Bezpieczeństwo chmury (cloud computing)


Obiecałem, więc wracam do tematu bezpieczeństwa chmury Microsoft. Obietnicę złożyłem po tym jak na konferencji MTS 2010 miałem przyjemność wystąpić przed stosunkowo dużą publicznością (ok. 280 osób), która miała naprawdę duże ilości pytań. Część z nich udzieliłem w mojej prezentacji, ale na część spróbuję też odpowiedzieć na blogu.

Chciałbym więc niniejszym zacząć malutki cykl wpisów na temat bezpieczeństwa chmury i chciałbym Wam w tym cyklu wciągnąć w małą dyskusję na ten temat. Bo ja wiem, że nie wiem też wszystkiego i sam z chęcią poszukam odpowiedzi na pytania, na które Wy też nie znajdujecie odpowiedzi (albo nikt Wam jej nie podał na tacy jeszcze).

Dodam jeszcze tylko zanim przejdę do meritum, że możecie sobie pobrać moją prezentację z MTS o bezpieczeństwie chmur z mojej podstrony z prezentacjami.

Zacznijmy od podstaw

Dlaczego nie wdrażamy chmury?Zacznę od wykresu z mojej prezentacji, który zamieszczam po prawej stronie. Pokazuje on wyniki sondy jaka została przeprowadzona w firmach w USA. A ankiecie tej zapytano ludzi co ich powstrzymuje przed tym, żeby wdrożyć chmurę dla swojej firmy.

W tym badaniu pierwsza pozycja to “Security & privacy concerns“, czyli faktycznie bezpieczeństwo. I nie jest to jedyne badanie. W jeszcze innym, które widziałem te różnica była jeszcze większa – tam 3x więcej ludzi odpowiedziało “bezpieczeństwo” niż kolejny punkt na liście.

Czyli ewidentnie to jest w tej chwili największy “problem” firm, że boją się. Ale ja wcale im się nie dziwie, bo jak starałem się dowieść na prezentacji (przykład z John Philip Souza), boimy się tego czego nie znamy.

A faktycznie o samej chmurze mówi się dużo od pewnego czasu, ale bardzo mało wspominało się do tej pory (zwłaszcza po polsku) o bezpieczeństwie. W moim cyklu chciałbym to zmienić i chciałbym, żeby te “concerns” (niepokoje, obawy) z wykresu przestały być obawami a zostały usunięte jak już pojawi się konkretna wiedza w danym temacie i zniknie to co nieznane.

Jak opowiedzieć o bezpieczeństwie chmury?

W tym wpisie opowiem Wam jeszcze tylko to, na jakich płaszczyznach będę opowiadał o bezpieczeństwie w kolejnych wpisach.

Te płaszczyzny, o których chciałbym opowiedzieć w szczegółach to:

  • Formalna ochrona
    Tu chciałbym napisać o kwestiach typu umowa, SLA czy certyfikaty i standardy jakie spełnia chmura Microsoft.
  • Infrastruktura
    Czyli to wszystko co związane jest z fizycznym bezpieczeństwiem Data Center, tym co dzieje się dookoła, jak zaplanowane jest to bezpieczeństwo i czego trzymają się pracownicy w codziennej pracy przy chronieniu infrastruktury
  • Sieć
    Z jednej strony jest to kwestia tego, żeby dane, które przepływają do chmury, z chmury i wewnątrz chmury nie były narażone na podsłuchanie, przechwycenie i wyciek. Z drugiej strony to też bezpieczna komunikacja w samej aplikacji i między poszczególnymi węzłami serwerów.
  • Host
    Na czymś ta cała chmura działa – są to ogromne ilości serwerów, na których musi działać jakiś system operacyjny (który nie jest tradycyjnym Windowsem, ani wirtualizacja też nie działa w oparciu o tradycyjny hypervisor z Hyper-V).
  • Aplikacja
    Tu ogromna robota dla programistów, którzy zawsze i wszędzie powinni zadbać o bezpieczeństwo swojej aplikacji. Ale tu też Microsoft przyłożył ileś wysiłku, żeby programiści mieli trochę łatwiejszą robotę.
  • Dane
    To chyba jeden z bardziej kluczowych zasobów, które ewidetnie powinny być najlepiej chronione. Opowiem więc co tutaj robimy, żeby poziom bezpieczeństwa był jak najwyższy.

