Když je cloud bezpečnější, než vaše vlastní síť

Psychologická bariéra umístit vaše vlastní data „někam na internet“ je jednou z nejčastějších otázek, kterou firmy při rozhodování o přechodu na cloud řeší. Jenže cloud computing není vždycky „někde na internetu.“ V případě velkých hráčů jsou to konkrétní datová centra, konkrétní servery a konkrétní bezpečností opatření. Data v cloudu jsou pak často řádově lépe zabezpečena než data na serverech ve firemní serverovně.

Bezpečnost coby spolehlivost a dostupnost

Pojem bezpečnost je relativně hodně široký. Pojďme si ho proto rozdělit na tři zdánlivě nesouvisející oblasti. Tou první je bezpečnost z pohledu spolehlivosti a dostupnosti serverů i dat na nich. Jak moc jsou vaše data v cloudu v bezpečí proti ztrátě z důvodu například poruchy hardware? Pokud budeme hovořit o cloudu v režii Microsoftu v Evropě, pak zde máme k dispozici dvě datová centra – v irském Dublinu a nizozemském Amsterodamu. Obě datová centra patří mezi jedny z nejmodernějších a také nejdražších datových center světa.

O „softwarovou“ bezpečnost dat se stará speciální cloudová platforma. Servery jsou umístěny ve speciálních ISO kontejnerech, které se do datových center navážejí již vcelku. U cloudových aplikací jako Office 365, Windows Intune či Dynamics CRM Online jsou servery spojeny do obrovských clusterů napříč více kontejnery. Ani fyzická destrukce jednoho kontejneru tak neovlivní chod těchto aplikací. U Windows Azure si počet i výkon virtuálních strojů v clusteru volí uživatel sám. Samotné storage řešení je taktéž plně virtualizované, a to včetně síťové infrastruktury, a nachází se v oddělených kontejnerech.

I zde samozřejmě panuje mnohonásobné jištění dat v režimu mirroringu mezi jednotlivými fyzickými disky respektive SAN. Dostupnost všech cloudových aplikací vůči zákazníkovi je garantovaná na úrovni 99,9 %, a to na měsíční bázi. Celková doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut. Aby toho bylo možné reálně dosáhnout, obsahuje každé datacentrum několikanásobné jištění napájení i vzduchotechniky, je postaveno tak, aby odolalo přírodním katastrofám a případně i pádu letadla a panují v něm přísná bezpečností pravidla, která eliminují vznik lidské chyby. K samotným serverům se pak nikdy nepřistupuje, a to ani v případě jejich hardwarové poruchy.

Bezpečnost fyzických serverů

Vůbec nejlépe jsou na tom vaše data v cloudu z pohledu fyzické bezpečnosti. Prakticky totiž není možné, a to ani pro zaměstnance s plným přístupem do objektu, dohledat fyzické zařízení, kde se vaše data nacházejí. Teoreticky by se to dalo vypátrat jen při detailní znalosti nastavení jednotlivých virtualizovaných síťových prvků a datových úložišť a při detailní znalosti konkrétního typu storage řešení, kde data jsou umístěna. Tyto informace jsou však přísně střeženy v nastavení jednotlivých součástí datacentra a neexistuje jeden člověk, který by mohl všechny tyto informace získat najednou. I kdyby ale někdo tyto schopnosti a informace měl, stejně by měl problém se k diskům fyzicky dostat.

I u zaměstnanců s povolením ke vstupu do datového centra je velice přísně evidován pohyb po budově. Všechny vstupy se monitorují kamerami a přístup je vždy chráněn biometrickými identifikačními prvky. Kolem kontejnerů se servery a storage řešeními je navíc povolen pohyb pouze tehdy, kdy je potřeba odvézt ke zničení vysloužilý kontejner či instalovat nový. Samotný proces zničení vysloužilých serverů a datových nosičů je taktéž pod velmi přísným dohledem a před zničením hardware každé storage řešení projde ještě náročným „softwarovým“ zničením všech dat. Pro srovnání si můžete tato opatření zkusit sami porovnat fyzické zabezpečení průměrného serveru ve firmě.

Softwarová bezpečnost

Vůbec nejdiskutovanější oblastí cloudu je pravděpodobně softwarová bezpečnost. Ta je zde paradoxně ve srovnání s běžnou firmou o několik řádů vyšší. Když upustíme od standardní a celkem očekávané ochraně pomocí systému firewallů, IDS/IPS, administrátorů, kteří procházejí logy a samozřejmě také přenosu všech dat výlučně pomocí 256 bitového SSL šifrování, je zde ještě jedno opatření navíc. Jedná se o rozsáhlý tým IT profesionálů, jejichž jedinou pracovní náplní je péče o tzv. Security Development Lifecycle.

{seealso}
Jedná se o kontinuální cyklický proces, který se skládá celkem ze 7 dílčích oblastí. Od neustálého školení všech klíčových zaměstnanců v oblasti aktuálních bezpečnostních hrozeb a opatření počínaje až samotnou reakcí na výskyt předpokládaného rizika, na které se tým připravil. Security Development Lifecycle se přitom ani zdaleka netýká pouze softwarových a virtuálních hrozeb, aplikuje se na jakékoliv bezpečnostní hrozby, které by mohly ohrozit provoz datacentra a data v něm uložená, včetně např. krádeží, útoků ozbrojenců apod. Celý proces navíc vyhovuje i mezinárodnímu standardu ISO/IEC 27001 i požadavkům americké a evropské legislativy či karetních asociací. Datová centra Microsoftu navíc splňují celou řadu mezinárodních, oborových a národních certifikací, kterými mnohdy nedisponují pro svá vlastní datacentra ani velké nadnárodní společnosti z jiných oborů.

Certifikace datacenter
společnosti Microsoft