A vállalatok mintegy fele a személyes adatok védelmével és egyéb biztonsági kérdésekkel kapcsolatos aggályok miatt utasítja el a felhő alapú számítástechnika használatát a Forrester Research tavaly decemberi felmérése szerint. Annak ellenére így van ez, hogy ezt a technológiát tartja az elkövetkező évek vagy évtized egyik legjelentősebb számítástechnikai trendjének több kutatócég is, így hát kétségtelen, hogy érdemi válaszokat kell adni a felmerülő biztonsági problémákra.
Kétségek között
Az egyik leginkább kérdéses terület az adatvédelem (privacy). Magánemberek esetében is lényeges, hogy a szolgáltató kinek adja ki a szerverein tárolt adatokat - akár pénzért -, vagy kihez kerülhetnek azok, ha például az előfizetése megszűnik. Vállalatok számára meg különösen fontos, hogy az adataik biztonságban legyenek, ezért a cégek többsége nehezen fogad el olyan konstrukciót, amelynek esetében ki kell engednie a kényes adatok feletti kontrollt a kezéből. Márpedig a felhőben éppen ez történik.
Az az általában előnyként hangoztatott tény, hogy a számítási felhőnek - cloud computingnak - köszönhetően az informatikai szolgáltató és ügyfele egymástól bármilyen távol, bárhol lehet a világban, az adatbiztonság szempontjából nézve hátrányba fordul. Nehéz elnyerni az ügyfél bizalmát úgy, hogy azt sem tudja, az adatai a világ mely tájékán tárolódnak.
Újból és újból visszatérő kérdés az is: mi történik a céges adatokkal, ha például az azokat kezelő szolgáltató csődbe megy, vagy éppen felvásárolják? Az Európai Hálózati és Információs Biztonsági Hivatal (ENISA) friss tanulmánya felhívja a figyelmet arra, hogy az ügyfél - a technológia jellegéből adódóan - szükségképpen átengedi az irányítást a felhő üzemeltetőjének számos, a biztonsághoz kapcsolódó kérdésben úgy, hogy a szolgáltatási szerződés nem rögzíti ennek részleteit, így gyakran rés marad a védelmi rendszeren. A hatalmas és igen értékes adatrengeteget tároló szerverközpontok ráadásul különösen hívogató célpontok a hackerek számára, ha pedig egyszer sikerül áttörni a szigorú védelmen, minden adat áldozatul esik, mivel az is folyamatosan felmerülő probléma, hogy a szolgáltatók mennyire képesek egymástól elkülönítve tárolni az egyes ügyfelek adatait.
Erős páncélzat
Fizikai értelemben a felhőszolgáltatást nyújtó cégek hatalmas szerverközpontjai sokkal biztonságosabb környezetet jelentenek, mint amit egy átlagos felhasználó - akár magánember, akár cég - maga biztosítani képes. A szervereknek helyet adó telepeket őrzik, védettek fizikai és virtuális behatolás, tűz, víz és más elemi károk ellen. Az adatvesztést teljes körű biztonsági mentés akadályozza meg, sőt sok esetben földrajzi értelemben elkülönült katasztrófa-telephellyel is rendelkeznek az egyes adatközpontok. Az átköltözés ráadásul automatikus, az esetleges kiesés pedig maximum órákban mérhető. Az ENISA tanulmánya előnyként emeli ki, hogy mivel a legtöbb megrendelő a biztonság miatt aggódik leginkább, sokan e szerint választják ki a szolgáltatójukat. Vagyis a szolgáltató cégek alapvető érdeke, hogy a lehető legjobb biztonsági feltételeket kínálják.
Ez annál is inkább lehetséges, mivel fő tevékenységük a biztonságos környezet megteremtése. A nagy volumen miatt a védelmi rendszer olcsóbban megteremthető, így ugyanolyan befektetéssel magasabb biztonsági szintet lehet elérni. Emellett a szolgáltatók képesek dinamikusan átcsoportosítani az erőforrásaikat az éppen szükséges területre, ami természetesen előny a szolgáltatást igénybe vevő számára. A felhőben mindig a legfrissebb beállítások, „patchek", egyebek állnak a megrendelő rendelkezésére. Sokkal gyorsabban, mint a korábbi rendszerben egyáltalán elképzelhető lett volna.
Körültekintéssel biztosítva
A biztonságos számítási felhő a cégek szempontjából leginkább a megfelelő szolgáltató kiválasztásán és a gondosan megkötött szerződésen múlik. Szolgáltatóválasztás előtt érdemes széles körben tájékozódni. A szükséges jogi garanciák mellett arra is figyelni kell, hogy a kiválasztott biztonsági szoftverei illeszkedjenek a szabványokhoz, hogy a felhőben futtatott szolgáltatást képes legyen csatlakoztatni a cég saját biztonsági rendszeréhez, így érvényesek legyenek rá a vállalaton belül kialakított és bevezetett biztonsági irányelvek. A felelősség megosztása érdekében a szerződésbe érdemes garanciákat, akár a szolgáltató kártérítési felelősségét is beépíteni. A megrendelő cégre vonatkozó törvényi vagy iparági előírások esetleges megsértése esetén azonban a törvényi felelősséget minden esetben a megrendelő állja, legfeljebb az anyagi károk átterheléséről rendelkezhet a szerződés.
A piaci cégek mellett úttörőként az amerikai kormányzat is nyitott a cloud computing vívmányainak használatára, a szakemberek azonban információbiztonságra vonatkozó szabályozás bevezetését szorgalmazzák. Ez többek között kitérne a cloud computing kockázatainak kezelésére, a szolgáltatóoldali követelmények meghatározására, a felelősségek megosztására a szolgáltató és az ügyfele között, a szükséges hitelesítési folyamatokra, valamint a szolgáltatók tanúsítására és előminősítésére.
A bizalom növelése érdekében arra is van lehetőség, hogy egy cég fokozatosan vezesse át különböző informatikai folyamatait a számítási felhőbe. Elsőként a kevésbé érzékeny adatokat, a lazább törvényi előírások alá eső folyamatokat, biztonsági szempontból kevésbé érzékeny alkalmazásokat érdemes kihelyezni. A jelenlegi biztonsági megoldások leginkább a felhőben elhelyezett adatok védelmére koncentrálnak, de ahogy egyre újabb felhő alapú alkalmazások jelennek majd meg, úgy követi őket a teljes körű, központosított auditálás, jogosultság-, jelszó- és hozzáférés-felügyelet.
Megjelent a Piac és Profit magaziban