Když je cloud bezpečnější, než vaše vlastní síť

Dalibor Kačmář , 16. srpen 2011 11:01 6 komentářů
Když je cloud bezpečnější, než vaše vlastní síť Psychologická bariéra umístit vaše vlastní data „někam na internet“ je jednou z nejčastějších otázek, kterou firmy při rozhodování o přechodu na cloud řeší. Jenže cloud computing není vždycky „někde na internetu.“ V případě velkých hráčů jsou to konkrétní datová centra, konkrétní servery a konkrétní bezpečností opatření. Data v cloudu jsou pak často řádově lépe zabezpečena než data na serverech ve firemní serverovně.

Bezpečnost coby spolehlivost a dostupnost

Pojem bezpečnost je relativně hodně široký. Pojďme si ho proto rozdělit na tři zdánlivě nesouvisející oblasti. Tou první je bezpečnost z pohledu spolehlivosti a dostupnosti serverů i dat na nich. Jak moc jsou vaše data v cloudu v bezpečí proti ztrátě z důvodu například poruchy hardware? Pokud budeme hovořit o cloudu v režii Microsoftu v Evropě, pak zde máme k dispozici dvě datová centra – v irském Dublinu a nizozemském Amsterodamu. Obě datová centra patří mezi jedny z nejmodernějších a také nejdražších datových center světa.

O „softwarovou“ bezpečnost dat se stará speciální cloudová platforma. Servery jsou umístěny ve speciálních ISO kontejnerech, které se do datových center navážejí již vcelku. U cloudových aplikací jako Office 365, Windows Intune či Dynamics CRM Online jsou servery spojeny do obrovských clusterů napříč více kontejnery. Ani fyzická destrukce jednoho kontejneru tak neovlivní chod těchto aplikací. U Windows Azure si počet i výkon virtuálních strojů v clusteru volí uživatel sám. Samotné storage řešení je taktéž plně virtualizované, a to včetně síťové infrastruktury, a nachází se v oddělených kontejnerech.

I zde samozřejmě panuje mnohonásobné jištění dat v režimu mirroringu mezi jednotlivými fyzickými disky respektive SAN. Dostupnost všech cloudových aplikací vůči zákazníkovi je garantovaná na úrovni 99,9 %, a to na měsíční bázi. Celková doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut. Aby toho bylo možné reálně dosáhnout, obsahuje každé datacentrum několikanásobné jištění napájení i vzduchotechniky, je postaveno tak, aby odolalo přírodním katastrofám a případně i pádu letadla a panují v něm přísná bezpečností pravidla, která eliminují vznik lidské chyby. K samotným serverům se pak nikdy nepřistupuje, a to ani v případě jejich hardwarové poruchy.

Bezpečnost fyzických serverů

Vůbec nejlépe jsou na tom vaše data v cloudu z pohledu fyzické bezpečnosti. Prakticky totiž není možné, a to ani pro zaměstnance s plným přístupem do objektu, dohledat fyzické zařízení, kde se vaše data nacházejí. Teoreticky by se to dalo vypátrat jen při detailní znalosti nastavení jednotlivých virtualizovaných síťových prvků a datových úložišť a při detailní znalosti konkrétního typu storage řešení, kde data jsou umístěna. Tyto informace jsou však přísně střeženy v nastavení jednotlivých součástí datacentra a neexistuje jeden člověk, který by mohl všechny tyto informace získat najednou. I kdyby ale někdo tyto schopnosti a informace měl, stejně by měl problém se k diskům fyzicky dostat.

I u zaměstnanců s povolením ke vstupu do datového centra je velice přísně evidován pohyb po budově. Všechny vstupy se monitorují kamerami a přístup je vždy chráněn biometrickými identifikačními prvky. Kolem kontejnerů se servery a storage řešeními je navíc povolen pohyb pouze tehdy, kdy je potřeba odvézt ke zničení vysloužilý kontejner či instalovat nový. Samotný proces zničení vysloužilých serverů a datových nosičů je taktéž pod velmi přísným dohledem a před zničením hardware každé storage řešení projde ještě náročným „softwarovým“ zničením všech dat. Pro srovnání si můžete tato opatření zkusit sami porovnat fyzické zabezpečení průměrného serveru ve firmě.

Softwarová bezpečnost

Vůbec nejdiskutovanější oblastí cloudu je pravděpodobně softwarová bezpečnost. Ta je zde paradoxně ve srovnání s běžnou firmou o několik řádů vyšší. Když upustíme od standardní a celkem očekávané ochraně pomocí systému firewallů, IDS/IPS, administrátorů, kteří procházejí logy a samozřejmě také přenosu všech dat výlučně pomocí 256 bitového SSL šifrování, je zde ještě jedno opatření navíc. Jedná se o rozsáhlý tým IT profesionálů, jejichž jedinou pracovní náplní je péče o tzv. Security Development Lifecycle.

