6. Chmurą nie trzeba zarządzać

Wiele osób uważa, że skoro infrastruktura chmura jest zasadniczo usługą zarządzaną, również bezpieczeństwo tej usługi jest zarządzane. W efekcie wiele systemów chmurowych jest bezzasadnie pozostawianych bez zabezpieczeń, ponieważ klienci nie wiedzą, że powinni coś zrobić z zabezpieczeniami. Pozostają bowiem w przekonaniu, że to operator chmury wykonał zadania, które standardowo realizuje firmowy zespół IT. Tymczasem bezpieczeństwo chmury wymaga tej samej dyscypliny co lokalne centrum danych. Słabość chmury może pojawić się w momencie, kiedy procesy, reguły i narzędzia nie są regularnie monitorowane przez firmowy dział IT.

Trzeba koniecznie rozumieć, gdzie przebiega linia podziału, kto za co jest odpowiedzialny. Ogólnie, operatorzy chmurowi zapewniają bezpieczeństwo w ich centrach danych na poziomie sprzętowym (serwery, sieć, macierze dyskowe). Natomiast wszystko co powyżej warstwy sprzętowej oraz w wyższych warstwach stosu protokołów sieciowych, wymaga zabezpieczenia przez klienta.

Zobacz również:

• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
• Nvidia odtworzyła całą planetę. Teraz wykorzysta jej cyfrowego bliźniaka do dokładnego prognozowania pogody
• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

Trzeba też pamiętać, że bezpieczeństwo nie jest produktem ani usługą, lecz procesem. Należy wprowadzać segmentację sieci w zależności od uruchamianych aplikacji lub usług, wdrażać zapory sieciowe, monitorować logi, aktywność systemu i sieci oraz tworzyć reguły bezpieczeństwa i przestrzegać ich. Trzeba określić uprawnienia użytkowników w dostępie do plików oraz mieć opracowany plan działań na wypadek włamania do sieci.

7. Serwery chmurowe mają nielimitowane zasoby

Może się wydawać, że serwery chmurowe mają nieograniczone ilości pamięci i zasoby obliczeniowe. Jednak konsumowanie większej ilość zasobów, niż jest to potrzebne, może prowadzić do problemów z wydajnością oraz wzrostu kosztów korzystania z chmury.

Serwery chmurowe mają limitowaną moc obliczeniową, pamięć czy przepustowość kart sieciowych. Te zasoby są współdzielone z pozostałymi aplikacjami w chmurze i są przenoszone pomiędzy serwerami, kiedy jest to konieczne. Serwer chmurowy będzie wykorzystywał wszystkie zasoby w ramach przypisanej mu konfiguracji i nic ponadto.

8. Nie ma potrzeby weryfikowania dużych dostawców chmury

Na pierwszy rzut oka może wydawać się logicznie wybranie dużego operatora z potężną siecią, centrami danych na całym świecie i bardzo dobrze znanego w branży. Łatwiej przychodzi zaufanie do takiej firmy. Są one zbyt duże, by upaść. Nie należy jednak iść na skróty i ufać firmie bez zweryfikowania jej. O ile sam dostawca może przetrwać ewentualne problemy, jego klienci mogą wpaść w poważne tarapaty, np. na skutek poważnej awarii w centrum danych operatora. Dlatego dobrą praktyką jest zrozumienie, jakie wsparcie techniczne zapewnia operator chmury. Przykładowo, jeśli z wydawało się bezpiecznego środowiska nagle dojdzie do wycieku danych, czy operator podejmie się pomocy?

9. Nie ma sposobu sprawdzenia, co operator robi z danymi w chmurze

„Wrogi pracownik” to jedna z najbardziej interesujących kwestii związanych z bezpieczeństwem chmur publicznych. Korzystając z outsourcingu pamięci masowych i mocy obliczeniowej, klient musi zaufać nie tylko swoim pracownikom, ale również pracownikom dostawcy usług przechowywania i przetwarzania danych. Niektórzy operatorzy chmur obchodzą się z danymi w taki sposób, który nie każdemu odpowiada lub narusza prywatność pracowników w taki sposób, jaki nie powinien być zaakceptowany. Dlatego warto się upewnić, że operator chmury umożliwia przeprowadzenie audytu i dostarczy pliki logów, aby ustalić, kto miał dostęp do korporacyjnych danych.

Tym bardziej, że w praktyce dane użytkownika po migracji do chmury nie zawsze należą do niego. Dodatkowo, jeśli centrum danych usługodawcy znajduje się w innym kraju, trzeba również brać pod uwagę implikacje prawne z tym związane. Wiele operatorów zastrzega sobie prawo do weryfikacji, czy dane użytkownika nie łamią praw autorskich lub innych przepisów, np. dotyczących treści rasistowskich. Niektórzy operatorzy będą dostarczać treści reklamowe dobrane na podstawie danych klienta – to oznacza, że dane klientów nie są na tyle prywatne, jak może się to wydawać.

10. Można zignorować BYOD i w ten sposób utrzymać wyższy poziom bezpieczeństwa

Brak zgody na wdrożenie i wsparcie trendu BYOD nie oznacza wcale, że firma będzie w mniejszym stopniu narażona na utratę danych. Ten trend jest już nie do powstrzymania. Dlatego eksperci radzą firmom wdrażanie rozwiązań do zarządzania urządzeniami mobilnymi, które zwiększają bezpieczeństwo, m.in. zawierają mechanizmy ochrony danych. W niektórych branżach wdrożenie takich zabezpieczeń jest wręcz prawnym obowiązkiem.

Trafiają się użytkownicy przekonani, że korzystanie z usług chmurowych jest jednoznaczne z faktem, że firmowe dane nie będą zapisywane na urządzeniach mobilnych, co z kolei zwalnia z obowiązku zabezpieczenia tych urządzeń. W rzeczywistości aplikacje, które łączą się z urządzeniami mobilnymi, zawsze przechowują dane w pamięci podręcznej (cache), która jest zapisywana w urządzeniu mobilnym pracownika. Te dane mogą zostać przechwycone przez hakerów, dlatego wymagają zabezpieczenia.