Czy chmura jest bezpieczna?
- 27.10.2009
Ważnym zagadnieniem jest integralność danych, a więc:
1. Co dostawca zrobi, gdy stwierdzi się problem w stosie oprogramowania używanym w usłudze. Czy zauważy w ogóle taki problem?
2. Czy zapewniana jest integralność składowanych danych?
3. Jak firma chroni dane przetwarzane w systemie?
4. Kto jest odpowiedzialny za integralność i ochronę danych i jak wygląda audyt?
Ciemny cień chmury
1. Co się stanie, gdy zasoby zostaną wyłączone ze względu na obsługę innej firmy?
2. Jak dostawca radzi sobie z atakami odmowy obsługi lub nadużyciami zasobów przez innego odbiorcę?
3. Co będzie z danymi w przypadku bankructwa dostawcy? Jak szybko udałoby się je odzyskać? Ile czasu zajmie uruchomienie usług u innego dostawcy?
4. Jak wygląda ochrona danych przed usunięcie czy zmianami spowodowanymi przez innego klienta lub administratora? Kto może widzieć moje dane?
5. Jak wyglądają zapisy polityki bezpieczeństwa?
6. W jaki sposób dostawca zarządza zużytym sprzętem, takim jak dyski czy nośniki?
7. Czy dostawca zauważy utratę części danych firmy?
8. Co stanie się z danymi, gdy firma zaprzestanie korzystania z danego usługodawcy?
9. Kto w firmie jest odpowiedzialny za korzystanie z usług cloud computing? Kto zarządza transferem danych czy stacjami roboczymi? Kto będzie zarządzał migracją?
Chmura pod lupą
Z ochroną danych wiąże się nieuchronnie audyt bezpieczeństwa oraz zgodności z regulacjami prawnymi. W wielu dziedzinach regulacje wymuszają stosowanie takich, czy innych zabezpieczeń i to firma musi udowodnić audytorowi, że jest zgodna z tymi przepisami. W przypadku modelu cloud computing, dowód ten jest trudno przedstawić. W szczególności trudno jest: zorganizować raportowanie poszczególnych składników związanych z ochroną danych, które przełożą się na informacje dla audytora; opracować i wdrożyć politykę bezpieczeństwa informacji; określić położenie, gdzie dane są przetwarzane, co ma istotne znaczenie w obliczu regulacji prawnych związanych z obsługą danych finansowych przedsiębiorstwa. Czasami nie można nawet określić czy dane te znajdują się na serwerach w obrębie Unii Europejskiej, czy poza nią. Rodzi to poważne problemy prawne; określić reguły dostępu do danych bez użycia narzędzi z grupy Data Loss Prevention. Jest to zatem bardzo ważny składnik systemu.
Oprócz poziomu abstrakcji, sprawę komplikuje także podział usług w modelu cloud. Jest on związany z podziałem na technologie, położenie i wykorzystywanie chmury oraz jej podział pod względem bezpieczeństwa. "Model ten jest przedstawiany przez Jericho Group jako Cloud-Cube. Określa on podział pod względem technologii - zamknięta- proprietary albo otwarta, najczęściej open source; położenia - wewnętrzna-zewnętrzna oraz rozdziału zasobów - oddzielone albo współdzielone" - mówi Guy Bunker. Najprostsza migracja dotyczy tej samej technologii oraz zasad bezpieczeństwa, zmienia się jedynie położenie (strzałka w górę). Przy migracji z rozwiązań zamkniętych do open source, jedynym ważnym zagadnieniem jest przekonstruowanie części aplikacji i wydostanie danych z zamkniętego modelu eksploatacji. Znacznie poważniejsze problemy rodzi przenoszenie aplikacji między modelami oddzielonymi a współdzielonymi.