Artykuły
Priorytety: bezpieczeństwo "w chmurze" i systemach wirtualnych
15 marca 2010,
Józef Muszyński
Cloud computing i wirtualizacja, to nie tylko korzyści i obietnice zwiększania efektywności systemów przetwarzania danych, lecz także konieczność wzięcia odpowiedzialności za zarządzanie nimi oraz zagwarantowania bezpieczeństwa przy korzystaniu z tego typu rozwiązań.
Równie ważnymi zadaniami na 2010 r. dla ekspertów ds. bezpieczeństwa są: przeciwdziałanie naruszaniu i kradzieży danych i zabezpieczanie serwisów społecznościowych przed atakami socjotechnicznymi.
Bezpieczeństwo "w chmurze"
Potencjalny użytkownik cloud services powinien dokonać oceny ryzyka korzystania z tego modelu, biorąc pod uwagę znaczenie dla biznesu danych udostępnianych w chmurze i bezpieczeństwo, jakie dostawca może zapewnić w sposób sprawdzalny.
· dokładne określenie, które dane oraz funkcje mają być przeniesione w chmurę;
· dokładna ocena, jak istotne dla organizacji są te dane i te funkcje;
· określenie, które z opcji cloud są do zaakceptowania: publiczna, prywatna - wewnętrzna, prywatna - zewnętrzna, hybrydowa;
· ocena zakresu dostępnej kontroli pozwalającej na łagodzenie zagrożeń;
· odwzorowanie przepływów danych "do i z" cloud, w celu określenia miejsc narażonych na ryzyko.
Cloud Security Alliance (CSA) podkreśla, że zamawiając określony typ usług cloud, użytkownicy muszą mieć pełną świadomość, jaki zakres odpowiedzialności za bezpieczeństwo i zarządzanie swoimi danymi i aplikacjami biorą na siebie. Im mniejszy stos usług po stronie dostawcy, tym większa odpowiedzialność użytkownika za bezpieczeństwo własnych danych i aplikacji. I tak np. infrastruktura Amazon EC2 jako usługa zapewnia bezpieczeństwo fizyczne, środowiskowe i bezpieczną wirtualizację, ale bezpieczeństwa wirtualnych instancji systemów operacyjnych, aplikacji i samych danych - już nie. Przy modelu SaaS, takim np. jak CRM oferowany przez Salesforce.com, dostawca usługi odpowiada również za aplikacje i dane.
W 2010 r. dostawcy cloud computing powinni zacząć wprowadzać szyfrowanie danych i inne mechanizmy zabezpieczeń w formule as-a-service. Ponieważ obawy o bezpieczeństwo są jedną z głównych przeszkód wprowadzania rozwiązań cloud computing, można spodziewać się pojawiania rozliczanych godzinowo usług szyfrowania, VPN, systemów zapobiegania włamaniom itp. związanych z bezpieczeństwem (przykładem jest tu Amazon Virtual Private Cloud).
Według Forrester obawy związane z "wielodzierżawnością" będą decydować o wyborze prywatnych i dedykowanych clouds. Polityki bezpieczeństwa dla maszyn wirtualnych "w chmurze" staną się w pełni przenaszalne, gotowe do natychmiastowego stosowania zarówno w zasobach cloud, jak i lokalnych. W uzupełnieniu cloud computing rozwiną się także zarządzane usługi bezpieczeństwa: DLP, szyfrowania, uwierzytelniania, uzupełniające ugruntowane już usługi antyspamowe, antymalware i zapory ogniowej.
Bezpieczeństwo "w chmurze"
Potencjalny użytkownik cloud services powinien dokonać oceny ryzyka korzystania z tego modelu, biorąc pod uwagę znaczenie dla biznesu danych udostępnianych w chmurze i bezpieczeństwo, jakie dostawca może zapewnić w sposób sprawdzalny.
Ocena ryzyka przy wejściu "w chmurę"
Tak jak w każdej dziedzinie związanej z bezpieczeństwem, przy wejściu "w chmurę" i wyborze związanych z tym opcji zabezpieczeń, należy zastosować podejście oparte na ocenie ryzyka. Cloud Security Alliance zaleca podjęcie następujących kroków:
· dokładne określenie, które dane oraz funkcje mają być przeniesione w chmurę;
· dokładna ocena, jak istotne dla organizacji są te dane i te funkcje;
· określenie, które z opcji cloud są do zaakceptowania: publiczna, prywatna - wewnętrzna, prywatna - zewnętrzna, hybrydowa;
· ocena zakresu dostępnej kontroli pozwalającej na łagodzenie zagrożeń;
· odwzorowanie przepływów danych "do i z" cloud, w celu określenia miejsc narażonych na ryzyko.
W 2010 r. dostawcy cloud computing powinni zacząć wprowadzać szyfrowanie danych i inne mechanizmy zabezpieczeń w formule as-a-service. Ponieważ obawy o bezpieczeństwo są jedną z głównych przeszkód wprowadzania rozwiązań cloud computing, można spodziewać się pojawiania rozliczanych godzinowo usług szyfrowania, VPN, systemów zapobiegania włamaniom itp. związanych z bezpieczeństwem (przykładem jest tu Amazon Virtual Private Cloud).
Według Forrester obawy związane z "wielodzierżawnością" będą decydować o wyborze prywatnych i dedykowanych clouds. Polityki bezpieczeństwa dla maszyn wirtualnych "w chmurze" staną się w pełni przenaszalne, gotowe do natychmiastowego stosowania zarówno w zasobach cloud, jak i lokalnych. W uzupełnieniu cloud computing rozwiną się także zarządzane usługi bezpieczeństwa: DLP, szyfrowania, uwierzytelniania, uzupełniające ugruntowane już usługi antyspamowe, antymalware i zapory ogniowej.
Komentarze (0)
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...