Když je cloud bezpečnější, než vaše vlastní síť

Dalibor Kačmář , 16. srpen 2011 11:01 6 komentářů
Když je cloud bezpečnější, než vaše vlastní síť Psychologická bariéra umístit vaše vlastní data „někam na internet“ je jednou z nejčastějších otázek, kterou firmy při rozhodování o přechodu na cloud řeší. Jenže cloud computing není vždycky „někde na internetu.“ V případě velkých hráčů jsou to konkrétní datová centra, konkrétní servery a konkrétní bezpečností opatření. Data v cloudu jsou pak často řádově lépe zabezpečena než data na serverech ve firemní serverovně.

Bezpečnost coby spolehlivost a dostupnost

Pojem bezpečnost je relativně hodně široký. Pojďme si ho proto rozdělit na tři zdánlivě nesouvisející oblasti. Tou první je bezpečnost z pohledu spolehlivosti a dostupnosti serverů i dat na nich. Jak moc jsou vaše data v cloudu v bezpečí proti ztrátě z důvodu například poruchy hardware? Pokud budeme hovořit o cloudu v režii Microsoftu v Evropě, pak zde máme k dispozici dvě datová centra – v irském Dublinu a nizozemském Amsterodamu. Obě datová centra patří mezi jedny z nejmodernějších a také nejdražších datových center světa.

O „softwarovou“ bezpečnost dat se stará speciální cloudová platforma. Servery jsou umístěny ve speciálních ISO kontejnerech, které se do datových center navážejí již vcelku. U cloudových aplikací jako Office 365, Windows Intune či Dynamics CRM Online jsou servery spojeny do obrovských clusterů napříč více kontejnery. Ani fyzická destrukce jednoho kontejneru tak neovlivní chod těchto aplikací. U Windows Azure si počet i výkon virtuálních strojů v clusteru volí uživatel sám. Samotné storage řešení je taktéž plně virtualizované, a to včetně síťové infrastruktury, a nachází se v oddělených kontejnerech.

I zde samozřejmě panuje mnohonásobné jištění dat v režimu mirroringu mezi jednotlivými fyzickými disky respektive SAN. Dostupnost všech cloudových aplikací vůči zákazníkovi je garantovaná na úrovni 99,9 %, a to na měsíční bázi. Celková doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut. Aby toho bylo možné reálně dosáhnout, obsahuje každé datacentrum několikanásobné jištění napájení i vzduchotechniky, je postaveno tak, aby odolalo přírodním katastrofám a případně i pádu letadla a panují v něm přísná bezpečností pravidla, která eliminují vznik lidské chyby. K samotným serverům se pak nikdy nepřistupuje, a to ani v případě jejich hardwarové poruchy.

Bezpečnost fyzických serverů

Vůbec nejlépe jsou na tom vaše data v cloudu z pohledu fyzické bezpečnosti. Prakticky totiž není možné, a to ani pro zaměstnance s plným přístupem do objektu, dohledat fyzické zařízení, kde se vaše data nacházejí. Teoreticky by se to dalo vypátrat jen při detailní znalosti nastavení jednotlivých virtualizovaných síťových prvků a datových úložišť a při detailní znalosti konkrétního typu storage řešení, kde data jsou umístěna. Tyto informace jsou však přísně střeženy v nastavení jednotlivých součástí datacentra a neexistuje jeden člověk, který by mohl všechny tyto informace získat najednou. I kdyby ale někdo tyto schopnosti a informace měl, stejně by měl problém se k diskům fyzicky dostat.

I u zaměstnanců s povolením ke vstupu do datového centra je velice přísně evidován pohyb po budově. Všechny vstupy se monitorují kamerami a přístup je vždy chráněn biometrickými identifikačními prvky. Kolem kontejnerů se servery a storage řešeními je navíc povolen pohyb pouze tehdy, kdy je potřeba odvézt ke zničení vysloužilý kontejner či instalovat nový. Samotný proces zničení vysloužilých serverů a datových nosičů je taktéž pod velmi přísným dohledem a před zničením hardware každé storage řešení projde ještě náročným „softwarovým“ zničením všech dat. Pro srovnání si můžete tato opatření zkusit sami porovnat fyzické zabezpečení průměrného serveru ve firmě.

Softwarová bezpečnost

Vůbec nejdiskutovanější oblastí cloudu je pravděpodobně softwarová bezpečnost. Ta je zde paradoxně ve srovnání s běžnou firmou o několik řádů vyšší. Když upustíme od standardní a celkem očekávané ochraně pomocí systému firewallů, IDS/IPS, administrátorů, kteří procházejí logy a samozřejmě také přenosu všech dat výlučně pomocí 256 bitového SSL šifrování, je zde ještě jedno opatření navíc. Jedná se o rozsáhlý tým IT profesionálů, jejichž jedinou pracovní náplní je péče o tzv. Security Development Lifecycle.

{seealso} Jedná se o kontinuální cyklický proces, který se skládá celkem ze 7 dílčích oblastí. Od neustálého školení všech klíčových zaměstnanců v oblasti aktuálních bezpečnostních hrozeb a opatření počínaje až samotnou reakcí na výskyt předpokládaného rizika, na které se tým připravil. Security Development Lifecycle se přitom ani zdaleka netýká pouze softwarových a virtuálních hrozeb, aplikuje se na jakékoliv bezpečnostní hrozby, které by mohly ohrozit provoz datacentra a data v něm uložená, včetně např. krádeží, útoků ozbrojenců apod. Celý proces navíc vyhovuje i mezinárodnímu standardu ISO/IEC 27001 i požadavkům americké a evropské legislativy či karetních asociací. Datová centra Microsoftu navíc splňují celou řadu mezinárodních, oborových a národních certifikací, kterými mnohdy nedisponují pro svá vlastní datacentra ani velké nadnárodní společnosti z jiných oborů.

Certifikace datacenter společnosti Microsoft

Certifikát

Popis certifikátu

ISO 27001

Mezinárodní certifikát prokazující, že společnost systematicky analyzuje možná bezpečnostní rizika, implementuje nástroje pro jejich eliminaci a adaptuje své procesy tak, aby byla zaručena kontinuální ochrana před novými bezpečnostními riziky.

SAS 70 Type II

Certifikát Amerického institutu certifikovaných veřejných účetních (AICPA) pro poskytovatele zejména outsourcingových služeb deklarující poskytování férového účtování na základě skutečně odebraných služeb koncovým zákazníkům.

Payment Card Industry Data Security Standard

PCI DSS je celosvětový standard vytvořený provozovateli platebních karet, který obsahuje soubor nařízení a doporučení omezujících riziko zneužití platební karty. Tento standard musí dodržovat všechny organizace, které drží, zpracovávají nebo si vyměňují informace o platebních kartách.

HIPAA/HITECH

Certifikát prokazující dodržování amerických legislativních předpisů a omezení pro bezpečné nakládání se zdravotními údaji obyvatel.

FISMA

Certifikát prokazující dodržování amerického zákona o informační bezpečnosti.

95/46/EC (a další národní a místní certifikace)

Další certifikáty prokazující naplnění všech opatření požadovaných národní či místní úpravou legislativy, včetně směrnice Evropské komise 95/46/EC o ochraně osobních údajů.

Dalibor Kačmář

Dalibor Kačmář

Autor je manažerem serverové divize ve společnosti Microsoft.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 16. srpen 2011 12:28

K tvrzeni "Celková doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut." patri citace z http://www.zive.cz/bleskovky/blesk-vyradil-obri-datacentra-amazonu-a-microsoftu-na-nekolik-hodin/sc-4-a-158295/default.aspx : "V případě Microsoftu bylo datacentrum online až ve večerních hodinách.."
Uz spachal Vas nadrizeny sepuku?

