Role bezpečnosti v Cloudu

Cloud computing přináší pozitivní změnu do ekonomiky provozu datových center.

Před opravdovým využitím Cloudu pro podnikové účely je třeba vyřešit mnoho oblastí bezpečnosti jako je silná autentizace, delegovaná (federovaná) autorizace, šifrování a správa klíčů, ochranu citlivých dat, monitoring a audit.

Všechno jsou to součásti modelu pro zabezpečení identit, informací a infrastruktury, platné nejen pro vlastní cloud, ale také pro distribuční modelu Cloudu (IaaS, PaaS a SaaS).

6.1 Zabezpečení komunikace s Cloudem

Klíčovým aspektem cloud computingu je postupné přesouvání jeho zabezpečení mimo kontrolu klienta směrem k poskytovateli Cloudu, což samozřejmě vede k potřebám zásadních změn v pojetí a chápání informační bezpečnosti.

Role identit a autentizace v Cloudu

Správa identit, autentizační služby afederovaná identita hrají vbezpečnosti Cloudu klíčovou roli. Ochrana identit zajišťuje integritu a důvěrnost dat a aplikací a současně je zpřístupňuje autorizovaným uživatelům. Podpora výše zmíněných funkcí jak pro uživatele, tak pro jednotlivé části infrastruktury, je nedílnou součástí všech typů Cloudu. Z pohledu řízení přístupu do Cloudu je třeba se soustředit na silnou a granulární autentizaci.

Silná autentizace

Pokud má cloud sloužit k provozu podnikových aplikací, je třeba využít silnější autentizaci uživatelů místo již dávno překonaného uživatelského jména a statického hesla. Doporučením v této oblasti je použití již ověřených technologií pro silnou autentizaci (multifaktorová autentizace na bázi jednorázového hesla), federovanou (delegovanou) identitu pro důvěryhodné sdílení identit mezi různými subjekty, a „risk-based“ autentizaci založenou na chování uživatele, kontextu a mnoha dalších faktorech. Vhodnou kombinací a vrstvením těchto autentizačních metod lze zajistit jak dodržení bezpečnostních SLA, tak jednoduchost použití pro všechny typy uživatelů.

Granulární autorizace:

V Cloudu, zejména v tom veřejném určeném pro podnikové aplikace, je nutné velmi granulárně řídit jednotlivá přístupová práva uživatelů ajejich skupin, ideálně na bázi jejich rolí v podniku. Tím hlavním důvodem je zde ochrana citlivých dat jednotlivých nájemců v rámci veřejného Cloudu a s tím úzce související dodržení příslušných zákonů a předpisů.

Zabezpečení infrastruktury Cloudu

Celá infrastruktura Cloudu musí být už v jádru bezpečná, nezávisle na tom, zda se jedná o privátní či veřejný cloud. To vyžaduje komplexní bezpečnost a bezpečnou integraci.

Komplexní bezpečnost

Cloud musí již být navržen jako bezpečný, postaven z bezpečných komponent, implementován dle odpovídajících bezpečnostních know-how, bezpečně komunikující s okolím a podporujícím potřebná bezpečnostní SLA.

Bezpečná integrace

Tam, kde dochází ke komunikaci mezi jednotlivými částmi Cloudu, je třeba vynucovat dodržování bezpečnostních politik pro sdílení dat, aby byla zajištěna jejich integrita a důvěrnost.

6.2 Zabezpečení dat v Cloudu

V tradičním datovém centru je bezpečnost řešena nejen IT prostředky, ale současně fyzickým zabezpečením přístupu khardwarové infrastruktuře. Tato bariéra ale s příchodem Cloudu mizí. Místo stavění jiných bariér je třeba se soustředit na řízení bezpečnosti konkrétních informací. Data putující po Cloudu i mimo něj tak mají vlastní zabezpečení, které je po celou dobu chrání. K dosažení této „information-centric“ bezpečnosti je třeba vyřešit:

Oddělení dat

Granulární bezpečnost dat

Klasifikace dat

Information rights management

Monitoring a audit

Oddělení dat

Ve veřejných Cloudech, kde se zpracovávají data mnoha nájemců, musí být data izolována. Virtualizace, šifrování a granulární řízení přístupu významně pomohou v izolaci dat mezi nájemci, jednotlivými skupinami či uživateli.

Granulární bezpečnost dat

Se zvyšující se citlivostí informací a jejich počtem se musí prohloubit i klasifikace dat a důslednost ve vynucování jejich výhradně oprávněného použití. Dnešní podniková datová centra tuto oblast dost často opomíjela, neboť byla vždy pod kontrolou daného podniku. V Cloudu je ale bezpečnost dat tak kritická, že její granularitu musíme řešit už na úrovni souboru, tabulky či sloupce v databázi. S tím také přichází inspekce dat (sledování obsahu), jejich šifrování a bezpečná správa šifrovacích klíčů po celý jejich životní cyklus.

Klasifikace dat

Nalézt v Cloudu ideální poměr mezi uživatelským komfortem a požadavky na jeho zabezpečení není jednoduché. Důležitými kroky k nalezení toho správného poměru je klasifikace dat a fungující procesy pro jejich vyhledávání, monitoring toku apoužití. Vtéto oblasti významně pomáhají systémy pro vyhledávání a ochranu citlivých dat, tzv. „data loss prevetion“.

Information rights management

IRM rozšiřuje model „information-centric“ bezpečnosti o možnost procesního řízení přístupových práv přímo na úrovni dokumentu, a to i v případech, kdy opustí prostředí Cloudu a je uložen mimo něj.

Monitoring a audit

Prostředí všech systémů, ve kterých se pracuje s citlivými či jinak zákonem chráněnými informacemi, musí být zpohledu bezpečnosti kompletně monitorováno a pravidelně auditováno, ideálně pomocí řešení pro sběr a analýzu logů z daných systémů s reportingem do podnikového řešení pro řízení podnikových procesů a rizik.

Zpracovávání citlivých dat v Cloudu bude znamenat mnohem granulárnější bezpečnost na úrovni dat, a to po celý jejich životní cyklus, než jaká je dosavadní praxe.