Když je cloud bezpečnější, než vaše vlastní síť

Dalibor Kačmář , 16. srpen 2011 11:01 6 komentářů
Když je cloud bezpečnější, než vaše vlastní síť Psychologická bariéra umístit vaše vlastní data „někam na internet“ je jednou z nejčastějších otázek, kterou firmy při rozhodování o přechodu na cloud řeší. Jenže cloud computing není vždycky „někde na internetu.“ V případě velkých hráčů jsou to konkrétní datová centra, konkrétní servery a konkrétní bezpečností opatření. Data v cloudu jsou pak často řádově lépe zabezpečena než data na serverech ve firemní serverovně.

Bezpečnost coby spolehlivost a dostupnost

Pojem bezpečnost je relativně hodně široký. Pojďme si ho proto rozdělit na tři zdánlivě nesouvisející oblasti. Tou první je bezpečnost z pohledu spolehlivosti a dostupnosti serverů i dat na nich. Jak moc jsou vaše data v cloudu v bezpečí proti ztrátě z důvodu například poruchy hardware? Pokud budeme hovořit o cloudu v režii Microsoftu v Evropě, pak zde máme k dispozici dvě datová centra – v irském Dublinu a nizozemském Amsterodamu. Obě datová centra patří mezi jedny z nejmodernějších a také nejdražších datových center světa.

O „softwarovou“ bezpečnost dat se stará speciální cloudová platforma. Servery jsou umístěny ve speciálních ISO kontejnerech, které se do datových center navážejí již vcelku. U cloudových aplikací jako Office 365, Windows Intune či Dynamics CRM Online jsou servery spojeny do obrovských clusterů napříč více kontejnery. Ani fyzická destrukce jednoho kontejneru tak neovlivní chod těchto aplikací. U Windows Azure si počet i výkon virtuálních strojů v clusteru volí uživatel sám. Samotné storage řešení je taktéž plně virtualizované, a to včetně síťové infrastruktury, a nachází se v oddělených kontejnerech.

I zde samozřejmě panuje mnohonásobné jištění dat v režimu mirroringu mezi jednotlivými fyzickými disky respektive SAN. Dostupnost všech cloudových aplikací vůči zákazníkovi je garantovaná na úrovni 99,9 %, a to na měsíční bázi. Celková doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut. Aby toho bylo možné reálně dosáhnout, obsahuje každé datacentrum několikanásobné jištění napájení i vzduchotechniky, je postaveno tak, aby odolalo přírodním katastrofám a případně i pádu letadla a panují v něm přísná bezpečností pravidla, která eliminují vznik lidské chyby. K samotným serverům se pak nikdy nepřistupuje, a to ani v případě jejich hardwarové poruchy.

Bezpečnost fyzických serverů

Vůbec nejlépe jsou na tom vaše data v cloudu z pohledu fyzické bezpečnosti. Prakticky totiž není možné, a to ani pro zaměstnance s plným přístupem do objektu, dohledat fyzické zařízení, kde se vaše data nacházejí. Teoreticky by se to dalo vypátrat jen při detailní znalosti nastavení jednotlivých virtualizovaných síťových prvků a datových úložišť a při detailní znalosti konkrétního typu storage řešení, kde data jsou umístěna. Tyto informace jsou však přísně střeženy v nastavení jednotlivých součástí datacentra a neexistuje jeden člověk, který by mohl všechny tyto informace získat najednou. I kdyby ale někdo tyto schopnosti a informace měl, stejně by měl problém se k diskům fyzicky dostat.

I u zaměstnanců s povolením ke vstupu do datového centra je velice přísně evidován pohyb po budově. Všechny vstupy se monitorují kamerami a přístup je vždy chráněn biometrickými identifikačními prvky. Kolem kontejnerů se servery a storage řešeními je navíc povolen pohyb pouze tehdy, kdy je potřeba odvézt ke zničení vysloužilý kontejner či instalovat nový. Samotný proces zničení vysloužilých serverů a datových nosičů je taktéž pod velmi přísným dohledem a před zničením hardware každé storage řešení projde ještě náročným „softwarovým“ zničením všech dat. Pro srovnání si můžete tato opatření zkusit sami porovnat fyzické zabezpečení průměrného serveru ve firmě.

Softwarová bezpečnost

Vůbec nejdiskutovanější oblastí cloudu je pravděpodobně softwarová bezpečnost. Ta je zde paradoxně ve srovnání s běžnou firmou o několik řádů vyšší. Když upustíme od standardní a celkem očekávané ochraně pomocí systému firewallů, IDS/IPS, administrátorů, kteří procházejí logy a samozřejmě také přenosu všech dat výlučně pomocí 256 bitového SSL šifrování, je zde ještě jedno opatření navíc. Jedná se o rozsáhlý tým IT profesionálů, jejichž jedinou pracovní náplní je péče o tzv. Security Development Lifecycle.