Każdą z tych płaszczyzn będę chciał opisać w kolejnych odcinkach w przyszłości. Postaram się do każdego elementu dorzucić również linki do materiałów dodatkowych – artykułów lub webcastów poszerzających wiedzę w danym temacie.

Mam nadzieję, że temat Was zainteresuje i będziecie chcieli przeczytać kolejne odcinki 🙂

Comments (13)

  1. @Grzesiek: Ja to wiem jak to powinno modelowo wyglądać 🙂 Ale nie wiesz jak wiele pytań miałem przy okazji MTS i sesji o bezpieczeństwie – gdzie kilka osób pytało – "no ale jak to, czy to moje bezpieczeństwo to w dużej mierze umowa?". Ja zawsze odpowiadałem, że to jak z bankiem… tam też niewiele poza umową z bankiem się ma jeśli by się okazało, że bank w czymś nawalił, albo jest coś nie tak z moimi pieniędzmi.

    Ale niemieckie piwo – brzmi rewelacyjnie 🙂 Więc nawet mimo, że wiem jak to powinno wyglądać to z chęcią to przedyskutuje 😉

  2. dzinks says:

    Też się zgadzam, ale w jaki sposób później móc wrócić do danych, nie mając dostępu do systemów? Trochę teoryzuję, ale taki temat IMHO może wypłynąć w rzeczywistości.

  3. dzinks says:

    A jak wygląda w rzeczywistości forma przechowywania danych? Przykład: Mamy system kadrowy/księgowy w chmurze. Firma która zakupiła usługę kończy działalność. Jak przechowywać dane,a by móc do nich wrócić w razie kontroli upoważnionych organów tj. Urząd Skarbowy? Jeśli chcielibyśmy pozostawić u usługodawcy to na pewno wizało by się to z opłatą.

  4. @Amandi: Do przykładów tego typu co podałeś planowałem jeszcze wrócić w niedalekiej przyszłości, bo naprawdę wiele ludzi postrzega "bezpieczeństwo chmury" jako strasznie dramatyczny temat, a okazuje się, że w wielu miejscach jest to zbliżone do tego co już mamy – umowy, SLA, zapewnienie bezpieczeństwa, itp. Więcej z mojej strony już wkrótce.

  5. @Rafał: Ale to bardziej problem umowy z taką firmą… I pewnie robienia backupów takich danych. Moim zdaniem przy podpisywaniu takiej umowy należałoby zadbać o zapisy dotyczące możliwości skorzystania z danych nawet bez aplikacji w chmurze. Wiem, że już od jakiegoś czasu istnieją firmy mające księgowość online – pewnie trzeba by zobaczyć jak wyglądają takie umowy. Ale to bardziej kwestia dostawcy oprogramowania niż dostawcy chmury.

  6. Amadeusz says:

    Jeśli chodzi o księgowość w chmurze, to należy mieć na uwadze, iż w przypadku korzystania z dobrodziejstw e-faktur firma musi przestrzegać rozporządzenia w sprawie e-faktur, zwłaszcza zapisy §6 ust. 1 oraz §6 ust. 2, jeśli chce te e-faktury trzymać poza krajem – to tak gwoli ścisłości. A co do bezpieczeństwa samej chmury, to z powodzeniem niektóre zarzuty kierowane właśnie w tym temacie, można z powodzeniem odnieść do "zwyczajnego" hostingu (np. poczty e-mail lub innych usług). Tam też trzyma się czasami ważne dane firmowe a jednak nie kwestionuje się takich praktyk (lub rzadko się to robi).

