06
Cloud computing přináší pozitivní změnu do ekonomiky provozu datových center.
Před opravdovým využitím Cloudu pro podnikové účely je třeba vyřešit mnoho oblastí bezpečnosti jako je silná autentizace, delegovaná (federovaná) autorizace, šifrování a správa klíčů, ochranu citlivých dat, monitoring a audit.
Všechno jsou to součásti modelu pro zabezpečení identit, informací a infrastruktury, platné nejen pro vlastní cloud, ale také pro distribuční modelu Cloudu (IaaS, PaaS a SaaS).
Klíčovým aspektem cloud computingu je postupné přesouvání jeho zabezpečení mimo kontrolu klienta směrem k poskytovateli Cloudu, což samozřejmě vede k potřebám zásadních změn v pojetí a chápání informační bezpečnosti.
Správa identit, autentizační služby afederovaná identita hrají vbezpečnosti Cloudu klíčovou roli. Ochrana identit zajišťuje integritu a důvěrnost dat a aplikací a současně je zpřístupňuje autorizovaným uživatelům. Podpora výše zmíněných funkcí jak pro uživatele, tak pro jednotlivé části infrastruktury, je nedílnou součástí všech typů Cloudu. Z pohledu řízení přístupu do Cloudu je třeba se soustředit na silnou a granulární autentizaci.
Pokud má cloud sloužit k provozu podnikových aplikací, je třeba využít silnější autentizaci uživatelů místo již dávno překonaného uživatelského jména a statického hesla. Doporučením v této oblasti je použití již ověřených technologií pro silnou autentizaci (multifaktorová autentizace na bázi jednorázového hesla), federovanou (delegovanou) identitu pro důvěryhodné sdílení identit mezi různými subjekty, a „risk-based“ autentizaci založenou na chování uživatele, kontextu a mnoha dalších faktorech. Vhodnou kombinací a vrstvením těchto autentizačních metod lze zajistit jak dodržení bezpečnostních SLA, tak jednoduchost použití pro všechny typy uživatelů.
V Cloudu, zejména v tom veřejném určeném pro podnikové aplikace, je nutné velmi granulárně řídit jednotlivá přístupová práva uživatelů ajejich skupin, ideálně na bázi jejich rolí v podniku. Tím hlavním důvodem je zde ochrana citlivých dat jednotlivých nájemců v rámci veřejného Cloudu a s tím úzce související dodržení příslušných zákonů a předpisů.
Celá infrastruktura Cloudu musí být už v jádru bezpečná, nezávisle na tom, zda se jedná o privátní či veřejný cloud. To vyžaduje komplexní bezpečnost a bezpečnou integraci.
Cloud musí již být navržen jako bezpečný, postaven z bezpečných komponent, implementován dle odpovídajících bezpečnostních know-how, bezpečně komunikující s okolím a podporujícím potřebná bezpečnostní SLA.
Tam, kde dochází ke komunikaci mezi jednotlivými částmi Cloudu, je třeba vynucovat dodržování bezpečnostních politik pro sdílení dat, aby byla zajištěna jejich integrita a důvěrnost.
V tradičním datovém centru je bezpečnost řešena nejen IT prostředky, ale současně fyzickým zabezpečením přístupu khardwarové infrastruktuře. Tato bariéra ale s příchodem Cloudu mizí. Místo stavění jiných bariér je třeba se soustředit na řízení bezpečnosti konkrétních informací. Data putující po Cloudu i mimo něj tak mají vlastní zabezpečení, které je po celou dobu chrání. K dosažení této „information-centric“ bezpečnosti je třeba vyřešit:
Ve veřejných Cloudech, kde se zpracovávají data mnoha nájemců, musí být data izolována. Virtualizace, šifrování a granulární řízení přístupu významně pomohou v izolaci dat mezi nájemci, jednotlivými skupinami či uživateli.
Se zvyšující se citlivostí informací a jejich počtem se musí prohloubit i klasifikace dat a důslednost ve vynucování jejich výhradně oprávněného použití. Dnešní podniková datová centra tuto oblast dost často opomíjela, neboť byla vždy pod kontrolou daného podniku. V Cloudu je ale bezpečnost dat tak kritická, že její granularitu musíme řešit už na úrovni souboru, tabulky či sloupce v databázi. S tím také přichází inspekce dat (sledování obsahu), jejich šifrování a bezpečná správa šifrovacích klíčů po celý jejich životní cyklus.
Nalézt v Cloudu ideální poměr mezi uživatelským komfortem a požadavky na jeho zabezpečení není jednoduché. Důležitými kroky k nalezení toho správného poměru je klasifikace dat a fungující procesy pro jejich vyhledávání, monitoring toku apoužití. Vtéto oblasti významně pomáhají systémy pro vyhledávání a ochranu citlivých dat, tzv. „data loss prevetion“.
IRM rozšiřuje model „information-centric“ bezpečnosti o možnost procesního řízení přístupových práv přímo na úrovni dokumentu, a to i v případech, kdy opustí prostředí Cloudu a je uložen mimo něj.
Prostředí všech systémů, ve kterých se pracuje s citlivými či jinak zákonem chráněnými informacemi, musí být zpohledu bezpečnosti kompletně monitorováno a pravidelně auditováno, ideálně pomocí řešení pro sběr a analýzu logů z daných systémů s reportingem do podnikového řešení pro řízení podnikových procesů a rizik.
Zpracovávání citlivých dat v Cloudu bude znamenat mnohem granulárnější bezpečnost na úrovni dat, a to po celý jejich životní cyklus, než jaká je dosavadní praxe.