Védett felhők

A vállalatok mintegy fele a személyes adatok védelmével és egyéb biztonsági kérdésekkel kapcsolatos aggályok miatt utasítja el a felhő alapú számítástechnika használatát a Forrester Research tavaly decemberi felmérése szerint. Annak ellenére így van ez, hogy ezt a technológiát tartja az elkövetkező évek vagy évtized egyik legjelentősebb számítástechnikai trendjének több kutatócég is, így hát kétségtelen, hogy érdemi válaszokat kell adni a felmerülő biztonsági problémákra.

Kétségek között

Az egyik leginkább kérdéses terület az adatvédelem (privacy). Magánemberek esetében is lényeges, hogy a szolgáltató kinek adja ki a szerverein tárolt adatokat - akár pénzért -, vagy kihez kerülhetnek azok, ha például az előfizetése megszűnik. Vállalatok számára meg különösen fontos, hogy az adataik biztonságban legyenek, ezért a cégek többsége nehezen fogad el olyan konstrukciót, amelynek esetében ki kell engednie a kényes adatok feletti kontrollt a kezéből. Márpedig a felhőben éppen ez történik.

„Azt hiszem, a legnagyobb kihívás

a mai biztonsági fronton a számítási felhő, különös tekintettel az infrastrukturális számítási felhő (IaaS) megoldásokra. Sok »úgynevezett« felhőbiztonsági megoldás a piacon nem más, mint már létező biztonsági technológiák felhőkörnyezetre alkalmazott kiadása, de amit a gyártók nem szívesen ismernek be, hogy az IaaS-ek merőben új biztonsági kockázatokat hoznak felszínre, amire új megoldások kellenek.”

(Richard Reiner kanadai IT biztonsági szakember és stratégiai tanácsadó üzenete az ITBN 2010 konferencia hallgatóságának)

Az az általában előnyként hangoztatott tény, hogy a számítási felhőnek - cloud computingnak - köszönhetően az informatikai szolgáltató és ügyfele egymástól bármilyen távol, bárhol lehet a világban, az adatbiztonság szempontjából nézve hátrányba fordul. Nehéz elnyerni az ügyfél bizalmát úgy, hogy azt sem tudja, az adatai a világ mely tájékán tárolódnak.

Újból és újból visszatérő kérdés az is: mi történik a céges adatokkal, ha például az azokat kezelő szolgáltató csődbe megy, vagy éppen felvásárolják? Az Európai Hálózati és Információs Biztonsági Hivatal (ENISA) friss tanulmánya felhívja a figyelmet arra, hogy az ügyfél - a technológia jellegéből adódóan - szükségképpen átengedi az irányítást a felhő üzemeltetőjének számos, a biztonsághoz kapcsolódó kérdésben úgy, hogy a szolgáltatási szerződés nem rögzíti ennek részleteit, így gyakran rés marad a védelmi rendszeren. A hatalmas és igen értékes adatrengeteget tároló szerverközpontok ráadásul különösen hívogató célpontok a hackerek számára, ha pedig egyszer sikerül áttörni a szigorú védelmen, minden adat áldozatul esik, mivel az is folyamatosan felmerülő probléma, hogy a szolgáltatók mennyire képesek egymástól elkülönítve tárolni az egyes ügyfelek adatait.

Erős páncélzat

Fizikai értelemben a felhőszolgáltatást nyújtó cégek hatalmas szerverközpontjai sokkal biztonságosabb környezetet jelentenek, mint amit egy átlagos felhasználó - akár magánember, akár cég - maga biztosítani képes. A szervereknek helyet adó telepeket őrzik, védettek fizikai és virtuális behatolás, tűz, víz és más elemi károk ellen. Az adatvesztést teljes körű biztonsági mentés akadályozza meg, sőt sok esetben földrajzi értelemben elkülönült katasztrófa-telephellyel is rendelkeznek az egyes adatközpontok. Az átköltözés ráadásul automatikus, az esetleges kiesés pedig maximum órákban mérhető. Az ENISA tanulmánya előnyként emeli ki, hogy mivel a legtöbb megrendelő a biztonság miatt aggódik leginkább, sokan e szerint választják ki a szolgáltatójukat. Vagyis a szolgáltató cégek alapvető érdeke, hogy a lehető legjobb biztonsági feltételeket kínálják.