    P.s. Tak a propos poczty, to wiecie, że spora część nawet bardzo dużych instytucji tzw. budżetowych trzyma swoją pocztę na np. Gmail'u lub co gorsza WP (albo innym)?! I mówię to z codziennego doświadczenia. A dane przesyłane tą drogą objęte są m.in. ustawą o ochronie danych osobowych… Nie wspomnę o reszcie. 😀  

  7. Anonymous says:

    Firma B znika z rynku – no problemo 🙂 aplikacja działa, bo firma A Płaci operatorowi chmury (C). Jezeli to (B) płaci (C), to (A) zastrzega sobie kopie bezpieczeństwa w taki, czy inny sposób. Wszytko jest kwestią dojrzałości w biznesie. Sytuacja, którą przedstawiasz jest modelowa i pasuje idelanie do środowiska w jakim sie obracam 🙂 Umowa musi zawierac informacje o sposobie i dformie – formacie przekazania danych właścicielowi w momencie rozwiązania umowy. Możemy pogadac o tym w Berlinie 🙂 przy niemieckim piwku.

  8. @Grzesiek: Ale sytuacja jest inna… Firma A chce mieć oprogramowanie księgowe. Wynajmuje/Kupuje więc aplikację w chmurze którą napisała firma B. Firma C jest właścicielem chmury i dostawcą chmury.

    I teraz sytuacja – co firma A ma zrobić jeśli nagle firma B zniknie z rynku. Jak firma A ma zapewnić sobie, że jej dane nie przepadną i będą dostępne np. przez kolejne 5 lat dla Urzędu Skarbowego.

    Moim zdaniem właściciel chmury (firma C) nie bardzo ma coś do tego. To firma A powinna zapewnić sobie w umowie z firmą B co się stanie z danymi w odpowiednich momentach (np. przy rozwiązaniu firmy B).

    I to co być może Rafał chciał powiedzieć, to że jesli firma B napisałaby Ci klasyczną aplikację na serwerze w firmie A, to wtedy dane będą cały czas w firmie A i aplikacja nadal będzie mogła je odczytać przez kolejne 5 lat. W wypadku chmury teoretycznie mogłoby się zdarzyć, że firma B rezygnuje z działalności i przestaje płacić opłaty firmie C (dostawcy chmury), więc dostawca odcina dostęp. I odcina go przez to firmie A.

  9. @Rafał: Pytanie kto powinien zadbać o przechowywanie takich danych i na kim spoczywa ten obowiązek? Bo ja się przyznam nie wiem, ale wydaje mi się, że takie dane powinna przechowywać dana firma a nie dostawca czy firma pisząca oprogramowanie księgowe…

  10. @kick: Oczywiście, że lepiej zaatakować firmę Y (czyli dostawcę chmury). Ale z drugiej strony podobnym świętym Graalem od wielu lat były i są serwery www Microsoft. Natomiast nie przypominam sobie w całej historii żeby ktoś się włamał na nie (poza dwoma drobnymi przypadkami, ale to nie stricte włamania na serwery Microsoft).

    Owszem być może było to dlatego, że na razie ROI z takiego włamania było niskie (czyt. zbyt mało korzyści a za dużo zachodu).

    Generalnie to w wielkim interesie Microsoft jest zadbanie, żeby coś takiego się nie stało. Bo mogę sobie wyobrazić co mogłoby się stać jakby takie coś się wydarzyło. Na pewno spadło by zaufanie do chmury i dostawcy. A tego Microsoft (i inne firmy też!) nie chce na pewno.