{seealso} Jedná se o kontinuální cyklický proces, který se skládá celkem ze 7 dílčích oblastí. Od neustálého školení všech klíčových zaměstnanců v oblasti aktuálních bezpečnostních hrozeb a opatření počínaje až samotnou reakcí na výskyt předpokládaného rizika, na které se tým připravil. Security Development Lifecycle se přitom ani zdaleka netýká pouze softwarových a virtuálních hrozeb, aplikuje se na jakékoliv bezpečnostní hrozby, které by mohly ohrozit provoz datacentra a data v něm uložená, včetně např. krádeží, útoků ozbrojenců apod. Celý proces navíc vyhovuje i mezinárodnímu standardu ISO/IEC 27001 i požadavkům americké a evropské legislativy či karetních asociací. Datová centra Microsoftu navíc splňují celou řadu mezinárodních, oborových a národních certifikací, kterými mnohdy nedisponují pro svá vlastní datacentra ani velké nadnárodní společnosti z jiných oborů.

Certifikace datacenter společnosti Microsoft

Certifikát

Popis certifikátu

ISO 27001

Mezinárodní certifikát prokazující, že společnost systematicky analyzuje možná bezpečnostní rizika, implementuje nástroje pro jejich eliminaci a adaptuje své procesy tak, aby byla zaručena kontinuální ochrana před novými bezpečnostními riziky.

SAS 70 Type II

Certifikát Amerického institutu certifikovaných veřejných účetních (AICPA) pro poskytovatele zejména outsourcingových služeb deklarující poskytování férového účtování na základě skutečně odebraných služeb koncovým zákazníkům.

Payment Card Industry Data Security Standard

PCI DSS je celosvětový standard vytvořený provozovateli platebních karet, který obsahuje soubor nařízení a doporučení omezujících riziko zneužití platební karty. Tento standard musí dodržovat všechny organizace, které drží, zpracovávají nebo si vyměňují informace o platebních kartách.

HIPAA/HITECH

Certifikát prokazující dodržování amerických legislativních předpisů a omezení pro bezpečné nakládání se zdravotními údaji obyvatel.

FISMA

Certifikát prokazující dodržování amerického zákona o informační bezpečnosti.

95/46/EC (a další národní a místní certifikace)

Další certifikáty prokazující naplnění všech opatření požadovaných národní či místní úpravou legislativy, včetně směrnice Evropské komise 95/46/EC o ochraně osobních údajů.

Dalibor Kačmář

Dalibor Kačmář

Autor je manažerem serverové divize ve společnosti Microsoft.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 16. srpen 2011 12:28

K tvrzeni "Celková doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut." patri citace z http://www.zive.cz/bleskovky/blesk-vyradil-obri-datacentra-amazonu-a-microsoftu-na-nekolik-hodin/sc-4-a-158295/default.aspx : "V případě Microsoftu bylo datacentrum online až ve večerních hodinách.."
Uz spachal Vas nadrizeny sepuku?

K polozce "Payment Card Industry Data Security Standard" v tabulce "Certifikace datacenter společnosti Microsoft" bych se podle clanku
http://cloudsecurity.org/blog/2009/03/14/what-does-pci-compliance-in-the-cloud-really-mean.html zeptal:
"is their Cloud receiving, processing, storing or transmitting Credit Card data (as defined by the PCI DSS)?"

miky #3
miky 16. srpen 2011 15:54

No, a to jste zapomnel pridat odkaz na clanek http://datarama.aktualne.centrum.cz/clanek.phtml?id=705949 . Primo idealni predat svoje interni firemni data americke vlade (ci americkym firmam?). Ale jak to udelaji, kdyz tvrdi, ze zadny zamestnanec nevi, kde ze vlastne vase data jsou :))) A nebo to presne vedi a pak je ten clanek 100% lzivy :)?

Náhodný kolemjdoucí #6
Náhodný kolemjdoucí 17. srpen 2011 09:20

Není přece třeba vědět, kde jsou data fyzicky, stačí udělat snapshot a ten si uložit tam kam se dostanu.

Marv-CZ #4
Marv-CZ 16. srpen 2011 16:13

A to se ještě taktně opomíjí, že zatímco u vlastního vnitrofiremního serveru mám pod palcem i rozvody, u cloudu stačí bába s motyčkou a celé to jejich superzabezpečené centrum bude stejně odříznuté od světa.

w4rr10r #2
w4rr10r 16. srpen 2011 12:59

Proč v článku není (ideálně v nadpisu) viditelně uvedeno, že jde o PR?

Náhodný kolemjdoucí 2 #5
Náhodný kolemjdoucí 2 17. srpen 2011 14:21

Ale je, viz - Autor je manažer serverové divize ve společnosti Microsoft. :D


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů