Bezpieczna chmura

Operator usług cloud computing przechowuje dane różnych użytkowników i dlatego może być celem ataku z zewnątrz. Aby minimalizować ryzyko, należy dokonać selekcji dostawców, eliminując tych, którzy nie zapewnią oczekiwanego poziomu bezpieczeństwa danych.

Do tego celu niezbędne są techniczne i proceduralne środki, które ma operator. Przedstawiamy kilka wskazówek ułatwiających eliminację niedostatecznie przygotowanych usługodawców cloud computing.

Polityka bezpieczeństwa

Założenia polityki bezpieczeństwa opisują mechanizmy wdrożone przez dostawcę, by zapobiec niepożądanym działaniom w środowisku usługowym. Plan odpowiedzi na incydenty określa kroki, które dostawca powinien podjąć w przypadku pojawienia się problemów. Jeśli dostawca posiada dokumenty, należy je dokładnie analizować. Jeśli ich nie ma - zostaje natychmiast zdyskwalifikowany.

Zobacz również:

Kontrola dostępu

Elementem systemu ochrony, który musi mieć każdy dostawca cloud computing, jest kontrola dostępu. To daje gwarancję, że tylko autoryzowany personel będzie mógł się dostać do pomieszczeń, w których znajdują się serwery i . Należy zatem zadać pytania i oczekiwać sensownych odpowiedzi:

- Czy centra przetwarzania danych są zlokalizowane w nieoznaczonych z zewnątrz budynkach?

- Czy w tych lokalizacjach działa ochrona, wybudowane są strefy chronione bramami i śluzami?

- Czy wdrożono systemy monitoringu wizyjnego CCTV?

- Czy dostawca wykorzystuje systemy detekcji intruzów?

- Czy wykorzystuje się dwuskładnikowe uwierzytelnienie?

- Czy stosuje się zasadę przywilejów koniecznych, umożliwiając dostęp tylko do tych zasobów, których dana osoba potrzebuje do realizacji zlecenia? Czy obszary są dostosowywane do rzeczywistych potrzeb, zmieniając się razem z nimi?

- Jak dostawca ocenia ryzyko związane z czynnikiem ludzkim?

Sprawdzanie osób

Aby chociaż częściowo zabezpieczyć się przed infiltracją z zewnątrz, należy przeprowadzać sprawdzenia osób, które zamierzają być pracownikami data center lub chcą w inny sposób legalnie uzyskać do niego dostęp. Dodatkowo warto sprawdzić, czy dostawca przeprowadza szkolenia dotyczące polityki bezpieczeństwa i reakcji na potencjalne działania związane z naruszeniem bezpieczeństwa danych.

Separacja obowiązków

Czy operator rozdziela kluczowe zadania, by poszczególne części wykonywali różni pracownicy? Takie podejście utrudnia przeprowadzenie nieautoryzowanych transakcji lub zleceń od początku do końca. Ponadto pomaga chronić przed działaniami intruzów działających od środka firmy, ułatwiając przy tym ich wykrycie.

Separacja stref

Oprócz oddzielenia obowiązków poszczególnych pracowników dostawca powinien zadbać o rozdzielenie stref przeznaczonych do pełnienia określonych ról w data center. Oznacza to, że pomieszczenia związane z klimatyzacją i zasilaniem powinny być oddzielone od sali, w której znajdują się szafy z urządzeniami IT. Dzięki temu pracownicy odpowiedzialni za utrzymanie części infrastruktury data center nie mają dostępu do serwerów i urządzeń storage, na których są składowane dane klientów.

Współpraca z partnerami

Jeśli dostawca współpracuje z firmami trzecimi, czy wymaga od nich w kontrakcie zrozumienia i respektowania tych samych założeń własnej polityki bezpieczeństwa dotyczącej pracowników? Ponadto należy sprawdzić, czy prowadzony jest monitoring aktywności i regularne audyty, by zapewnić zgodność z tymi założeniami. Ma to zapobiec niepożądanym działaniom prowadzonym przez zewnętrznych pracowników.

Ciągłość działania

Typowe założenia na terenie obiektu obejmują redundantne prowadzenie obwodów dystrybucji energii. Należy się jednak upewnić, czy dostawca ma niezależne zasilanie, najlepiej prowadzone z dwóch linii średniego napięcia zasilanych z dwóch niezależnych GPZ. Obwody chłodzenia powinny być zrealizowane albo całkowicie nadmiarowo, albo z założeniem n+1, przy czym musi dotyczyć to wszystkich elementów systemu. Agregat prądotwórczy na terenie obiektu powinien być standardem, podobnie jak rezerwa paliwa. Należy także wymagać regularnych testów niezawodności całej infrastruktury.

Ważne detale

O dostawcy mogą świadczyć detale, począwszy od solidnego wykonania konstrukcji szkieletowej budynku, przez stosowanie ekranów elektromagnetycznych, aż po specjalistyczne narzędzia przeznaczone do serwisowania eksploatowanych serwerów i macierzy oraz zagadnienia ściśle sieciowe. Należy zatem zadać pytania:

- Jak zabezpieczona jest serwerownia przed ekstremalnymi zdarzeniami pogodowymi (powódź, bardzo silny wiatr)?

- Jak dostawca ocenia ryzyko podsłuchu przez przechwycenie emisji ujawniającej?

- W jaki sposób wstawiane są do szaf urządzenia ważące 60 kg i więcej?

- Czy istnieje procedura i czy wdrożono rozwiązania minimalizujące skutki impulsu elektromagnetycznego?

- Czy data center ma niezbędną infrastrukturę i dostawca może posiadać lub uzyskać status operatora internetowego?

- Co operator może zaoferować firmom, które potrzebują kompleksowej usługi, na przykład rezerwowego biura lub zapasowego ośrodka poza głównym? Co jest już gotowe, od zaraz?

- Jakie ubezpieczenie posiada data center?


TOP 200