Data publikacji: 16  kwietnia  2019   •   Autor: Grzegorz Tokajuk subskrybuj blog

Kilka mitów na temat bezpieczeństwa chmury.

Jeszcze kilka lat temu o chmurze głównie się mówiło, dzisiaj jest to jeden z czynników napędzających biznes. Niestety, brak znajomości tematu efektywnego wykorzystania tej technologii doprowadził do upowszechnienia się w branży wielu mitów, które jedynie rozbudzają wśród informatyków niepotrzebne obawy dotyczące bezpieczeństwa korzystania z chmury. Warto więc przyjrzeć się tym mitom.

Chmura z zasady nie jest bezpieczna?

Największy mit, który wymaga obalenia, to pogląd, że dane w chmurze nie są bezpieczne. Panuje naturalne przekonanie, że bezpieczniej jest przechowywać dane w lokalnym środowisku IT. Tymczasem większość operatorów chmury przykłada bardzo dużą wagę do zabezpieczenia swoich serwerowni. Eksperci wskazują, że dostawcy cloudu mają znacznie większe doodpowiednich specjalistów. Mogą przeznaczyć na zabezpieczenia środki znacznie większe niż pojedyncze organizacje. Bezpieczeństwo to dla dostawcy chmur chleb powszedni. Dlatego od strony zagrożeń informatycznych dane są dużo bezpieczniejsze w chmurze niż w środowisku lokalnym klienta. Wynika to m.in. z ekonomii skali.

Do chmury jest więcej włamań?
To mit, który upraszcza bardzo skomplikowane zagadnienie. Zagrożenia internetowe dotyczącą zarówno chmur prywatnych, jak i publicznych. Jeśli zabezpieczenia zostaną wdrożone poprawnie, ataki na środowiska chmurowe nie będą stanowiły większego problemu niż w przypadku innych części infrastruktury informatycznej. Operatorzy chmur publicznych z reguły utrzymują silne zespoły specjalistów od bezpieczeństwa, a także mają środki na zakup odpowiednich rozwiązań technologicznych. Od tego zależy ich reputacja!

Za bezpieczeństwo odpowiada wyłącznie operator?

Powszechnie użytkownicy sądzą, że operator chmury automatycznie dba o wszystkie kwestie związane z przechowywaniem i przetwarzaniem danych swoich klientów. Narzędzia służące do zapewnienia bezpieczeństwa chmury nie pokrywają wszystkich obszarów ryzyka. Takie kwestie, jak: reguły tworzenia haseł, zarządzanie aktualizacjami oprogramowania, profilami użytkowników, zarządzanie regułami dostępu do danych czy szkolenia pracowników w zakresie bezpieczeństwa, leżą po stronie klienta i są co najmniej tak samo ważne jak zakres bezpieczeństwa leżący po stronie operatora chmury. Pracując nad poprawą wewnętrznego bezpieczeństwa, nie można zakładać, że operator chmury tworzy kopie zapasowe wszystkich danych, które umieścił tam klient. Pirmy powinny również same zadbać o tworzenie kopii zapasowych swoich danych. W razie udanego włamania można odzyskać dane z backupu, o którym wiadomo, że nie został zainfekowany szkodliwym kodem.

Chmurą nie trzeba zarządzać?
Wiele osób uważa, że skoro infrastruktura chmury jest zasadniczo usługą zarządzaną, również bezpieczeństwo tej usługi jest zarządzane. W efekcie wiele systemów chmurowych jest bezzasadnie pozostawianych bez zabezpieczeń, ponieważ klienci nie wiedzą, że powinni coś zrobić z ochroną. Trwają w przekonaniu, że to operator chmury wykonał zadania, które standardowo realizuje firmowy zespół IT. Tymczasem bezpieczeństwo chmury wymaga tej samej dyscypliny co lokalchmury może pojawić się w momencie, kiedy procesy, reguły i narzędzia nie są regularnie monitorowane przez firmowy dział IT.
Trzeba koniecznie rozumieć, gdzie przebiega linia podziału, kto za co jest odpowiedzialny. Ogólnie, operatorzy chmurowi zapewniają bezpieczeństwo w ich centrach danych na poziomie sprzętowym (serwery, sieć, macierze dyskowe). Natomiast wszystko, co jest powyżej warstwy sprzętowej oraz w wyższych warstwach stosu protokołów sieciowych, wymaga zabezpieczenia przez klienta. Trzeba też pamiętać, że bezpieczeństwo nie jest produktem ani usługą, lecz procesem. Należy wprowadzać segmentację sieci w zależności od uruchamianych aplikacji lub usług, wdrażać zapory sieciowe, monitorować logi, aktywność systemu i sieci oraz tworzyć reguły bezpieczeństwa i przestrzegać ich. Trzeba określić uprawnienia użytkowników w dostępie do plików i mieć opracowany plan działań na wypadek włamania do sieci.

Nie trzeba weryfikować dużych dostawców chmury?
Na pierwszy rzut oka może wydawać się logiczne wybranie dużego operatora z potężną siecią, centrami danych na całym świecie i bardzo dobrze znanego w branży. Łatwiej przychodzi zaufanie do takiej firmy. Są one zbyt duże, by upaść. Nie należy jednak iść na skróty i ufać firmie bez zweryfikowania jej. Sam dostawca może przetrwać ewentualne problemy, ale jego klienci mogą wpaść w poważne tarapaty, np. na skutek poważnej awarii w centrum danych operatora. Dlatego dobrą praktyką jest zrozumienie, jakie wsparcie techniczne zapewnia operator chmury. Przykładowo, jeśli z, wydawało się, bezpiecznego środowiska nagle dojdzie do wycieku danych, czy operator podejmie się pomocy?