10 mitów bezpieczeństwa chmury

Od kiedy CIA i NASDAQ korzystają z chmur publicznych, debata na temat bezpieczeństwa wydaje się skończona. Dalsze dawanie wiary mitom dotyczącym cloud computingu sprawia jedynie, że firmy pozbawiają się dostępu do oferowanych przez tę technologię korzyści.

Jeszcze kilka lat temu o chmurze głównie się mówiło, dzisiaj jest to jeden z czynników napędzających biznes. Niestety brak wiedzy na temat efektywnego wykorzystania tej technologii doprowadził do upowszechnienia się w branży wielu mitów, które jedynie rozbudzają wśród informatyków niepotrzebne obawy dotyczące bezpieczeństwa korzystania z chmury. Warto więc przyjrzeć się tym mitom.

1. Chmura z zasady nie jest bezpieczna

Największy mit, który wymaga rozwiązania, to pogląd, że dane w chmurze nie są bezpieczne. Panuje naturalne przekonanie, że bezpieczniej jest przechowywać dane w lokalnym środowisku IT. Tymczasem większość operatorów chmury przykłada bardzo dużą wagę do zabezpieczenia swoich serwerowni. Eksperci wskazują, że dostawcy cloudu mają znacznie większe doświadczenie w zakresie bezpieczeństwa niż większość ich potencjalnych klientów i stać ich na zatrudnienie odpowiednich specjalistów. Mogą przeznaczyć na zabezpieczenia środki znacznie większe niż pojedyncze organizacje. Bezpieczeństwo to dla dostawcy chmur chleb powszedni. Dlatego od strony zagrożeń informatycznych dane są dużo bezpieczniejsze w chmurze niż w środowisku lokalnym klienta. Wynika to, m.in. z ekonomii skali.

Zobacz również:

Wiąże się z tym pogląd, że zabezpieczenie chmury jest trudniejsze niż środowiska lokalnego. W efekcie prowadzi to firmy do kompromisów w zakresie bezpieczeństwa w imię wymagań biznesowych lub odstrasza od przenoszenia do chmury krytycznych aplikacji. Tymczasem zagrożenie w środowisku lokalnym i chmurowym są podobne. Ataki SQL injection, będące największym zagrożeniem dla systemów, są również problemem w chmurach i zapobiega się im w taki sam sposób, jak w środowiskach lokalnych. Konfiguracja zapór sieciowych, testy penetracyjne, łącza VPN są tak samo ważne, niezależnie, czy zabezpieczają chmurę publiczną operatora czy firmową sieć lokalną.

2. Do chmury jest więcej włamań

To mit, który upraszcza bardzo skomplikowane zagadnienie. Według badania Cloud Security Report opublikowanego przez Alert Logic, zarówno firmy posiadające chmury prywatne, jak i te oferujące hosting środowisk chmurowych musiały zmierzyć się w latach 2012-2013 z dramatycznym wzrostem ataków. Wprawdzie liczba ataków na operatorów chmur publicznych rosła szybciej, ale to ataki na chmury prywatne były groźniejsze.

Niemniej to pokazuje, że zagrożenia internetowe dotyczącą zarówno chmur prywatnych, jak i publicznych. Jeśli zabezpieczenia zostaną wdrożone poprawnie, ataki na środowiska chmurowe nie będą stanowiły większego problemu niż w przypadku innych części infrastruktury informatycznej. Operatorzy chmur publicznych z reguły utrzymują silne zespoły specjalistów od bezpieczeństwa, a także mają środki na zakup odpowiednich rozwiązań technologicznych. Od tego zależy ich reputacja.

3. Szarą strefę w IT można powstrzymać

Eksperci od bezpieczeństwa uważają, że nie da się uniknąć implikacji bezpieczeństwa wynikających z samowolnego korzystania przez pracowników z aplikacji chmurowych. O ile informatycy nie są w stanie zapanować nad konsumeryzacją IT, to najczęściej właśnie do nich przychodzą użytkownicy, jeśli pojawią się jakieś problemy techniczne. Kiedy spada wydajność aplikacji, włączając w to aplikacje SaaS, użytkownicy chcą, aby to firmowe IT zajęło się rozwiązaniem problemu, nawet jeśli nie mają nic wspólnego z infrastrukturą, na której działają te aplikacje. Aby uniknąć takich sytuacji, IT i biznes powinni ze sobą współpracować. Warto powołać zespół reprezentujący wszystkie zainteresowane działy w celu opracowania wspólnej polityki bezpieczeństwa i wdrażania aplikacji chmurowych.

4. Za bezpieczeństwo chmury odpowiada wyłącznie jej operator

Powszechnie użytkownicy sądzą, że operator chmury automatycznie dba o wszystkie kwestie związane z przechowywaniem i przetwarzaniem danych swoich klientów. Narzędzia służące do zapewnienia bezpieczeństwa chmury nie pokrywają wszystkich obszarów ryzyka. Takie kwestie, jak reguły tworzenia haseł, zarządzanie aktualizacjami oprogramowania, profilami użytkowników, zarządzanie regułami dostępu do danych czy szkolenia pracowników w zakresie bezpieczeństwa, leżą po stronie klienta i są co najmniej tak samo ważne, jak zakres bezpieczeństwa leżący po stronie operatora chmury.

Pracując nad poprawą wewnętrznego bezpieczeństwa, nie można zakładać, że operator chmury tworzy kopie zapasowe wszystkich danych, które umieścił tam klient. Firmy powinny również same zadbać o tworzenie kopii zapasowych swoich danych. W razie udanego włamania można odzyskać dane z backupu, o którym wiadomo, że nie został zainfekowany szkodliwym kodem.

5. Infrastruktura jednozadaniowa jest bezpieczniejsza niż wielozadaniowa

Eksperci uważają, że systemy wielozadaniowe w porównaniu do systemów jednozadaniowych mają dwie zalety odnośnie bezpieczeństwa. Po pierwsze, oferują dodatkową warstwę ochronną, a po drugie zapewniają stałe instalowanie najnowszych łatek bezpieczeństwa. Systemy hostowane w chmurze zapewniają ochronę sprzętową oraz zabezpieczenia brzegu sieci. W środowiskach wielozadaniowych natomiast pojawia się jeszcze trzecia warstwa zabezpieczeń – logiczna izolacja pomiędzy aplikacjami, mająca zapobiegać atakom przebiegającym w środowisku lokalnym.

Ta trzecia warstwa ochronna jest niezbędna w systemach wielozadaniowych, ponieważ infrastruktura jest współdzielona przez wielu klientów. Dodatkowo w takich systemach aktualizacje i łatki oprogramowania są instalowane jednocześnie dla wszystkich klientów. W systemach jednozadaniowych to od producenta oprogramowania wymaga się, aby zaktualizował maszyny wirtualne klientów.


TOP 200