Chmura obliczeniowa – bezpieczna czy nie?
Podczas wydarzenia VMworld2015, organizator eventu, firma VMware Inc. zaprezentowała innowacje w obszarze jednolitej platformy chmury hybrydowej. Jak informuje firma, nowe usługi w chmurze publicznej VMware i umożliwią klientom szybsze tworzenie aplikacji, podniesienie poziomu bezpieczeństwa systemów IT, szybkie przywracanie usług po awariach oraz generowanie rzeczywistej wartości dodanej dla firmy.
Wiele osób zadaje sobie jednak pytanie czy korzystanie z rozwiązań w chmurze jest bezpieczne. W zasadzie odpowiedź zależy od tego, czy firma wybrała dla swoich potrzeb odpowiedni model chmury. Chmura prywatna pozwala mieć pełną kontrole nad zasobami, publiczna (u poważnego providera) jest dostępna natychmiast, ułatwia rozliczanie kosztów i zapewnia wysokiej jakości backup i high availability, które wiąże się zazwyczaj z inwestycjami i czasem wymaganym na wdrożenie w chmurze prywatnej. Ciekawy wydaje się zatem model chmury hybrydowej łączący zalety obu rozwiązań. Jednak jak twierdzą eksperci każde z tych rozwiązań na swój sposób jest bezpieczne. Przedstawiciele VMware zapewniają, że rozwiązania chmurowe są bezpieczne, choć zauważają, że wiele firm aby w pełni chronić dane wrażliwe lub krytyczne dla biznesu, decyduje się na umieszczenie ich w chmurze prywatnej.
W przypadku publicznej chmury usługi i infrastruktura znajdują się poza firmą i to jest największym zarzutem wobec wykorzystania tego rozwiązania. Tymczasem dane w chmurze prywatnej chronione są za firewallem, a firma wykorzystuje własne zasoby IT do ich przechowywania. Zatem chmura hybrydowa łączy plusy obu rozwiązań, jednocześnie niwelując zagrożenie.
Temat jednak nie jest jednoznaczny, a cloud computingiem coraz częściej interesują się organy zajmujące się ochroną danych osobowych oraz regulatorzy, w przypadku np. banków, które korzystają z tych rozwiązań. W szczególności najważniejszym pytaniem pozostaje, czy nasze dane nie są przesyłane np. do USA.
Firmy muszą wykazać, co z tymi danymi się dzieje
Na początek warto zaznaczyć, że nie ma żadnego generalnego zakazu, który uniemożliwiałby przetwarzanie danych osobowych w chmurze. Istotne przy tym jest jednak to, jakie działania trzeba podjąć, żeby zachować wszystkie zasady ochrony danych osobowych, które wynikają z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Poprosiliśmy Generalnego Inspektora Danych Osobowych o komentarz w tej sprawie:
Można przetwarzać dane w chmurze, ale musimy wiedzieć gdzie ma to miejsce
UE nie ma złudzeń – zagrożenie dla konsumentów wzrasta
Kwestie cloud computingu analizuje też Komisja Europejska, która 4 listopada 2010 r. przyjęła kompleksową strategię dotyczącą ochrony danych osobowych w Unii Europejskiej (komunikat KOM (2010) 609/3). Zakłada ona modernizację istniejących na poziomie Unii Europejskiej (UE) ram prawnych w zakresie ochrony danych osobowych i uwzględnienie w nich uregulowań prawnych związanych z rozwojem nowych technologii. Komisja stwierdza w nim, że „Cloud computing – tzn. przetwarzanie dokonywane w Internecie przy pomocy oprogramowania, dzielonych zasobów i informacji znajdujących się na zewnętrznych serwerach („w chmurze”) stanowi wyzwanie dla ochrony danych, ponieważ wiąże się z utratą przez jednostki kontroli nad ich potencjalnie poufnymi informacjami w sytuacji, w której przechowują one te dane korzystając z programów zainstalowanych na urządzeniach osób trzecich. Niedawno przeprowadzona analiza potwierdziła, że zarówno organy ochrony danych, zrzeszenia przedsiębiorców, jak i organizacje konsumentów są zgodne co do tego, że wzrasta zagrożenie dla prywatności i ochrony danych osobowych w związku z działalnością w Internecie”.
Jak Komisja Europejska postrzega bezpieczeństwo danych w chmurze. Udaliśmy się w tej sprawie do źródła.
Firmy zza oceanu zdobyły przewagę
Trzeba też pamiętać, ze poza zabezpieczenia wykorzystywanymi przez rozwiązani chmurowe, ważne jest wykorzystanie właściwych narzędzi bezpieczeństwa. Zapytaliśmy więc firmy zajmujące się obszarem cyber security co myślą o przechowywaniu danych w chmurze. Zdania są jednak podzielone.
