Důležitou a nedílnou součástí přechodu k veřejnému cloudu je přesun jeho zabezpečení mimo kontrolu podniku směrem k poskytovateli daného cloudu, což vede k potřebám změn v pojetí informační bezpečnosti. Jedná se o sdílení řízení bezpečnosti, které je naprosto nezbytné pro další rozvoj důvěryhodných vztahů mezi odběrateli a poskytovateli cloudových služeb. Těmi nejdůležitějšími procesy jsou z pohledu bezpečnosti zejména řízení přístupu, ochrana dat a shoda s předpisy a zákony, tzv. compliance.
Bezpečný veřejný cloudSpráva identit, autentizační služby a federovaná identita hrají v bezpečnosti cloudu klíčovou roli. Ochrana identit zajišťuje integritu a důvěrnost dat i aplikací a zpřístupňuje je autorizovaným uživatelům. Podpora výše zmíněných funkcí je nedílnou součástí všech typů cloudu včetně toho veřejného.
Z pohledu řízení přístupu do cloudu je třeba se soutředit zejména na silnou autentizaci. Pokud má veřejný cloud sloužit k provozu podnikových aplikací, je bezpodmínečně nutné využít silnější autentizaci uživatelů, než je již dávno překonané uživatelské jméno a statické heslo. Standardem v této oblasti je použití ověřených technologií pro silnou autentizaci (multifaktorová autentizace na bázi jednorázového hesla), federovanou (delegovanou) identitu pro důvěryhodné sdílení identit mezi různými subjekty, a „risk-based“ autentizaci založenou na chování uživatele, kontextu a mnoha dalších faktorech. Vhodnou kombinací a vrstvením těchto autentizačních metod lze zajistit jak dodržení bezpečnostních SLA, tak jednoduchost použití pro všechny typy uživatelů.
V tradičním datovém centru je bezpečnost řešena nejen IT prostředky, ale současně fyzickým zabezpečením přístupu k hardwarové infrastruktuře. Tato bariéra ale s příchodem veřejného cloudu mizí. Místo stavění bariér je třeba se soustředit na řízení bezpečnosti konkrétních informací. Data putující po cloudu i mimo něj tak mají vlastní zabezpečení, které je po celou dobu chrání. K dosažení této „information-centric“ bezpečnosti je třeba vyřešit několik oblastí:
• Oddělení dat: Ve veřejných cloudech, kde se zpracovávají data mnoha nájemců, musí být data izolována. Virtualizace, šifrování a granulární řízení přístupu významně pomohou v izolaci dat mezi nájemci, jednotlivými skupinami či uživateli.
• Granulární bezpečnost dat: Se zvyšující se citlivostí informací a jejich počtem se musí prohloubit i klasifikace dat a důslednost ve vynucování jejich výhradně oprávněného použití. Ve veřejném cloudu je bezpečnost dat tak kritická, že její granularitu musíme řešit už na úrovni souboru, tabulky či sloupce v databázi. S tím také přichází inspekce dat (sledování obsahu), jejich tokenizace či šifrování a bezpečná správa šifrovacích klíčů po celý jejich životní cyklus.
• Klasifikace dat: Nalézt v cloudu ideální poměr mezi uživatelským komfortem a požadavky na jeho zabezpečení není jednoduché. Důležitými kroky k nalezení toho správného poměru je klasifikace dat a fungující procesy pro jejich vyhledávání, monitoring toku a použití. V této oblasti významně pomáhají systémy pro vyhledávání a ochranu citlivých dat, tzv. „data loss prevetion“ (DLP).
• Monitoring a audit: Prostředí všech systémů, ve kterých se pracuje s citlivými informacemi, musí být z pohledu bezpečnosti kompletně monitorováno a pravidelně auditováno. Ideálním řešením této oblasti je systém pro sběr a analýzu logů z klíčových systémů (tzv. SIEM) s reportingem do podnikového GRC (governance, risk, compliance) řešení pro řízení podnikových procesů a rizik.
Celá infrastruktura cloudu musí být už v jádru bezpečná, nezávisle na tom, zda stavíte privátní či veřejný cloud. To vyžaduje:
• Komplexní bezpečnost: Cloud musí již být navžen jako bezpečný, postaven z bezpečných komponent, implementován dle odpovídajících bezpečnostních „know-how“, bezpečně komunikující s okolím, a podporujícím potřebná bezpečnostní SLA.
• Bezpečnou integraci: Tam, kde dochází ke komunikaci mezi jednotlivými částmi cloudu, je třeba vynucovat dodržování bezpečnostních politik pro sdílení dat, aby byla zajištěna jejich integrita a důvěrnost.
Všechny výše uvedené oblasti jsou důležité nejen pro pro privátní a veřejný cloud, ale také pro služby IAAS (infrastructure as a service), PAAS (platform as a service) a SAAS (software as a service). Dobrou zprávou je, že všechna popsaná řešení jsou již dnes k dispozici a další se samozřejmě vyvíjejí a testují, aby mohla splnit stále náročnější požadavky trhu.
David Matějů, RSA Presales Engineer, RSA, The Security Division of EMC, www.rsa.com
(Partnerský příspěvek.)
Málokteré téma je tak rozporuplné jako bezpečnost IT: Na jednu stranu se o ní stále mluví a všichni si uvědomujeme, kde...