    Jęsli chodzi o wychodzeniu danych poza UE. To są dwie kwestie – masz zagwarantowane w umowie, że Twoje dane nie opuszczają UE (wyjątkiem umowa Safe Harbor)

  11. Grzegorz Piotrowski says:

    podpowiem, Wam ponieważ problem jest mi znany z autopsji 🙂

    Dane są własnością firmy, która wynajmuje przestrzeń składową, bądź moc obliczeniową. Jeżeli umowa zostaje zakończona bez względu na przyczynę, dane należy przekazywać właścicielowi. Czasami w umowach dopisuje się klauzulę, że klient dba o wykonywanie kopii zapasowych w interesujących go okresach czasu. Jeżeli backup jest wykonywany na zewnętrzne względem hostera usługi, to klient ma obowiązek skopiowania swoich danych, zanim hoster je usunie. Jeżeli klient nie może wykonywać kopii osobiście, bądź robi je na wewnętrzne systemy hostera, wówczas hoster musi udostępnić dane właścicielowi.

    To tyle.

    Jak hoster jest cwany to zrzuci obowiązek pobrania ostatnich danych do końca trwania ostatniego cyklu rozliczeniowego, co jest dość ciężkie do przetrwania bez zawału dla klienta.

  12. kick says:

    Jeżeli weźmiemy pod uwagę że hakerzy atakują miejsca lub systemy z których statystycznie można najwięcej wyciągnąć (klientów, danych, etc) to w tym kontekście co lepiej zaatakować – firmę X która ma swoją chronioną serwerownię, czy też firmę Y która świadczy usługi dla dla firm n*X. Włamanie oznaczać może totalną porażkę nie jednej firmy lecz n firm. Poza tym EU i USA to trochę 2 światy. Jak zapewnić by w chmurze publicznej zagwarantować, że poufne dane EU nie wywędrują do RU lub USA i w żaden sposób nie będą dostępne w tamtych obszarach. Moim zdaniem w tej kwestii ciągle samo prawo nie nadąża za zmianami technologicznymi i stąd większość obaw.

  13. kick says:

    Zakładając teoretycznie (hacking.pl/…/news-16114-Jak_doszlo_do_przejecia_maszyn_Microsoftu.html) , że złamanie zabezpieczeń chmury się uda. To z prawnego punktu widzenia, kto będzie odpowiedzialny za utratę danych. Firma która je posiada i nimi zarządza, czy też właściciel chmury na którym te dane były zgromadzone. Kto pokryje ewentualne roszczenia ? Jak będzie prowadzone dochodzenie, wg jakiego prawa które nawet w samej EU jest różne w zależności od kraju. Jak dla przykładu na takie usługi zapatruje się nasz Główny Inspektorat ds. Ochrony Danych Osobowych? (moim zdaniem nie nadążają z prawem).

    Poza tym skąd mam pewność, że firma (właściciel chmury) nie przetwarza i analizuje zgromadzonych w moich zasobach danych. Wiemy że Gógle już takie praktyki stosuje 🙁 i MS również takie próby już czynił.

    W każdym bądź razie z pojawieniem się "chmury" pojawiło się kilka grup dodatkowych ryzyk z tym związanych:

    – dotyczące polityk bezpieczeństwa i ryzyka organizacji, która korzysta z takich usług

    – dotyczące prawnych aspektów takiego rozwiązania

    – i oczywiście ryzyka technologiczne

    Jak przeglądam rozwiązania m.in błękitnej firmy, to konkurencja ma dokładnie ten sam problem. Jak przekonać klientów do tego by zaczęli korzystać z "cloud'u". Moim zdaniem jedynie w pełni prywatny cloud czyli tzw. wirtualizacja dla uproszczenia tematu jest tym czego obecnie poszukują firmy.

    Z drugiej strony o ile mamy do czynienia z małą firmą to korzystanie z dobrodziejstwa "cloud'owych" rozwiązań są po prostu idealne. W przypadku dużych korporacji problem nie jest jednak banalny.

    Ostatnio czytałem/przeglądałem pewną prezentację firmy TP SA dotyczącej wykorzystania chmury. Więcej można znaleźć na http://www.blog.tp.pl/…/cloud_computing_czyli_zalety_i

Skip to main content