{seealso} Jedná se o kontinuální cyklický proces, který se skládá celkem ze 7 dílčích oblastí. Od neustálého školení všech klíčových zaměstnanců v oblasti aktuálních bezpečnostních hrozeb a opatření počínaje až samotnou reakcí na výskyt předpokládaného rizika, na které se tým připravil. Security Development Lifecycle se přitom ani zdaleka netýká pouze softwarových a virtuálních hrozeb, aplikuje se na jakékoliv bezpečnostní hrozby, které by mohly ohrozit provoz datacentra a data v něm uložená, včetně např. krádeží, útoků ozbrojenců apod. Celý proces navíc vyhovuje i mezinárodnímu standardu ISO/IEC 27001 i požadavkům americké a evropské legislativy či karetních asociací. Datová centra Microsoftu navíc splňují celou řadu mezinárodních, oborových a národních certifikací, kterými mnohdy nedisponují pro svá vlastní datacentra ani velké nadnárodní společnosti z jiných oborů.

Certifikace datacenter společnosti Microsoft

Certifikát

Popis certifikátu

ISO 27001

Mezinárodní certifikát prokazující, že společnost systematicky analyzuje možná bezpečnostní rizika, implementuje nástroje pro jejich eliminaci a adaptuje své procesy tak, aby byla zaručena kontinuální ochrana před novými bezpečnostními riziky.

SAS 70 Type II

Certifikát Amerického institutu certifikovaných veřejných účetních (AICPA) pro poskytovatele zejména outsourcingových služeb deklarující poskytování férového účtování na základě skutečně odebraných služeb koncovým zákazníkům.

Payment Card Industry Data Security Standard

PCI DSS je celosvětový standard vytvořený provozovateli platebních karet, který obsahuje soubor nařízení a doporučení omezujících riziko zneužití platební karty. Tento standard musí dodržovat všechny organizace, které drží, zpracovávají nebo si vyměňují informace o platebních kartách.

HIPAA/HITECH

Certifikát prokazující dodržování amerických legislativních předpisů a omezení pro bezpečné nakládání se zdravotními údaji obyvatel.

FISMA

Certifikát prokazující dodržování amerického zákona o informační bezpečnosti.

95/46/EC (a další národní a místní certifikace)

Další certifikáty prokazující naplnění všech opatření požadovaných národní či místní úpravou legislativy, včetně směrnice Evropské komise 95/46/EC o ochraně osobních údajů.

Dalibor Kačmář

Dalibor Kačmář

Autor je manažerem serverové divize ve společnosti Microsoft.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 16. srpen 2011 12:28

K tvrzeni "Celková doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut." patri citace z http://www.zive.cz/bleskovky/blesk-vyradil-obri-datacentra-amazonu-a-microsoftu-na-nekolik-hodin/sc-4-a-158295/default.aspx : "V případě Microsoftu bylo datacentrum online až ve večerních hodinách.."
Uz spachal Vas nadrizeny sepuku?

K polozce "Payment Card Industry Data Security Standard" v tabulce "Certifikace datacenter společnosti Microsoft" bych se podle clanku
http://cloudsecurity.org/blog/2009/03/14/what-does-pci-compliance-in-the-cloud-really-mean.html zeptal:
"is their Cloud receiving, processing, storing or transmitting Credit Card data (as defined by the PCI DSS)?"

miky #3
miky 16. srpen 2011 15:54

No, a to jste zapomnel pridat odkaz na clanek http://datarama.aktualne.centrum.cz/clanek.phtml?id=705949 . Primo idealni predat svoje interni firemni data americke vlade (ci americkym firmam?). Ale jak to udelaji, kdyz tvrdi, ze zadny zamestnanec nevi, kde ze vlastne vase data jsou :))) A nebo to presne vedi a pak je ten clanek 100% lzivy :)?

Náhodný kolemjdoucí #6
Náhodný kolemjdoucí 17. srpen 2011 09:20

Není přece třeba vědět, kde jsou data fyzicky, stačí udělat snapshot a ten si uložit tam kam se dostanu.

Marv-CZ #4
Marv-CZ 16. srpen 2011 16:13

A to se ještě taktně opomíjí, že zatímco u vlastního vnitrofiremního serveru mám pod palcem i rozvody, u cloudu stačí bába s motyčkou a celé to jejich superzabezpečené centrum bude stejně odříznuté od světa.

w4rr10r #2
w4rr10r 16. srpen 2011 12:59

Proč v článku není (ideálně v nadpisu) viditelně uvedeno, že jde o PR?

Náhodný kolemjdoucí 2 #5
Náhodný kolemjdoucí 2 17. srpen 2011 14:21

Ale je, viz - Autor je manažer serverové divize ve společnosti Microsoft. :D


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Policie odložila prověřování IT na ministerstvu zemědělství

ČTK , 24. leden 2017 17:00

Policisté přestali zkoumat okolnosti, za jakých ministerstvo zemědělství nakupovalo v letech 2005 až...

Více 0 komentářů

Výrobce obrazovek LG Display vykázal ve čtvrtletí rekordní zisk

ČTK , 24. leden 2017 13:00

Jihokorejskému výrobci obrazovek LG Display vzrostl ve čtvrtém čtvrtletí provozní zisk na rekordních...

Více 0 komentářů

Čtvrtletní zisk Samsungu se díky čipům více než zdvojnásobil

ČTK , 24. leden 2017 11:00

Zisk jihokorejského výrobce elektroniky Samsung Electronics se ve čtvrtém čtvrtletí více než zdvojná...

Více 0 komentářů

Starší zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů