, że przedsiębiorstwa w pierwszej kolejności analizują poziom bezpieczeństwa podczas oceny operatora cloud computingu.

Kwestia zaufania

Dostawcy usług chmurowych oferują różny poziom bezpieczeństwa, ale zawsze w ostatecznym rozrachunku problem sprowadza się do obdarzenia zaufaniem zewnętrznego podmiotu w zakresie przechowywania firmowych danych. To nie powinno być zbyt trudne dla kierownictwa IT. Nauczyli się już ufać sprzętowi, oprogramowaniu czy usługom outsourcingu, podobnie mogą zacząć ufać operatorom chmur publicznych. Popularne przekonanie, że brak bezpieczeństwa to nieodłączna cecha cloud computingu, jest błędne.

Mimo wszystkich obaw o bezpieczeństwo chmury, zdarzyło się tylko kilka przypadków kradzieży danych, które firmy przeniosły do publicznej chmury. W rzeczywistości większość przypadków przełamania zabezpieczeń wynikało z błędów leżących po stronie klientów.

Wścibska władza

Wciąż trwają prace nad tym, jak radzić sobie z żądaniami dostępu do danych ze strony agencji rządowych. Duzi operatorzy, m.in. Google czy Microsoft, już podjęli kroki, aby zapewnić większą przejrzystość. Takie firmy są lepiej przygotowane, aby legalnie walczyć z zapędami władzy o dostęp do danych niż ich klienci.

Decyzja dotycząca korzystania z cloud computingu chmury nie musi być zero-jedynkowa. Odpowiednio klasyfikując dane i przenosząc mniej wartościowe do chmury, firma może skupić się na ochronie tych informacji, które mają dla niej największą wartość.

Głosowanie portfelem

Praktyka zaczyna potwierdzać rozważania ekspertów. Owszem, CIO nadal wymieniają bezpieczeństwo jako najpoważniejszą obawę związaną z korzystaniem z chmury. Jednak na pytanie, czy przenieśliby do chmury ważne dla firmy aplikacje, coraz częściej odpowiedź brzmi: tak. Okazuje się, że zalety chmury zaczynają przeważać nad jej wadami, w tym obawami związanymi z bezpieczeństwem.

Z ankiety przeprowadzonej przez Forrestera wśród 2 tys. przedsiębiorstw wynika, że aż 40% pytanych przeniosło już część aplikacji do chmury lub w najbliższym czasie planuje tak zrobić. W 2012 r. ten odsetek wynosił 30%, a prognoza mówi, że w 2014 r. sięgnie aż 50%.

Z jednego powodu trudno uznać bezpieczeństwo jako poważny argument: przedsiębiorstwa inwestują zbyt mało w zabezpieczenia. Badanie 2013 SIM IT Trends Study pokazuje, że bezpieczeństwo informatyczne to drugi w kolejności priorytet dla kierownictwa IT, ale jednocześnie dopiero 14. na liście największych inwestycji IT. Gdyby przyjąć, że firmy ustalają rzeczywiste priorytety, głosując swoimi budżetami, bezpieczeństwo okazuje się mniej istotnym zagadnieniem.

Te wyniki nie są zaskakujące – inwestycje w bezpieczeństwo raczej nie przyciągną nowych klientów, przynajmniej nie zrobią tego bezpośrednio. W pewnym sensie jest to niewidzialna funkcjonalność, którą na dalszy plan spychają takie projekty jak big data czy inne aplikacje generujące przychód.

Szybkość ważniejsza niż bezpieczeństwo

Funkcjonuje pogląd, że chmurę publiczną można zastąpić chmurą prywatną, która jest bardziej bezpieczna. Takie rozumowanie nie docenia szybkości wdrażania nowych usług, co jest ważnym aspektem funkcjonowania współczesnych firm. Przy obecnym stanie technologicznym chmury publiczne sprawdzają się lepiej w zapewnianiu biznesowi elastyczności i szybkości wdrażania. Działy biznesowe nie mogą pozwolić sobie na oczekiwanie, aż IT dostarczy im niezbędne zasoby w chmurze prywatnej, jeśli mogą je łatwo pozyskać z chmury publicznej.

Nie znaczy to jednak, że chmura prywatna się nie przyjmie. Zdaniem Martena Mickosa, prezesa firmy Eucalyptus, chmura prywatna przyjmuje się w firmach, ale w odwrotnej kolejności, niż wielu oczekiwało. Początkowo sądzono, że firmy mające ogólnie awersję do ryzyka najpierw będą wdrażać chmury prywatne, a dopiero później zainteresują się chmurami publicznymi, aby zwiększyć elastyczność swoich środowisk IT. Tymczasem obserwujemy odwrotną sytuację: postępujący wzrost popularności chmur publicznych, za nim podąża wdrażanie chmur prywatnych jako bezpiecznego schronienia dla danych i aplikacji, które nie są odpowiednie do przeniesienia do chmury publicznej.

Potwierdza to sytuacja na rynku usług chmurowych. Globalnym liderem jest Amazon. Według firmy Forrester chmura tej firmy będzie się nadal rozwijać i nie zagrozi jej ewentualny wzrost popularności chmur prywatnych. Zdaniem analityków realną konkurencję stanowią obecnie operatorzy innych chmur publicznych, tacy jak Google czy Microsoft. To pokazuje, że obawy dotyczące bezpieczeństwa, słuszne lub nie, schodzą na dalszy plan, gdy w zasięgu ręki pojawiają się takie korzyści, jak zwiększenie elastyczności prowadzenia biznesu. Zdaniem ekspertów podobną sytuację będziemy obserwować jeszcze przez jakiś czas, dopóki informatycy nie zdobędą więcej doświadczenia w obszarze cloud computingu.

Zgubna ignorancja

Nadanie priorytetu aspektom biznesowym korzystania z chmur publicznych nie powinno jednak prowadzić do ignorowania kwestii bezpieczeństwa. Z perspektywy klienta jest kilka obszarów, które wymagają rozważenia.

Pierwszym jest współdzielenie zasobów. Większość chmur publicznych działa w modelu, w którym wielu klientów korzysta z tych samych zasobów: procesorów, pamięci masowych czy pamięci operacyjnej. Taki model kryje w sobie jeszcze wiele nieznanych zagrożeń. Nie chodzi wyłącznie o możliwy dostęp do naszych danych przez innego klienta. Problemem jest szkodliwe oprogramowanie, tworzone z myślą o wykorzystaniu luk we współdzielonym środowisku. Potencjalnie taka luka grozi udzieleniem włamywaczowi dostępu do danych wielu użytkowników czy ustaleniem ich tożsamości. Eksperci już wyróżnili kilka nowych klas zagrożeń specyficznych właśnie dla współdzielonego modelu chmur publicznych.

Wirtualne exploity

Każdy duży dostawca chmury na szeroką skalę korzysta z wirtualizacji. To łączy się ze wszelkimi zagrożeniami związanymi z wirtualizacją, a także szeregiem specyficznych dla danej chmury, włączając w to exploity wykorzystujące podatności w oprogramowaniu zarówno maszyn fizycznych, jak i maszyn wirtualnych. Większość tych potencjalnych zagrożeń została do tej pory słabo poznana i nie jest uwzględnienia w większości modeli kalkulacji ryzyka.

Klienci korzystający z chmury publicznej najczęściej nie wiedzą, którą platformę wirtualizacyjną bądź jakie narzędzia zarządzania są wykorzystywane przez usługodawcę. A warto o to zapytać, żeby móc przynajmniej ogólnie ocenić ryzyko.

Uwierzytelnianie i kontrola dostępu

Oczywiście, decydujące znaczenie ma wybór samych mechanizmów uwierzytelniania i kontroli dostępu, ale dużo zależy również od procesów. Przykładowo, należy wziąć pod uwagę, jak często są usuwane stare, nieużywane konta lub ilu użytkowników z rozszerzonymi uprawnieniami ma dostęp do systemu i danych klienta.

Ochrona danych to kolejny duży obszar wymagający uwagi. Jeśli dane są szyfrowane, należy ustalić, czy pracownicy operatora chmury mają dostęp do kluczy. Warto też sprawdzić, gdzie fizycznie dane są przechowywane i co się z nimi dzieje, gdy przestają być potrzebne. Zapewne operatorzy chmur nie zawsze będę chętni, aby udzielić odpowiedzi na takie pytanie, ale warto spróbować zapytać.

Dostępność

Użytkownik chmury publicznej nie ma kontroli nad redundancją czy odpornością na błędy. Co więcej, z reguły operator nie podaje informacji, jakie systemy wdrożył w tych obszarach. Przeciwnie, firmy raczej przechwalają się poziomem dostępności swojej infrastruktury i jej odporności na błędy, po czym potrafią im się przydarzyć awarie, skutkujące brakiem dostępu do usług.

Podobnie bywa z backupem, więc nawet jeśli operator chmury zapewnia, że ma solidne procedury i doskonały system backupowy, nie zaszkodzi samemu zrobić kopię danych przechowywanych w chmurze publicznej.

Kto jest właścicielem?

To może być zaskakujące, ale często klienci nie są jedynymi właścicielami danych. Wielu operatorów chmur publicznych, włączając w to tych największych i dobrze znanych, ma w swoich regulaminach i umowach klauzulę wyraźnie mówiącą, że dane przechowywane w chmurze stają się własnością jej operatora. Wynika to z faktu, że takie zapisy dają usługodawcom większą ochronę prawną w przypadku, gdy coś pójdzie źle. Dodatkowo, mogą analizować dane klientów, tworząc w ten sposób dla siebie dodatkową wartość.

Przejrzystość chmury

Nawet jeśli potencjalne zagrożenia korzystania z chmury są znane, to trudno je oszacować. Po prostu brakuje historycznego doświadczenia i dokumentacji, które pozwalałyby na określenie prawdopodobieństwa złamania zabezpieczeń czy braku dostępu do chmury, szczególnie dla konkretnych usługodawców. Trudno też ocenić, jakie konsekwencje niesie ze sobą ryzyko.

Największy problem stanowią całkiem nowe zagrożenia, których istnienia w ogóle nie podejrzewamy. Można jednak zrobić kilka rzeczy, aby je zminimalizować. Przede wszystkim należy zadbać o przejrzystość, na ile to możliwe. Scenariusz minimum zakłada dostęp do podsumowania ostatniego przeprowadzonego audytu danej chmury.

Warto wypytać operatora chmury, czy zdarzyły mu się już włamania zakończone sukcesem włamywacza. Dobrym pomysłem jest rozszerzenie odpowiedzialności operatora najbardziej, jak się da. Tylko poprzez dociekliwość i stawianie trudnych pytań klient może zrozumieć realny poziom zagrożenia dla bezpieczeństwa, jeśli zdecyduje się na korzystanie z chmury publicznej.

W praktyce operatorzy chmur publicznych stosują znacznie lepsze zabezpieczenia niż ich klienci w swoich lokalnych środowiskach IT. Mimo to klient powinien mieć świadomość, jakie rozwiązania stosuje operator chmury i jakie podejmuje środki, aby ograniczyć ryzyko.