Bezpieczeństwo danych w chmurze. Ewentualne ataki na tego typu rozwiązania są możliwe
Radosław Wesołowski z Grey Wizard
Bezpieczeństwo danych w chmurze zależy od wielu czynników, ale poprawnie skonfigurowana usługa z dobrze określoną polityką dostępu do danych i zasobów jest tak samo bezpieczna jak hosting dedykowany. Budując rozwiązania oparte na chmurze publicznej lub prywatnej przede wszystkim należy pamiętać o stosowaniu szyfrowania - zarówno połączeń wykorzystywanych do przesyłania informacji jak i samych danych, takie podejście bardzo ogranicza ryzyko wycieku danych wrażliwych w przypadku ewentualnego włamania. Kolejnymi ważnym aspektem jest ustalenie polityki dostępu do danych i nadzór nad jej przestrzeganiem. Szczególnie istotne wydają się być dodatkowe zabezpieczenia takie jak dwu składnikowe uwierzytelnianie czy korzystanie z rozwiązań biometrycznych. Równie istotne są szkolenia pracowników na wypadek prób ataków typu „social engineering” czyli takich, których celem jest uzyskanie niejawnych informacji wykorzystując niewiedzą lub łatwowierność użytkownika, gdyż jak pokazują statystyki większość ataków pochodzi właśnie z wewnątrz firmy. Warto tutaj wspomnieć o konieczności wykonywania cyklicznych audytów bezpieczeństwa i odpowiednim zabezpieczeniu publicznych interfejsów programistycznych (API) w celu ochrony przed atakami typu „brute force”, których celem jest sprawdzenie wszystkich możliwych kombinacji nazwa użytkownika / hasło. Atak tego typu został skutecznie przeprowadzony na chmurę iCloud i spowodował wyciek zdjęć gwiazd. Na koniec należy pamiętać o wdrożeniu bezpiecznych procedur do przechowywania kopii zapasowych danych jak i ochronie przed atakami rozproszonymi typu DDoS.
Dane przechowywane w chmurze są narażone na ataki
Piotr Kupczyk, Kaspersky Lab Polska
Dane przechowywane w chmurze są narażone na ataki, o których nie myślimy zbyt wiele, gdy trzymamy nasze informacje na własnych dyskach wewnątrz firmy, czy w domu. Jednym z takich zagrożeń są ataki DDoS (ang. Distributed Denial of Service), których zadaniem jest zmniejszenie wydajności lub całkowite wstrzymanie usługi dostępnej online. Jeżeli atak taki zostanie wymierzony w infrastrukturę firmy zarządzającej chmurą, z której korzystamy, nasze dane mogą stać się niedostępne przez pewien – czasem nawet dość długi – czas. Co bardzo ważne – działania tego typu często stanowią swego rodzaju zasłonę dymną i towarzyszą im bardziej zaawansowane działania cyberprzestępcze, takie jak kradzież informacji przechowywanych w chmurze. Dlatego tak ważne jest to, by dane – przynajmniej te krytyczne dla funkcjonowania firmy – były przechowywane w chmurze w postaci zaszyfrowanej. Ceny ataków DDoS na czarnym rynku cyberprzestępczym są niebezpiecznie niskie – koszt jednodniowego ataku na infrastrukturę wskazanej firmy to zaledwie 200 dolarów. Istnieją nawet „sklepy”, w których można kupować i sprzedawać całe sieci zainfekowanych komputerów wykorzystywanych do zmasowanego atakowania określonych celów. Należy mieć to na względzie wybierając firmę świadczącą usługi przechowywania danych w chmurze. Warto zwrócić się w stronę organizacji oferujących skuteczną ochronę przed atakami DDoS, najlepiej taką, która jest w stanie błyskawicznie dostosować się do ciągle ewoluujących technologii wykorzystywanych przez cyberprzestępców.
Michał Jarski, Regional Sales Director CEE, Trend Micro
Bezpieczeństwo chmury nie jest już blokadą
Bezpieczeństwo nie jest już blokadą, która definitywnie uniemożliwia korzystanie z modelu cloud computing. Chociaż dane wychodzą poza firmowe data center i może temu towarzyszyć poczucie, że traci się nad nimi kontrolę, to istnieje rozbudowana gałąź rynku rozwiązań, które potrafią ochronić firmowe zasoby w chmurze. Jeżeli chcemy otworzyć się na wszystkie możliwości i elastyczność, którą daje chmura, musimy zapomnieć jednak o tradycyjnym podejściu do bezpieczeństwa IT.
Chmura zapewnia bardzo dużą dynamikę i elastyczność, a to przekłada się m.in. na bardzo częste tworzenie i wyłączanie serwerów oraz usług. Przy tak zmiennym środowisku bardzo ważne jest to, żeby system bezpieczeństwa pozwalał na zautomatyzowanie jak największej liczby procesów. Możemy spodziewać się, że dostawca usług chmurowych zapewnia ochronę do pewnego poziomu, powinniśmy jednak zostawić część odpowiedzialności w rękach firmy. Warto założyć, że praktycznie każdy z serwerów znajdujących się w serwerowni albo w chmurze potencjalnie jest zainfekowany i może atakować inne maszyny. Dlatego istotne jest rozdzielenie serwerów i traktowanie każdego jako osobnej jednostki.