Chmura pod ostrzałem
-
- 09.06.2014
Kwestia reputacji
Istotne są również pozatechniczne kwestie. Zaleca się wybór operatora o dobrej reputacji. Niestety ludzie mają skłonność do wdrażania nowych technologii bez istotnych powodów, jeśli tylko kojarzy się z nimi chwytliwe hasło marketingowe. To oraz fakt, że chmura pozwala na ograniczanie kosztów IT, powoduje, iż usługodawcy chmurowi wyrastają jak grzyby po deszczu. Najlepszym wyborem będzie firma mająca dobrą reputację i odpowiedni bagaż doświadczeń, natomiast lepiej unikać atrakcyjnie prezentujących się startupów. Warto zweryfikować, czy dany operator może pochwalić się zgodnością z uznanymi standardami i normami bezpieczeństwa. Poza tym należy dokładnie przeczytać umowę, aby zrozumieć, jakie gwarancje bezpieczeństwa danych daje usługodawca.
„Nic nie wiemy”
Niektórzy dostawcy usług chmurowych stosują zasadę „nic nie wiemy” (zero-knowledge), co ma zapobiegać przechwyceniu danych klientów. Jednak opracowania opublikowane przez specjalistów od bezpieczeństwa z uniwersytetu Johna Hopkinsa przeczą tej tezie. Wspomniana zasad mówi, że dane klientów są przechowywane w zaszyfrowanej postaci, a klucze deszyfrujące znają tylko klienci (nie ma do nich dostępu operator chmury). Według badaczy dane mogą zostać jednak odczytane przez operatora chmury, jeśli użytkownicy zdecydują się na współdzielenie tych danych w chmurze. Naukowcy sugerują więc dokładne analizowanie, jakie dane są przechowywane w chmurze.
Zobacz również:
Przebadani dostawcy chmury stosowali metodę, w której dane były deszyfrowane po pobraniu przez użytkownika. Taki model jest bezpieczny. Jednak problem pojawia się w przypadku współdzielenia danych, tzn. użytkownik ich nie pobiera, a przesyła bezpośrednio przez chmurę. W takiej sytuacji operator chmury ma możliwość ich odczytania. Bywa, że dostawcy chmury są tego świadomi i udostępniają specjalne aplikacje do pobierania danych, które pilnują, aby dane były zaszyfrowane tak długo, jak to koniecznie. Jednocześnie zalecają, aby nie udostępniać danych przez panel webowy. Niektórzy planują również wprowadzenie szyfrowania danych udostępnianych przez użytkowników w obrębie chmury. Trwają również prace nad rozwiązaniami umożliwiającymi klientom weryfikację tożsamości osób uzyskujących dostęp do danych. Ciekawostką jest koncepcja firmy Silent Circle, specjalizującej się w szyfrowaniu komunikacji, która zakłada weryfikację tożsamości na podstawie głosu.
Powszechnym rozwiązaniem jest stosowanie serwera pośredniczącego w komunikacji, którego zadaniem jest uwierzytelnianie użytkowników przed podaniem kluczy deszyfrujących. Zdaniem badaczy niektórzy operatorzy chmury stosują własny mechanizm uwierzytelniania. To sytuacja, w której może dojść do nadużyć. Podając fałszywe dane uwierzytelniające, niesubordynowany pracownik może uzyskać dostęp do danych klientów. Jest to sytuacja bardzo podobna do ataku man in the middle. Badacze nie spotkali się z przypadkiem wykorzystania tej „podatności” przez dostawców chmury, ale wskazywali, że jest to realne zagrożenie.
Firma badawcza ESG (Enterprise Strategy Group) przeprowadziła ankietę wśród ponad 200 specjalistów od bezpieczeństwa IT pracujących w korporacjach (zatrudnienie powyżej 1000 pracowników). Pytania dotyczyły zagrożeń związanych z infrastrukturą chmurową. Najczęściej wymienianym problem (33% ankietowanych) jest brak kontroli nad bezpieczeństwem zasobów chmurowych wykorzystywanych na wewnętrzne potrzeby. Mówiąc inaczej, wciąż istnieje luka między możliwościami zarządzania wewnętrznymi zasobami a infrastrukturą chmury. Specjalistów (29%) martwi również brak możliwości wglądu w infrastrukturę usług chmurowych, bo czego nie da się zmierzyć, tym trudno jest zarządzać i zabezpieczać. Nieco więcej (31%) odpowiedziało, że obawia się o bezpieczeństwo poufnych danych, w szczególności objętych regulacjami prawnymi, przechowywanymi w chmurze publicznej. To m.in. efekt afery Edwarda Snowdena.
Eksperci widzą również zagrożenie ze strony przestępców, którzy mogą próbować włamywać się do chmur publicznych (28% odpowiedzi). Skoro można włamać się do Coca-Coli czy New York Times, to równie dobrze można przełamać zabezpieczenia chmury publicznej. Tym bardziej że operatorzy chmur również borykają się z problemem braku specjalistów od bezpieczeństwa (27% odpowiedzi). Nieco ponad jedna czwarta ekspertów obawia się przełamania zabezpieczeń sieciowych na trasie między chmurą a siecią lokalną użytkownika.
Analizując wyniki ankiety, można zauważyć, że spece od bezpieczeństwa widzą ryzyko we wszystkich obszarach: ludzkim, procesach i technologii. To oznacza, że dostawcy chmury muszą wykonać jeszcze sporo pracy w zakresie edukacji rynku oraz opracować plany, które zmniejszą najczęściej wymienianie zagrożenia.
Kluczowe znaczenie ma dostępność do infrastruktury i możliwości kontroli. To oznacza, że informatycy oczekują, iż używane przez nich narzędzia na wewnętrzne potrzeby będzie można zastosować również w odniesieniu do chmury. Niektórzy producenci już idą w tym kierunku. Alternatywnie, nowi gracze na rynku bezpieczeństwa, jak CloudPassage, HyTrust, Okta czy Ping Identity oferują rozwiązania umożliwiające połączenie między zasobami lokalnymi a światem chmury.
Eksperci od bezpieczeństwa wciąż mają wątpliwości co do kompetencji dostawców usług chmurowych. Przedsiębiorstwa mają problem z rekrutacją doświadczonych, wykwalifikowanych inżynierów bezpieczeństwa i nie są w stanie zapobiegać włamaniom. W konsekwencji wiele osób zajmujących się bezpieczeństwem IT uważa, że dostawcy chmury są w podobnej sytuacji, co cała reszta. Ponieważ taki wniosek brzmi rozsądnie, operatorzy chmur powinni się przyznać, jakie są rzeczywiste uwarunkowania przy korzystaniu z chmury i nakreślić przed użytkownikami plany wybrnięcia z tej sytuacji.
