Informačná bezpečnosť

Ako zaistiť bezpečnosť aj v cloude

Cloud com­pu­ting pri­ná­ša ok­rem vý­hod aj no­vé po­žia­dav­ky na bez­peč­nosť dát a ap­li­ká­cií, kto­ré má­me v clou­de. Pod­ľa ich cha­rak­te­ru a pod­ľa po­žia­da­viek na ich bez­peč­nosť mu­sí­me zvo­liť vhod­ný im­ple­men­tač­ný typ (pri­vát­ny, ve­rej­ný ale­bo hyb­rid­ný) a vhod­ný servisn­ý mo­del clou­du (IaaS, PaaS ale­bo SaaS), kto­rý pou­ži­je­me. .

Jed­na z dô­le­ži­tých otá­zok, kto­ré mu­sí­me rie­šiť pri bez­peč­nos­ti clou­du, je sú­lad s le­gis­la­tí­vou. V niek­to­rých prí­pa­doch tre­ba do­siah­nuť aj sú­lad s ďal­ší­mi pred­pis­mi ale­bo nor­ma­mi, ako je napr. ISO/IEC 27000, kto­rý pred­sta­vu­je ce­los­ve­to­vo naj­roz­ší­re­nej­ší štan­dard na zos­ta­ve­nie, im­ple­men­tá­ciu, pre­vádz­ku, mo­ni­to­ro­va­nie, re­ví­ziu a zlep­šo­va­nie bez­peč­nos­ti in­for­mač­ných sys­té­mov.

Prob­lém je, že špe­ciál­ne pre ob­lasť cloud com­pu­tin­gu neexis­tu­jú všeo­bec­ne zá­väz­né štan­dar­dy. Ta­ké­to štan­dar­dy bez­peč­nos­ti, kto­ré by ak­cep­to­va­li všet­ci pos­ky­to­va­te­lia clou­do­vých slu­žieb, sa sna­ží vy­tvo­riť ne­zis­ko­vá or­ga­ni­zá­cia Cloud Se­cu­ri­ty Allian­ce (CSA, https://cloud­se­cu­ri­tyallian­ce.org), kto­rá zdru­žu­je vý­rob­cov bez­peč­nos­tných rie­še­ní, pos­ky­to­va­te­ľov clou­do­vých slu­žieb, kon­zul­tač­né spo­loč­nos­ti a ďal­ších vy­še sto fi­riem z tej­to ob­las­ti.

Vý­sled­kom sna­hy CSA sú ok­rem iné­ho aj dva do­ku­men­ty: Se­cu­ri­ty Gui­dan­ce for Cri­ti­cal Areas of Fo­cus in Cloud Com­pu­ting (ver­zia 3) a Cloud Servic­es Pro­vi­ders Se­cu­ri­ty As­ses­sment Ques­tion­nai­re. Pr­vý z nich pred­sta­vu­je best prac­ti­ces na bu­do­va­nie bez­peč­né­ho clou­du. Dru­hý pred­sta­vu­je sú­bor otá­zok ur­če­ný pre pos­ky­to­va­te­ľov clou­do­vých slu­žieb. Otáz­ky sú za­me­ra­né na zis­te­nie, aké bez­peč­nos­tné pr­vky da­ný cloud pos­ky­tu­je pre mo­del IaaS, PaaS ale­bo SaaS.

Ten­to prob­lém sa sna­ží rie­šiť aj no­vá stra­té­gia EÚ pre cloud com­pu­ting New stra­te­gy to dri­ve Euro­pean bu­si­ness and go­ver­nment pro­duc­ti­vi­ty via cloud com­pu­ting z 27. sep­tem­bra 2012.

Na za­cho­va­nie bez­peč­nos­ti clou­du je ne­vyh­nut­né neus­tá­le mo­ni­to­ro­va­nie bez­peč­nos­ti pre­vádz­ky a efek­tív­ne nas­ta­ve­nie pro­ce­sov rie­še­nia bez­peč­nos­tných in­ci­den­tov. Ak mo­ni­to­ro­va­cí sys­tém za­zna­me­ná bez­peč­nost­ný útok, od­po­veď mu­sí byť rých­la a adek­vát­na roz­sa­hu a zá­važ­nos­ti da­né­ho úto­ku.

