Když je cloud bezpečnější, než vaše vlastní síť

Dalibor Kačmář , 16. srpen 2011 11:01 6 komentářů
Když je cloud bezpečnější, než vaše vlastní síť Psychologická bariéra umístit vaše vlastní data „někam na internet“ je jednou z nejčastějších otázek, kterou firmy při rozhodování o přechodu na cloud řeší. Jenže cloud computing není vždycky „někde na internetu.“ V případě velkých hráčů jsou to konkrétní datová centra, konkrétní servery a konkrétní bezpečností opatření. Data v cloudu jsou pak často řádově lépe zabezpečena než data na serverech ve firemní serverovně.

Bezpečnost coby spolehlivost a dostupnost

Pojem bezpečnost je relativně hodně široký. Pojďme si ho proto rozdělit na tři zdánlivě nesouvisející oblasti. Tou první je bezpečnost z pohledu spolehlivosti a dostupnosti serverů i dat na nich. Jak moc jsou vaše data v cloudu v bezpečí proti ztrátě z důvodu například poruchy hardware? Pokud budeme hovořit o cloudu v režii Microsoftu v Evropě, pak zde máme k dispozici dvě datová centra – v irském Dublinu a nizozemském Amsterodamu. Obě datová centra patří mezi jedny z nejmodernějších a také nejdražších datových center světa.

O „softwarovou“ bezpečnost dat se stará speciální cloudová platforma. Servery jsou umístěny ve speciálních ISO kontejnerech, které se do datových center navážejí již vcelku. U cloudových aplikací jako Office 365, Windows Intune či Dynamics CRM Online jsou servery spojeny do obrovských clusterů napříč více kontejnery. Ani fyzická destrukce jednoho kontejneru tak neovlivní chod těchto aplikací. U Windows Azure si počet i výkon virtuálních strojů v clusteru volí uživatel sám. Samotné storage řešení je taktéž plně virtualizované, a to včetně síťové infrastruktury, a nachází se v oddělených kontejnerech.

I zde samozřejmě panuje mnohonásobné jištění dat v režimu mirroringu mezi jednotlivými fyzickými disky respektive SAN. Dostupnost všech cloudových aplikací vůči zákazníkovi je garantovaná na úrovni 99,9 %, a to na měsíční bázi. Celková doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut. Aby toho bylo možné reálně dosáhnout, obsahuje každé datacentrum několikanásobné jištění napájení i vzduchotechniky, je postaveno tak, aby odolalo přírodním katastrofám a případně i pádu letadla a panují v něm přísná bezpečností pravidla, která eliminují vznik lidské chyby. K samotným serverům se pak nikdy nepřistupuje, a to ani v případě jejich hardwarové poruchy.

Bezpečnost fyzických serverů

Vůbec nejlépe jsou na tom vaše data v cloudu z pohledu fyzické bezpečnosti. Prakticky totiž není možné, a to ani pro zaměstnance s plným přístupem do objektu, dohledat fyzické zařízení, kde se vaše data nacházejí. Teoreticky by se to dalo vypátrat jen při detailní znalosti nastavení jednotlivých virtualizovaných síťových prvků a datových úložišť a při detailní znalosti konkrétního typu storage řešení, kde data jsou umístěna. Tyto informace jsou však přísně střeženy v nastavení jednotlivých součástí datacentra a neexistuje jeden člověk, který by mohl všechny tyto informace získat najednou. I kdyby ale někdo tyto schopnosti a informace měl, stejně by měl problém se k diskům fyzicky dostat.

I u zaměstnanců s povolením ke vstupu do datového centra je velice přísně evidován pohyb po budově. Všechny vstupy se monitorují kamerami a přístup je vždy chráněn biometrickými identifikačními prvky. Kolem kontejnerů se servery a storage řešeními je navíc povolen pohyb pouze tehdy, kdy je potřeba odvézt ke zničení vysloužilý kontejner či instalovat nový. Samotný proces zničení vysloužilých serverů a datových nosičů je taktéž pod velmi přísným dohledem a před zničením hardware každé storage řešení projde ještě náročným „softwarovým“ zničením všech dat. Pro srovnání si můžete tato opatření zkusit sami porovnat fyzické zabezpečení průměrného serveru ve firmě.

Softwarová bezpečnost

Vůbec nejdiskutovanější oblastí cloudu je pravděpodobně softwarová bezpečnost. Ta je zde paradoxně ve srovnání s běžnou firmou o několik řádů vyšší. Když upustíme od standardní a celkem očekávané ochraně pomocí systému firewallů, IDS/IPS, administrátorů, kteří procházejí logy a samozřejmě také přenosu všech dat výlučně pomocí 256 bitového SSL šifrování, je zde ještě jedno opatření navíc. Jedná se o rozsáhlý tým IT profesionálů, jejichž jedinou pracovní náplní je péče o tzv. Security Development Lifecycle.

{seealso} Jedná se o kontinuální cyklický proces, který se skládá celkem ze 7 dílčích oblastí. Od neustálého školení všech klíčových zaměstnanců v oblasti aktuálních bezpečnostních hrozeb a opatření počínaje až samotnou reakcí na výskyt předpokládaného rizika, na které se tým připravil. Security Development Lifecycle se přitom ani zdaleka netýká pouze softwarových a virtuálních hrozeb, aplikuje se na jakékoliv bezpečnostní hrozby, které by mohly ohrozit provoz datacentra a data v něm uložená, včetně např. krádeží, útoků ozbrojenců apod. Celý proces navíc vyhovuje i mezinárodnímu standardu ISO/IEC 27001 i požadavkům americké a evropské legislativy či karetních asociací. Datová centra Microsoftu navíc splňují celou řadu mezinárodních, oborových a národních certifikací, kterými mnohdy nedisponují pro svá vlastní datacentra ani velké nadnárodní společnosti z jiných oborů.

Certifikace datacenter společnosti Microsoft

Certifikát

Popis certifikátu

ISO 27001

Mezinárodní certifikát prokazující, že společnost systematicky analyzuje možná bezpečnostní rizika, implementuje nástroje pro jejich eliminaci a adaptuje své procesy tak, aby byla zaručena kontinuální ochrana před novými bezpečnostními riziky.

SAS 70 Type II

Certifikát Amerického institutu certifikovaných veřejných účetních (AICPA) pro poskytovatele zejména outsourcingových služeb deklarující poskytování férového účtování na základě skutečně odebraných služeb koncovým zákazníkům.

Payment Card Industry Data Security Standard

PCI DSS je celosvětový standard vytvořený provozovateli platebních karet, který obsahuje soubor nařízení a doporučení omezujících riziko zneužití platební karty. Tento standard musí dodržovat všechny organizace, které drží, zpracovávají nebo si vyměňují informace o platebních kartách.

HIPAA/HITECH

Certifikát prokazující dodržování amerických legislativních předpisů a omezení pro bezpečné nakládání se zdravotními údaji obyvatel.

FISMA

Certifikát prokazující dodržování amerického zákona o informační bezpečnosti.

95/46/EC (a další národní a místní certifikace)

Další certifikáty prokazující naplnění všech opatření požadovaných národní či místní úpravou legislativy, včetně směrnice Evropské komise 95/46/EC o ochraně osobních údajů.

Dalibor Kačmář

Dalibor Kačmář

Autor je manažerem serverové divize ve společnosti Microsoft.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 16. srpen 2011 12:28

K tvrzeni "Celková doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut." patri citace z http://www.zive.cz/bleskovky/blesk-vyradil-obri-datacentra-amazonu-a-microsoftu-na-nekolik-hodin/sc-4-a-158295/default.aspx : "V případě Microsoftu bylo datacentrum online až ve večerních hodinách.."
Uz spachal Vas nadrizeny sepuku?

