Podle nového průzkumu společnosti Quocirca tak více jak třetina respondentů potvrdila, že je strach z nedostatečného zabezpečení cloudu donutil kategoricky zavrhnout myšlenku jeho přijetí. Obdobně hovoří také studie firmy North Bridge Venture Partners, podle níž sice důvěra v cloud za posledních 12 měsíců vzrostla, přesto však 55 % respondentů vyjádřilo jisté obavy o bezpečnost. Naopak hlavními důvody pro přijetí cloudu jsou podle stejné studie především vyšší škálovatelnost a obchodní flexibilita. V České republice je situace podobná, jen zaznamenáváme za vyspělými zeměmi zpoždění, takže obavy z bezpečnosti cloudových řešení jsou stále v diskusích s potenciálními klienty na předním místě.
Ve světě, kde jsou útoky internetových zločinců na denním pořádku, jsou obavy o bezpečnost zcela pochopitelné. Je sice fakt, že vina za datové úniky je často neprávem přisuzována technologii cloudu, ač za nimi stojí mnohem obecnější záležitosti, přesto je pravdou, že je třeba soustředit se na zajištění co nejkvalitnějšího zabezpečení dat a IT systémů. Mnoha „rizika“ spjatá s cloud computingem známe již z konvenčního outsourcingu: data v rukou třetích stran (ač studie ukazují, že za více jak polovinou bezpečnostních narušení stojí vlastní zaměstnanci a ne někdo zvenčí) i uživatelé, kteří k nim přistupují prostřednictvím internetu. Jiné jsou naopak specifické přímo pro cloud.
K zabezpečení je třeba přistupovat komplexně
V rámci minimalizace externích i interních rizik spjatých s cloud computingem je nejprve třeba identifikovat všechna potenciální rizika a poté implementovat strukturované zabezpečení. Společnost T-Systems pro tento účel sestavila seznam dvanácti bodů, které je vhodné brát v potaz při zajišťování bezpečnosti privátního cloudu.:
- Identity management a kontrola přístupu – Riziko skryté v nezodpovědném či zlovolném jednání vlastních zaměstnanců je enormní a většina firem si toho je vědoma. Přesto s tím nic nedělají. Je proto třeba všechny ve firmě zasvětit do zásadních principů bezpečnosti a zavést systém identity managementu, kde budou striktně definované role a přístupová práva. Každý zaměstnanec by měl přistupovat jen k těm aplikacím a datům, a disponovat takovými právy, které opravdu potřebuje ke své práci. Krom toho je potřeba zajistit také zařízení, z nichž zaměstnanci přistupují do cloudu, v případě mobilních přístrojů např. možností vzdáleného vymazání disku pro případ ztráty či šifrování disku. Vhod přijde také aplikace DLP (Data Leakage Prevention) softwaru, který umožní aktivní monitoring potenciálně nežádoucích aktivit.
- Organizace infrastruktury a zabezpečení komunikace s cloudem – Datové přenosy je třeba šifrovat, vzdálený přístup uživatelů lze pak zajistit prostřednictvím zabezpečené VPN. Zabezpečit je třeba i firemní síť. Od poskytovatele požadujte vysokou kvalitu služby (QoS) včetně prioritizace, load balancingu či komprese dat.
- IT systémy v datových centrech – Zde je třeba jasná segregace (pomocí virtualizace) jednotlivých uživatelů poskytovatelem cloudu na úrovni datového centra, tak aby měl každý přístup vždy jen ke svým datům a nemohl narušit integritu dat druhých uživatelů.
- Bezpečná komunikace v cloudu a delegace služeb – Vzhledem ke komplexním nárokům na soulad s regulatorními požadavky (compliance) a jejich odlišnosti v jednotlivých zemích, je vhodné vybrat takového poskytovatele cloudu, který dokáže garantovat jejich plnění ve vašem regionu. K tomu je potřeba, aby byl schopen zajistit např. zabezpečenou komunikaci v rámci cloudu i vysokou míru transparentnosti.
- Ochrana IT systémů na straně poskytovatele služby – Jelikož jsou služby ICT zajišťovány primárně z datového centra, je třeba, aby byly bezpečnostní systémy implementovány přímo tam. Řeč je např. o technologiích pro detekci a prevenci neoprávněného přístup (např. firewallech s IPS).
- Fyzická bezpečnost datového centra – Kromě zabezpečení pomocí IT technologií musí poskytovatel zajistit také fyzické zabezpečení svých datových center, např. před zcizením (i vlastními zaměstnanci) či přírodní katastrofou.
- Organizace a bezpečná správa cloudu – Také poskytovatelé cloudu musejí zajistit organizaci procesů, kontrolu přístupu a distribuci úkolů mezi svými zaměstnanci. Pro tento účel disponují dedikovaným systémem ISMS (Information security management system), i díky němuž mohou získat mezinárodní certifikaci ISO/IEC 27001.
- Správa a dostupnost služeb – Jedním ze stěžejních témat cloudu je dostupnost aplikací a dat, která je garantována smlouvou SLA. Pro zajištění potřebné úrovně služeb musí poskytovatel nabízet kupříkladu plnou redundanci a splňovat další požadavky.
- Smlouvy, integrace a migrace procesů – Rozsah a typ služeb je definován smlouvou. Pokud chce organizace těžit z integrace cloudových služeb do své existující procesní infrastruktury, musí volit privátní cloud, který navíc poskytuje mnohem větší pružnost a rychlejší reakci na nastalé události (např. při detekci narušení). Ve smlouvě SLA se také snažte definovat co nejvíce možných scénářů, kupříkladu postup při výpadku a downtime.
- Správa bezpečnosti a zranitelností – Poskytovatel musí nabízet kvalitní strategii risk managementu, která mu umožňuje definovat potenciální rizika i postup pro jejich minimalizaci. To potvrzují mezinárodní certifikace jako ISO/IEC 2700 či ISO 27001 stvrzené nezávislými auditory.
- Bezpečnostní reporting a správa incidentů – I když své ICT a zajištění bezpečnosti svěříte třetí straně, stále nesete hlavní míru rizika. Proto je dobré vyžadovat jistou míru transparentnosti zajištěnou pravidelnými bezpečnostními reporty od poskytovatele cloudu a jistý vhled do jeho bezpečnostních mechanizmů.
- Správa požadavků a compliance – Jakožto firma čelíte nárokům na plnění celé řady regulatorních a dalších požadavků. Před podpisem smlouvy se proto ujistěte, že je jim váš poskytovatel cloudu schopen plně vyhovět.