Pri de­fi­ní­cii pro­ce­su rie­še­nia bez­peč­nos­tné­ho in­ci­den­tu je dô­le­ži­té de­fi­no­vať tím, kto­rý bu­de in­ci­dent rie­šiť. Ma­li by v ňom byť ľu­dia z rôz­nych od­de­le­ní fir­my s pres­ne vy­me­dze­ný­mi kom­pe­ten­cia­mi a zod­po­ved­nos­ťou. Ďal­šie pr­vky toh­to pro­ce­su sú opis es­ka­lá­cie in­ci­den­tu, opis pos­tu­pov pre kaž­dú es­ka­lač­nú úro­veň a spô­sob ak­tua­li­zá­cie ce­lé­ho pro­ce­su na zá­kla­de reál­nych skú­se­nos­tí ale­bo no­vých bez­peč­nos­tných rie­še­ní.

Otáz­ku bez­peč­nos­ti v clou­de mô­že­me roz­de­liť do šty­roch ob­las­tí: dá­to­vá, sie­ťo­vá, pre­vádz­ko­vá a fy­zic­ká bez­peč­nosť. Všet­ky ob­las­ti sa tý­ka­jú hlav­ne infra­štruk­tú­ry, na kto­rej je cloud vy­bu­do­va­ný. Pre clou­do­vú infra­štruk­tú­ru je naj­dô­le­ži­tej­šia jej vy­so­ká dos­tup­nosť, kto­rá sa dá do­siah­nuť pou­ži­tím ove­re­ných tech­no­ló­gií, re­dun­dan­tnou ar­chi­tek­tú­rou a jej umies­tne­ním do dá­to­vé­ho cen­tra spĺňa­jú­ce­ho pod­mien­ky štan­dar­du Tier 3.

Dá­ta sú to naj­dô­le­ži­tej­šie, čo má fir­ma ulo­že­né v clou­de. Pri ochra­ne dát mu­sí­me vy­rie­šiť dve úlo­hy: ich bez­peč­né ulo­že­nie a ochra­nu pred zneu­ži­tím tre­ťou stra­nou. Bez­peč­né ulo­že­nie rie­ši­me tým, že dá­ta sú umies­tne­né na dis­ko­vých po­liach s ochra­nou RAID. Ok­rem to­ho mô­žu byť zá­lo­ho­va­né v inej, geog­ra­fic­ky vzdia­le­nej lo­ka­li­te. Na zá­lo­ho­va­nie mô­že­me pou­žiť rie­še­nie Bac­kup & Rep­li­ca­tion od fir­my Veeam, kto­ré vy­ko­ná­va kom­pre­siu dát na blo­ko­vej úrov­ni a zá­ro­veň zá­lo­ho­va­né dá­ta de­dup­li­ku­je.

Ochra­nu pred zneu­ži­tím tre­ťou stra­nou za­bez­pe­čí šif­ro­va­nie vir­tuál­nych server­ov a ich dis­ko­vé­ho pries­to­ru. Na šif­ro­va­nie mô­že­me pou­žiť Pro­tectV od spo­loč­nos­ti Sa­fe­Net. Pro­tectV šif­ru­je ce­lý vir­tuál­ny server vrá­ta­ne par­tí­cie ope­rač­né­ho sys­té­mu. Šif­ro­va­cie kľú­če sú ulo­že­né v bez­peč­nom har­dvé­ro­vom za­ria­de­ní, fy­zic­ky umies­tne­nom u zá­kaz­ní­ka, kto­rý ich aj spra­vu­je. Prís­tup k dá­tam šif­ro­va­né­ho vir­tuál­ne­ho server­a vy­ža­du­je expli­cit­nú auten­ti­fi­ká­ciu a auto­ri­zá­ciu pou­ží­va­te­ľa.

Sú­čas­ťou kaž­dé­ho vir­tuál­ne­ho sys­té­mu je fi­rewall umož­ňu­jú­ci bez­peč­nú ko­mu­ni­ká­ciu cez šif­ro­va­ný tu­nel po­mo­cou pro­to­ko­lu IP­Sec, OpenVPN ale­bo SSL. K ďal­ším bez­peč­nos­tným pr­vkom fi­rewal­lu pa­tria vy­rov­ná­va­nie zá­ťa­že (Load Ba­lan­cing), sys­té­my na od­ha­ľo­va­nie úto­kov a de­tek­ciu zra­ni­teľ­nos­ti sys­té­mu (IDS/IPS) a webo­vý ap­li­kač­ný fi­rewall. Všet­ky tie­to pr­vky mô­žu bež­ať aj ako sa­mos­tat­né bez­peč­nos­tné mo­du­ly.

V špe­ciál­nych prí­pa­doch mož­no pou­žiť aj vlast­ný fy­zic­ký fi­rewall. Za­ria­de­nie je vte­dy umies­tne­né v dá­to­vom cen­tre a vzni­ká tak vir­tuál­ny rack, kto­rý ob­sa­hu­je fy­zic­ké za­ria­de­nia pou­ží­va­te­ľa, ale aj vir­tuál­ne server­y.

Dá­to­vé cen­trum ka­te­gó­rie Tier 3 spĺňa ná­roč­né bez­peč­nos­tné po­žia­dav­ky na pre­vádz­ku IT, ako je na­pá­ja­nie, chla­de­nie, ha­se­nie a de­tek­cia za­te­če­nia ale­bo po­žia­ru. Clou­do­vá infra­štruk­tú­ra je na­vy­še neus­tá­le mo­ni­to­ro­va­ná. Mo­ni­to­ro­va­cí sys­tém sle­du­je zá­klad­né pre­vádz­ko­vé pa­ra­met­re pro­ce­so­rov, pa­mä­tí, dis­ko­vé­ho pries­to­ru, sie­ťo­vých pr­vkov a ope­rač­ných sys­té­mov. V prí­pa­de pot­re­by vie kon­tro­lo­vať a vy­hod­no­co­vať aj iné špe­ci­fic­ké pa­ra­met­re a do­ká­že mo­ni­to­ro­vať aj bež­iace ap­li­ká­cie až na úro­veň tran­sak­cie. Vý­stu­py z mo­ni­to­ro­va­cie­ho sys­té­mu sú pre pou­ží­va­te­ľov prís­tup­né cez webo­vé roz­hra­nie, no­ti­fi­ká­cie a re­por­ty sa za­sie­la­jú mai­lom.

Dá­to­vé cen­trum ka­te­gó­rie Tier 3 spĺňa aj bez­peč­nos­tné po­žia­dav­ky na fy­zic­kú bez­peč­nosť, ako je lo­ka­li­ta, špe­ciál­na bu­do­va so že­le­zo­be­tó­no­vým ske­le­tom, bez­peč­nost­ný pe­ri­me­ter, nep­retr­ži­tá stráž­na služ­ba, kon­tro­lo­va­ný vstup do bu­do­vy, osob­ná iden­ti­fi­ká­cia či­po­vou kar­tou a PIN kó­dom, ka­me­ro­vý sle­do­va­cí sys­tém a zó­no­va­nie pre­vádz­ko­vých pries­to­rov.

Roz­mach pou­ží­va­nia cloud com­pu­tin­gu pri­ná­ša no­vé bez­peč­nos­tné ri­zi­ká. Pre všet­ky ob­las­ti bez­peč­nos­ti - dá­to­vú, sie­ťo­vú, pre­vádz­ko­vú aj fy­zic­kú - exis­tu­jú rie­še­nia, po­mo­cou kto­rých vie­me do­siah­nuť rov­na­kú úro­veň ochra­ny dát a ap­li­ká­cií ako pri tra­dič­nom bu­do­va­ní vlas­tnej IT infra­štruk­tú­ry.

Skú­se­nos­ti z pos­led­né­ho ob­do­bia uka­zu­jú, že naj­väč­šou bez­peč­nos­tnou hroz­bou zos­tá­va­jú vlas­tní za­mes­tnan­ci, kto­rí či už z ned­ba­los­ti ne­dodr­žu­jú bez­peč­nos­tné pred­pi­sy, ale­bo sa úmy­sel­ne po­kú­ša­jú zneu­žiť fi­rem­né dá­ta bez oh­ľa­du na to, či sú v clou­de ale­bo vo vlas­tnom dá­to­vom cen­tre.

Ľubo­mír Oč­ko, Ma­na­ging Di­rec­tor, Rac­ksca­le, s. r. o.

Zdroj: IW 8-9/2013


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Mo­bil­né ap­li­ká­cie pre biz­nis – od­po­rú­ča­nia pre fir­my. Preh­ľad fi­rem­ných mo­bil­ných ap­li­ká­cií v SR
Firmy a organizácie sa snažia reagovať na mobilitu, jeden z vlajkových trendov v IT podpore biznisu. Sú pod rastúcim tlakom, aby nasadzovali, prípadne aj vyvíjali mobilné aplikácie. Väčšina mobilných aplikácií sa nasadzuje do segmentu business-to-employee (B2E) a do interakcie podnikateľskej sféry so spotrebiteľmi (B2C).  čítať »
 
TCO: Nao­zaj vie­te, aká je ce­na pre­vádz­ky váš­ho IT?
Dobrá otázka, ale ťažká odpoveď. Že nie? V tom prípade patríte k tým šikovnejším. Prvý krok na ceste k lepšej efektivite vášho IT by mal spočívať v pochopení všetkých položiek, ktoré spolu tvoria celkové náklady na prevádzku IT. čítať »
 
Prog­ra­mu­je­me GPU 24
V tejto časti seriálu sa zameriame na popis algoritmu shadera „tieňov“ (shadows). Rovnako ako v ostatných prípadoch by sme aj k tomuto shaderu mohli napísať menšiu knihu. Preto bude náš popis iba heslovitý s uvedením najzákladnejších čŕt použitého algoritmu. čítať »
 
Dá­to­vý mo­del pre ap­li­ká­cie ty­pu Grid a Split
V minulej časti sme predstavili sablóny Grid App a Split App pre tvorbu aplikácií na prezentáciu údajov. čítať »
 
Do­main Na­me Sys­tem – re­verz­ný prek­lad a re­verz­ný zá­znam
V predchádzajúcej časti sme si popísali konfiguračný súbor named.conf, vysvetlili sme si, čo je to zóna, aké má sekcie, aké môže mať položky, akého typu môže byť a podobne. Zároveň sme si vytvorili vzorový zápis zóny pre primárny a sekundárny DNS server. čítať »
 
Zdie­ľa­nie zdro­jov me­dzi OS Win­dows a OS Li­nux / 13. časť
V tejto časti seriálu sa zameriame na postup zabezpečenia poštového servera Postfix pomocou autentifikácie SMTP a protokolu TLS. čítať »
 
Da­ta­bá­za SQL Server 2014
Prioritou používateľov databázových platforiem je už desiatky rokov „data-driven" rozhodovanie, no v súčasnosti do hry vstupuje nutnosť ukladania, spracúvania a analýz obrovských objemov údajov (big data). čítať »
 
Sof­tvé­ro­vé rie­še­nia na tran­spa­ren­tné šif­ro­va­nie dát
Ochrana dát nesúvisí len s organizovaným zločinom, ale aj konkurenčným zápasom, kde ostrý boj o zákazníka občas vedie k individuálnym zlyhaniam jednotlivcov a metódam, pri ktorých neoprávnený prístup k dátam môže znamenať práve tú kritickú výhodu. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter