Jak zabezpieczyć dane w chmurze

Usługi przechowywania danych w chmurze są coraz popularniejsze. Niektóre z nich wyróżnia gwarancja, że operator nie ma dostępu do danych użytkownika.

Dane na zewnątrz, klucz w firmie

Firmy, które chcą skorzystać z zewnętrznej usługi przechowywania danych, ale chciałyby same kontrolować dostęp do archiwów, powinny zainteresować się mniej znanymi usługodawcami. Nie oferują oni nadzwyczaj zaawansowanych rozwiązań, ale w zamian zapewniają, że dostęp do klucza szyfrującego będzie mieć tylko IT klienta. Niektórzy usługodawcy oferują nawet audyt kodu źródłowego wykorzystywanej do backupu aplikacji.

Standardowy backup realizowany we własnym środowisku umożliwia zachowanie ścisłych zasad ochrony danych, ale nie dostarczy oczekiwanej przez firmy elastyczności i dostępności z dowolnego miejsca, co ma znaczenie przy pracownikach mobilnych.

Backup w chmurze sprawdza się w organizacji każdej wielkości, także z odległymi oddziałami i pracownikami działającymi w terenie. Kopia w chmurze ma wiele zalet i co najmniej jedną wadę: nie zawsze chroni przed dostępem operatora do składowanych danych. Rozwiązanie jest nie do przyjęcia w firmach, dla których podstawowym zasobem jest własność intelektualna. Jak zatem zabezpieczyć dane w chmurze?

Ochrona kryptograficzna

Ochrona za pomocą szyfrowania ma liczne zalety, gdyż nie zależy od innych środków technicznych. Nawet jeśli zaszyfrowany nośnik wpadnie w obce ręce, ryzyko utraty danych nie jest duże, pod warunkiem że intruz nie uzyska klucza szyfrującego.

Oznacza to, że usługa składowania danych w publicznej chmurze chroni przed utratą danych, dopóki algorytm zapewnia wystarczającą ochronę przed złamaniem, a mechanizm dystrybucji kluczy uniemożliwia przejęcie klucza przez podmioty spoza firmy. Jeśli oprogramowanie wykonujące kopię i odkładające dane do usługi zewnętrznej nie dystrybuuje kluczy na zewnątrz firmy w postaci jawnej lub ukrytej, a algorytm jest uznawany za bezpieczny, a klucze są prawidłowo tworzone, to backup odkładany do chmury publicznej jest nie do złamania.

Ochrona w tranzycie

Gdyby porównać najpopularniejsze usługi składowania danych w modelu cloud, większość z nich zapewnia szyfrowanie danych jedynie w tranzycie od chronionej stacji roboczej lub serwera do docelowej infrastruktury usługodawcy. Dane w zdalnym zasobie dyskowym są już szyfrowane inaczej. Tak są chronione dane w usługach Barracuda Backup Service, Box, Comodo Backup, Dell Datasafe, Dropbox, FilesAnywhere, Google Drive, SugarSync Microsoft Skydrive czy Ubuntu One.

Metoda zapewnia ochronę przed przechwyceniem informacji w przypadku podsłuchu elektronicznego na łączach internetowych, ale jest nieskuteczna przy przejęciu kontroli nad urządzeniami usługodawcy przez podmiot zewnętrzny.

Wiersz poleceń, kod źródłowy, pikodolary opłat

Jedną z bardziej tajemniczych usług składowania danych o zerowej wiedzy dostawcy jest tarsnap. Usługa backupu do chmury wykorzystuje rozwiązanie klienckie z wiersza poleceń, a opłaty za zajęte zasoby są dokładnie rozliczane - aby uniknąć zaokrągleń kosztów przy synchronizacji niewielkich porcji danych, rozliczanie usługi odbywa się w bardzo drobnych jednostkach (pikodolarach).

Firma dostarcza kod źródłowy aplikacji i wymaga kompilacji programu w docelowym środowisku. Obecnie usługa tarsnap jest świadczona przy wykorzystaniu infrastruktury Amazon Web Services, ale najważniejszy proces związany z bezpieczeństwem plików odbywa się po stronie klienta. Usługa ma wbudowaną deduplikację i kompresję, jest rozliczana za składowany GB oraz wykorzystany transfer. Wadą jest jej klient - działa tylko w systemach typu UNIX, wymaga kompilacji z kodu źródłowego przy obecności niektórych nagłówków bibliotek i nie ma graficznego interfejsu użytkownika.

Od 2009 r. tarsnap stanowi usługę komercyjną, w ub.r. powstało przedsiębiorstwo Tarsnap Backup Inc. zlokalizowane w Kolumbii Brytyjskiej. Dzięki temu, że firma nie jest zlokalizowana w USA, nie musi stosować ustawy Patriot Act, zobowiązującej amerykańskie firmy do przekazywania administracji żądanych informacji.

Backup i synchronizacja

Spideroak jest usługą szyfrowanego backupu online, dostępną w chmurze i w modelu on premise. W odróżnieniu od usługi tarsnap oferuje także synchronizację z urządzeniami mobilnymi. Dostępne jest gotowe oprogramowanie klienta na wszystkie typowe platformy x86 i dla urządzeń mobilnych, trwają prace nad klientem dla Windows Phone i BlackBerry OS.

Szyfrowanie danych odbywa się w sposób warstwowy przy wykorzystaniu kombinacji RSA 2048 bitów oraz AES z kluczem 256 bitów. Do szyfrowania danych korzysta się z kluczy wygenerowanych za pomocą jawnego algorytmu PBKDF2, który wykorzystuje SHA256 z 16384 rundami i 32 bitami losowych danych, co uniemożliwia łamanie klucza metodą brute force czy użycia wcześniej przeliczonych informacji. Klucz szyfrujący generowany jest na podstawie hasła, nie jest zapisywany w infrastrukturze firmowej, a hasło nie jest wysyłane na serwery firmowe.

Zerowa wiedza

O usługach, które zakładają brak dostępu usługodawcy do składowanych danych, mówimy, że są to usługi zerowej wiedzy (zero-knowledge backup). Jedną ze wskazówek pozwalających stwierdzić, czy usługodawca zapewnia ten standard, jest proste pytanie: czy infrastruktura dostawcy umożliwia resetowanie hasła, w celu deszyfrowania danych? Jeśli tak, to znaczy, że sam może te dane odzyskać, a zatem warunek zerowej wiedzy nie jest spełniony.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200