Ez annál is inkább lehetséges, mivel fő tevékenységük a biztonságos környezet megteremtése. A nagy volumen miatt a védelmi rendszer olcsóbban megteremthető, így ugyanolyan befektetéssel magasabb biztonsági szintet lehet elérni. Emellett a szolgáltatók képesek dinamikusan átcsoportosítani az erőforrásaikat az éppen szükséges területre, ami természetesen előny a szolgáltatást igénybe vevő számára. A felhőben mindig a legfrissebb beállítások, „patchek", egyebek állnak a megrendelő rendelkezésére. Sokkal gyorsabban, mint a korábbi rendszerben egyáltalán elképzelhető lett volna.

Körültekintéssel biztosítva

A biztonságos számítási felhő a cégek szempontjából leginkább a megfelelő szolgáltató kiválasztásán és a gondosan megkötött szerződésen múlik. Szolgáltatóválasztás előtt érdemes széles körben tájékozódni. A szükséges jogi garanciák mellett arra is figyelni kell, hogy a kiválasztott biztonsági szoftverei illeszkedjenek a szabványokhoz, hogy a felhőben futtatott szolgáltatást képes legyen csatlakoztatni a cég saját biztonsági rendszeréhez, így érvényesek legyenek rá a vállalaton belül kialakított és bevezetett biztonsági irányelvek. A felelősség megosztása érdekében a szerződésbe érdemes garanciákat, akár a szolgáltató kártérítési felelősségét is beépíteni. A megrendelő cégre vonatkozó törvényi vagy iparági előírások esetleges megsértése esetén azonban a törvényi felelősséget minden esetben a megrendelő állja, legfeljebb az anyagi károk átterheléséről rendelkezhet a szerződés.

A piaci cégek mellett úttörőként az amerikai kormányzat is nyitott a cloud computing vívmányainak használatára, a szakemberek azonban információbiztonságra vonatkozó szabályozás bevezetését szorgalmazzák. Ez többek között kitérne a cloud computing kockázatainak kezelésére, a szolgáltatóoldali követelmények meghatározására, a felelősségek megosztására a szolgáltató és az ügyfele között, a szükséges hitelesítési folyamatokra, valamint a szolgáltatók tanúsítására és előminősítésére.

A bizalom növelése érdekében arra is van lehetőség, hogy egy cég fokozatosan vezesse át különböző informatikai folyamatait a számítási felhőbe. Elsőként a kevésbé érzékeny adatokat, a lazább törvényi előírások alá eső folyamatokat, biztonsági szempontból kevésbé érzékeny alkalmazásokat érdemes kihelyezni. A jelenlegi biztonsági megoldások leginkább a felhőben elhelyezett adatok védelmére koncentrálnak, de ahogy egyre újabb felhő alapú alkalmazások jelennek majd meg, úgy követi őket a teljes körű, központosított auditálás, jogosultság-, jelszó- és hozzáférés-felügyelet.

Tanúsított felhő

A Novell és a Cloud Security Alliance (CSA) meghirdette az iparág első szállítófüggetlen, számítási felhőkre vonatkozó biztonsági tanúsítási programját, amely képzési lehetőséget is kínál a felhő alapú technológiát szolgáltatóknak. A „Trusted Cloud ” néven indított kezdeményezés célja, hogy olyan metódusok és konkrét beállítások kidolgozásában segítse a szolgáltatókat az eddigi gyakorlati tapasztalatok felhasználásával, amelyek megfelelnek az iparági ajánlásoknak, biztonságosak, és együttműködnek az ügyfelek már meglévő informatikai rendszerével. A kezdeményezés kiterjed a felhő alapú megoldások bevezetése során eddig kényes területnek minősülő személyazonosság-kezelési, hozzáférési és megfelelőségi megoldások konfigurációira is.

A számítási felhők bevezetését tervező szervezetek számára megerősítést jelenthet, hogy mostantól egy olyan megbízható szabvány áll rendelkezésükre, amely eloszlathatja a biztonsággal, a megfelelőséggel, valamint az adatkezeléssel kapcsolatos aggodalmakat. A tanúsítási kritériumokat, a biztosítékokat és az ütemtervet a CSA nonprofit szervezet tagjai fogják meghatározni. A CSA azért jött létre, hogy a hálózati felhő alapú környezetekben már bevált metódusokat széles körben megismertesse a szolgáltatókkal, és ezzel biztonsági garanciát nyújtson a felhasználók számára. Tagjai felhasználók, felhő alapú szolgáltatást kínáló vállalatok, SaaS- és technológiai szolgáltatók közül kerülnek ki. Közéjük tartozik a Novell, a Microsoft, a Dell, a Rackspace, a Qualys, a HP, az Intel, a Cisco, a McAfee, az ISACA, a DMTF és a Symantec, valamint a Global 2000 szervezetek és az egyes kormányok egyéni képviselői.