Bezpieczeństwo chmury (cloud computing)

  • Article

Obiecałem, więc wracam do tematu bezpieczeństwa chmury Microsoft. Obietnicę złożyłem po tym jak na konferencji MTS 2010 miałem przyjemność wystąpić przed stosunkowo dużą publicznością (ok. 280 osób), która miała naprawdę duże ilości pytań. Część z nich udzieliłem w mojej prezentacji, ale na część spróbuję też odpowiedzieć na blogu.

Chciałbym więc niniejszym zacząć malutki cykl wpisów na temat bezpieczeństwa chmury i chciałbym Wam w tym cyklu wciągnąć w małą dyskusję na ten temat. Bo ja wiem, że nie wiem też wszystkiego i sam z chęcią poszukam odpowiedzi na pytania, na które Wy też nie znajdujecie odpowiedzi (albo nikt Wam jej nie podał na tacy jeszcze).

Dodam jeszcze tylko zanim przejdę do meritum, że możecie sobie pobrać moją prezentację z MTS o bezpieczeństwie chmur z mojej podstrony z prezentacjami.

Zacznijmy od podstaw

Dlaczego nie wdrażamy chmury?Zacznę od wykresu z mojej prezentacji, który zamieszczam po prawej stronie. Pokazuje on wyniki sondy jaka została przeprowadzona w firmach w USA. A ankiecie tej zapytano ludzi co ich powstrzymuje przed tym, żeby wdrożyć chmurę dla swojej firmy.

W tym badaniu pierwsza pozycja to "Security & privacy concerns", czyli faktycznie bezpieczeństwo. I nie jest to jedyne badanie. W jeszcze innym, które widziałem te różnica była jeszcze większa - tam 3x więcej ludzi odpowiedziało "bezpieczeństwo" niż kolejny punkt na liście.

Czyli ewidentnie to jest w tej chwili największy "problem" firm, że boją się . Ale ja wcale im się nie dziwie, bo jak starałem się dowieść na prezentacji (przykład z John Philip Souza), boimy się tego czego nie znamy.

A faktycznie o samej chmurze mówi się dużo od pewnego czasu, ale bardzo mało wspominało się do tej pory (zwłaszcza po polsku) o bezpieczeństwie. W moim cyklu chciałbym to zmienić i chciałbym, żeby te "concerns" (niepokoje, obawy) z wykresu przestały być obawami a zostały usunięte jak już pojawi się konkretna wiedza w danym temacie i zniknie to co nieznane.

Jak opowiedzieć o bezpieczeństwie chmury?

W tym wpisie opowiem Wam jeszcze tylko to, na jakich płaszczyznach będę opowiadał o bezpieczeństwie w kolejnych wpisach.

Te płaszczyzny, o których chciałbym opowiedzieć w szczegółach to:

  • Formalna ochrona
    Tu chciałbym napisać o kwestiach typu umowa, SLA czy certyfikaty i standardy jakie spełnia chmura Microsoft.
  • Infrastruktura
    Czyli to wszystko co związane jest z fizycznym bezpieczeństwiem Data Center, tym co dzieje się dookoła, jak zaplanowane jest to bezpieczeństwo i czego trzymają się pracownicy w codziennej pracy przy chronieniu infrastruktury
  • Sieć
    Z jednej strony jest to kwestia tego, żeby dane, które przepływają do chmury, z chmury i wewnątrz chmury nie były narażone na podsłuchanie, przechwycenie i wyciek. Z drugiej strony to też bezpieczna komunikacja w samej aplikacji i między poszczególnymi węzłami serwerów.
  • Host
    Na czymś ta cała chmura działa - są to ogromne ilości serwerów, na których musi działać jakiś system operacyjny (który nie jest tradycyjnym Windowsem, ani wirtualizacja też nie działa w oparciu o tradycyjny hypervisor z Hyper-V).
  • Aplikacja
    Tu ogromna robota dla programistów, którzy zawsze i wszędzie powinni zadbać o bezpieczeństwo swojej aplikacji. Ale tu też Microsoft przyłożył ileś wysiłku, żeby programiści mieli trochę łatwiejszą robotę.
  • Dane
    To chyba jeden z bardziej kluczowych zasobów, które ewidetnie powinny być najlepiej chronione. Opowiem więc co tutaj robimy, żeby poziom bezpieczeństwa był jak najwyższy.

Każdą z tych płaszczyzn będę chciał opisać w kolejnych odcinkach w przyszłości. Postaram się do każdego elementu dorzucić również linki do materiałów dodatkowych - artykułów lub webcastów poszerzających wiedzę w danym temacie.

Mam nadzieję, że temat Was zainteresuje i będziecie chcieli przeczytać kolejne odcinki :)