K polozce "Payment Card Industry Data Security Standard" v tabulce "Certifikace datacenter společnosti Microsoft" bych se podle clanku
http://cloudsecurity.org/blog/2009/03/14/what-does-pci-compliance-in-the-cloud-really-mean.html zeptal:
"is their Cloud receiving, processing, storing or transmitting Credit Card data (as defined by the PCI DSS)?"

miky #3
miky 16. srpen 2011 15:54

No, a to jste zapomnel pridat odkaz na clanek http://datarama.aktualne.centrum.cz/clanek.phtml?id=705949 . Primo idealni predat svoje interni firemni data americke vlade (ci americkym firmam?). Ale jak to udelaji, kdyz tvrdi, ze zadny zamestnanec nevi, kde ze vlastne vase data jsou :))) A nebo to presne vedi a pak je ten clanek 100% lzivy :)?

Náhodný kolemjdoucí #6
Náhodný kolemjdoucí 17. srpen 2011 09:20

Není přece třeba vědět, kde jsou data fyzicky, stačí udělat snapshot a ten si uložit tam kam se dostanu.

Marv-CZ #4
Marv-CZ 16. srpen 2011 16:13

A to se ještě taktně opomíjí, že zatímco u vlastního vnitrofiremního serveru mám pod palcem i rozvody, u cloudu stačí bába s motyčkou a celé to jejich superzabezpečené centrum bude stejně odříznuté od světa.

w4rr10r #2
w4rr10r 16. srpen 2011 12:59

Proč v článku není (ideálně v nadpisu) viditelně uvedeno, že jde o PR?

Náhodný kolemjdoucí 2 #5
Náhodný kolemjdoucí 2 17. srpen 2011 14:21

Ale je, viz - Autor je manažer serverové divize ve společnosti Microsoft. :D

RSS 

Komentujeme

Automatizace bezpečnosti – problémem nejsou technologie

Pavel Houser , 03. září 2017 09:00
Pavel Houser

Umělá inteligence, strojové učení, behaviorální analýza, model SecOps (analogie DevOps pro zabezpeče...

Více






Kalendář

21. 09. Mobilní řešení pro business
25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
RSS 

Zprávičky

Oblíbený nástroj CCleaner obsahoval malware

Pavel Houser , 19. září 2017 17:17

Ohroženy mohou být miliony uživatelů. Zranitelné jsou verze CCleaner 5.33 a CCleaner Cloud 1.07.3191...

Více 0 komentářů

EK navrhuje nová pravidla pro pohyb dat neosobního charakteru

ČTK , 19. září 2017 15:26

Členské státy EU by už podle návrhu neměly nutit organizace, aby uchovávaly či zpracovávaly data na ...

Více 0 komentářů

Na trh přichází Synology C2 Backup

Pavel Houser , 19. září 2017 11:34

Synology strávila více než rok budováním vlastního datového centra....

Více 0 komentářů

Starší zprávičky

Hackathon veřejné správy přilákal na 6 desítek vývojářů

Pavel Houser , 19. září 2017 08:00

Propojit otevřená data veřejné správy v užitečné aplikace bylo cílem šesti desítek programátorů, kte...

Více 0 komentářů

Úřad pro ochranu hospodářské soutěže zkoumá zakázky na IT systémy

Pavel Houser , 18. září 2017 12:50

Úřad aktuálně se zaměřil na smlouvy na IT systémy uzavřené v jednacím řízení bez uveřejnění. ...

Více 0 komentářů

Alphabet zvažuje investici do alternativní taxislužby Lyft

ČTK , 18. září 2017 08:34

Podnik Waymo ze skupiny Alphabet už v květnu oznámil partnerství s Lyftem na vývoji technologie auto...

Více 0 komentářů

Plán zdanění internetových firem v EU má první trhliny

ČTK , 18. září 2017 08:00

Dánský ministr financí Kristian Jensen varoval před rizikem přijetí zákonů, které by mohly inovativn...

Více 0 komentářů