K polozce "Payment Card Industry Data Security Standard" v tabulce "Certifikace datacenter společnosti Microsoft" bych se podle clanku
http://cloudsecurity.org/blog/2009/03/14/what-does-pci-compliance-in-the-cloud-really-mean.html zeptal:
"is their Cloud receiving, processing, storing or transmitting Credit Card data (as defined by the PCI DSS)?"

miky #3
miky 16. srpen 2011 15:54

No, a to jste zapomnel pridat odkaz na clanek http://datarama.aktualne.centrum.cz/clanek.phtml?id=705949 . Primo idealni predat svoje interni firemni data americke vlade (ci americkym firmam?). Ale jak to udelaji, kdyz tvrdi, ze zadny zamestnanec nevi, kde ze vlastne vase data jsou :))) A nebo to presne vedi a pak je ten clanek 100% lzivy :)?

Náhodný kolemjdoucí #6
Náhodný kolemjdoucí 17. srpen 2011 09:20

Není přece třeba vědět, kde jsou data fyzicky, stačí udělat snapshot a ten si uložit tam kam se dostanu.

Marv-CZ #4
Marv-CZ 16. srpen 2011 16:13

A to se ještě taktně opomíjí, že zatímco u vlastního vnitrofiremního serveru mám pod palcem i rozvody, u cloudu stačí bába s motyčkou a celé to jejich superzabezpečené centrum bude stejně odříznuté od světa.

w4rr10r #2
w4rr10r 16. srpen 2011 12:59

Proč v článku není (ideálně v nadpisu) viditelně uvedeno, že jde o PR?

Náhodný kolemjdoucí 2 #5
Náhodný kolemjdoucí 2 17. srpen 2011 14:21

Ale je, viz - Autor je manažer serverové divize ve společnosti Microsoft. :D

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Provozní zisk Samsungu stoupl o více než polovinu na nový rekord

ČTK , 27. duben 2018 09:00

Jihokorejský výrobce elektroniky Samsung Electronics v prvním čtvrtletí zvýšil provozní zisk meziroč...

Více 0 komentářů

Amazonu vzrostl ve čtvrtletí zisk i tržby

ČTK , 27. duben 2018 08:36

Tržby se meziročně zvýšily o 43 % na 51 miliard dolarů. Akcie výrazně posílily....

Více 0 komentářů

Británie zvažuje vytvoření rivala navigačního systému Galileo

ČTK , 27. duben 2018 08:00

Evropská komise začala před brexitem vylučovat Británii a její společnosti z citlivých budoucích pra...

Více 0 komentářů

Kalendář

30. 04.

03. 05.
Dell EMC World 2018
01. 05.

03. 05.
IFS World 2018
14. 05.

17. 05.
TechEd-DevCon 2018

Starší zprávičky

Facebook zvýšil zisk o 63 %, má 2,2 miliardy uživatelů

ČTK , 26. duben 2018 12:44

Tržby i zisk překonaly očekávání analytiků, akcie firmy v reakci umazaly část letošních ztrát....

Více 0 komentářů

Twitter vykázal další čtvrtletní zisk

ČTK , 26. duben 2018 10:00

Celkové tržby společnosti v 1. čtvrtletí meziročně vzrostly o 21 % na 664,9 milionu dolarů....

Více 0 komentářů

Amazon bude dodávat zboží až do auta, i bez přítomnosti majitele

ČTK , 26. duben 2018 09:00

Amazon koncem loňského rok zahájil službu doručování balíčků do prázdného bytu, nyní nabízí doručení...

Více 2 komentářů

Správa phishingových kampaní pro každého

Pavel Houser , 26. duben 2018 08:00

S phishingovou sadou nové generace se prý i naprostí amatéři mohou úspěšně věnovat kybernetické krim...

Více 0 komentářů