Cloud computing přináší nový pohled na bezpečnost informací. Důležité je, aby zůstaly pod kontrolou vlastníka
Obecně vzato, když se „IT bezpečák“ dozví, že nějaká interní aplikace organizace má jít do cloudu, tak se minimálně začne hodně ptát. Proč tomu tak je? Cloud computing doprovázejí mnohé fámy, ať už na jeho podporu (klient se nemusí o nic starat) či zatracení (přijdete o kontrolu nad svými daty). Skutečnost není někde uprostřed, ale je jinde a vždy zde bude jistá jedinečnost, jako jsou jedinečné i služby poskytované v cloudech.
Pro lepší pochopení celé věci se musíme vrátit na začátek a použít zdravý rozum. Cloud computing jako nový způsob efektivního využívání výpočetních zdrojů mezi různými aplikacemi v podstatě plynule navázal na období virtualizace (na jednom fyzickém serveru je více virtuálních serverů), respektive ji rozvinul a posunul dále.
Primárním důvodem, proč cloud computingu říci ano, je snaha o úspory v nákladech na IT. Sekundárním důvodem pak bývá spolehlivost a dostupnost služeb. Jistě se najdou i tací, kteří cloud považují za módní slovo a pro něž ten, kdo není v cloudu, není „cool“, ale takových lidí nebude mnoho.
Na otázku „Je to bezpečné?“ nelze odpovědět bez znalosti kontextu nebo upřesnění dotazu. Cloud computing přináší nový pohled na bezpečnost informací a rozhodně nelze říci, že bezpečnost dat přestáváme řešit tím, že jejich zpracování a ukládání dáme na starost někomu jinému. Je to spíše naopak. Plánování přechodu musí předcházet analýza rizik pro bezpečnost informací, ze které vyplynou potřebná bezpečnostní opatření.
DŮLEŽITÉ OTÁZKY Zkusme se na celou záležitost podívat blíže. První věc, kterou je třeba před implementací udělat, je vytvořit si cloud computing business case. V jeho rámci následně zhodnotíme jeho celkovou výhodnost = úspora provozních výdajů v cloudu (kolik ušetříme oproti standardnímu IT provozu) – investice do nových bezpečnostních opatření – náklady na migraci aplikace do cloudu. Dává smysl ptát se, o jaká nová bezpečnostní opatření půjde, když se o bezpečnost bude starat provozovatel cloudu? Ano, tato otázka je smysluplná.
Zkusme si v rámci analýzy rizik ve fázi identifi kace a ohodnocení aktiv, tedy čehokoli, co má pro organizaci hodnotu, položit alespoň následující otázky (v tomto případě jde o informace, které chceme v cloudu zpracovávat). Jaké poškození by organizaci přineslo, kdyby: 1. se data stala veřejnými?
2. k datům získal přístup zaměstnanec poskytovatele cloudu?
3. data byla neoprávněně změněna?
4. data byla po delší dobu nedostupná?
Výše uvedené otázky nás nasměrují k možným rizikům, ze kterých bychom měli získat přehled o tom, co a jak je třeba chránit. K nim je nutné přiřadit bezpečnostní opatření, která jsou poskytována jako součást dané cloudové služby. Vezmeme-li si např. cloudové řešení Google Apps, popisuje bezpečnostní opatření cloudových služeb dokument Security Whitepaper: Google Apps Messaging and Collaboration Products. Ten obsahuje celkové pojetí informační bezpečnosti od její organizace až po daná opatření dle oblastí (personální, fyzická, řízení přístupu, havarijní plánování, dodržování právních předpisů…). K tomu zpravidla přibudou nová bezpečnostní opatření, jež vyplynou z již zmíněné analýzy rizik. Mohou to být například upravené organizační procesy, stanovení konfigurace cloudových služeb, defi nice rolí atd.
Při analýze rizik nesmíme opomenout koncové stanice, obzvláště jedná-li se o mobilní zařízení typu smartphone. Mnoho lidí si stále neuvědomuje, že již nejde jen o pouhé telefony, kde v nejhorším případě přijdeme o kontakty a uložené SMS, ale o plnohodnotné počítače omezené nanejvýše výpočetním výkonem. Jedním z opatření k zajištění jejich bezpečnosti je jejich centrální správa neboli mobile device management.
Poslední věcí, která je podstatná pro správný výběr cloudových služeb, je prokázání shody s definovaným standardem pro systém řízení informační bezpečnosti, např. certifikace na shodu s ISO 27001. V případě poskytování služeb pro státní instituce může být dle zákona např. v USA vyžadována certifikace FISMA.
Nejen poskytovatelům a implementátorům cloudových řešení, ale i uživatelům doporučuji podívat se na veřejně dostupné dokumenty Security Guidance for Critical Areas of Focus in Cloud Computing (http://www.
cloudsecurityalliance.org) a na Guidelines on Security and Privacy in Public Cloud Computing (http://csrc.nist.gov).
Využívat výhod cloud computingu lze i bez zbytečných rizik, ale nesmíme zapomínat, že informační bezpečnost by měla být vždy pod kontrolou vlastníka informací, který stanovuje pravidla k jejich ochraně.
Výhody cloudu můžeme využívat i bez zbytečných rizik
O autorovi| ROBERT MALÝ chief information security officer, Ness Czech
