Bezpieczeństwo chmury: Formalna ochrona


Jak obiecałem w poprzednim wpisie dot. bezpieczeństwa chmury – spróbuję się pomału zagłębiać w kolejne elementy chmury i opowiedzieć Wam więcej o tym, co Microsoft zrobił, żeby chmura mogła być określana jako bezpieczna.

Zanim zejdę do którejkolwiek warstwy zabezpieczeń, chciałbym w dzisiejszym poście zająć się kwestią formalnej ochrony ze strony Microsoft. Jest to o tyle ważne, że może nam rozwiązać kilka kwestii i odpowiedzieć na kilka pytań, które bardzo często słyszałem do tej pory.

Pewnie zastanawiacie sie jak formalne sprawy mogą gwarantować Wam bezpieczeństwo Waszych danych. I dlaczego niby tak ważna jest jakaś tam umowa podpisana z Microsoft albo standardy, które Microsoft spełnia w tym zakresie.

Zacznijmy od przykładu banku…

Zacznę więc trochę zaczepnie – gdybym zapytał ilu moich czytelników ma konto w banku – to pewnie twierdząco odpowiedziałoby 99% osób (nie ma chyba wśród Was osób, które korzystają z konta rodziców?). Uznajemy to za coś oczywistego i naturalnego.

I zapewne nikt już na dzień dzisiejszy nie zastanawia się czy Wasze pieniądze są bezpieczne w banku. Ale jakbyście chcieli zrobić ćwiczenie myślowe i odpowiedzieć sobie na pytanie “Dlaczego moje pieniądze są bezpieczne w banku?” to pewnie zaraz pojawiłoby się Wam w głowie kilka pytań pomocniczych:

  • Czy mam kontrolę nad systemem / aplikacją, która działa w banku i obsługuje moje pieniądze?
  • Czy mam kontrolę nad fizyczną obecnością moich pieniędzy (czy mogę pójść do banku żeby mi pokazali na półce w sejfie, które pieniądze są moje)?
  • Czy mam kontrolę nad tym co dzieje się z moimi danymi (historią rachunku czy danymi w bazie na mój temat)?
  • Czy mam kontrolę nad tym, że pracownik banku nie zrobi przelewu z mojego konta na swoje na Kajmanach?

Pewnie na wszystkie pytania odpowiedź będzie “NIE”. Dlaczego więc uważacie, że Wasze pieniądze są bezpieczne??? Skoro nie macie kontroli nad systemem, aplikacją, fizycznym położeniem pieniędzy, danymi o Was, czy pracownikami banku?

Co więc nas chroni formalnie?

Pierwsze co Was chroni w sytuacji banku (czy chmury) to umowa między Wami a dostawcą. To w niej zawarte są informacje o tym co dzieje się z Waszymi danymi, kto i w jaki sposób może nimi dysponować, co się stanie jak nagle stracicie dostęp do danych/aplikacji, itp.

Są też pewne rzeczy, które wynikają bardziej z prawa niż samej umowy – to, że pracownik zdefrauduje pieniądze czy wykradnie dane, będzie oznaczało, że poniesie tego konsekwencje (o tym będzie ciut więcej w kolejnym poście), ale Wy również będziecie mogli dochodzić swoich praw w sądzie (jeśli dostawca sam nie zaproponuje satysfakcjonującego Was rozwiązania).

Jest też coś co nazywa sie reputacją. Czy to w wypadku banku czy firmy takiej jak Microsoft, firmy takie nie mogą sobie pozwolić na to, żeby ktoś stracił dane, stracił pieniądze lub nawet i firmę tylko z tego powodu, że coś nie zadziała lub ktoś zrobi krzywdę chmurze. W takiej sytuacji podejrzewam, że wszystkie strony będą dążyły do porozumienia.

Żeby być już całkiem fair w stosunku do mojego porównania z bankiem… To w wypadku banków w gre wchodzi tez oczywiście Bankowy Fundusz Gwarancyjny, ale on też gwarantuje Wam odzyskanie straconych pieniędzy tylko do określonej kwoty i przy spełnieniu określonych warunków brzegowych. Tu takiego funduszy w wypadków dostawców chmur nie ma (poza gwarancjami samego dostawcy).

Standardy i certyfikaty

Ale wracając trochę do konkretów w sprawie chmury. W wypadku chmury Microsoft postawiono naprawdę duży nacisk na spełnienie pewnych uznanych, światowych standardów i uzyskanie odpowiednich certyfikatów.

Gwarantują one kilka rzeczy w zależności od danej certyfikacji/normy.

ISO/IEC 27001:2005

DataCenter Microsoft spełniają m.in. bardzo znaną normę ISO/IEC 27001:2005. Standaryzuje ona systemy zarządzania bezpieczeństwem w danej firmie/organizacji.

W ramach tej normy określono 11 obszarów w których firma powinna spełnić określone kryteria. Obszary te to m.in.: Polityka bezpieczeństwa, Organizacja bezpieczeństwa informacji, Bezpieczeństwo fizyczne i środowiskowe, Zarządzanie systemami i sieciami, Kontrola dostępu, Zarządzanie incydentami związanymi z bezpieczeństwem informacji, Zgodność z wymaganiami prawnymi i własnymi standardami.

Dzięki tej certyfikacji wiemy, że to co dzieje się wewnątrz takich DataCenter ma ściśle określone zachowania i procedury. I na bezpieczeństwo formalne (i praktyczne) położony jest naprawdę duży nacisk.

SAS 70 (Type I & Type II)

O ile ISO 27001 jest dosyć dobrze znane i rozpoznawane w Polsce i Europie to juz SAS 70 trochę mniej (patrząc na to, że tylko 2 osoby na mojej 300 osobowej sesji na MTS kojarzyły co to jest). Jest to pewien rodzaj raportu po audycie, który wykonywany jest na infrastrukturze danej firmy (w tym wypadku Microsoft) przez zewnętrzne podmioty.

Założenia takiego raportu powstały po tym jak jakiś czas temu wiele firm chciało skorzystać z outsourcingu w IT (oraz usługach finansowych). Firmy te chciały być pewne, że ich dane będą przetwarzane w odpowiedni sposób i że firma, która będzie się nimi opiekowała będzie robiła to dobrze.

Raport SAS 70 zawiera opis tego co działa w środku takiej firmy pod kątem kontroli, zarządzania ryzykiem, itp. Pokazuje on klientom takich firm jak wygląda jakość usług outsourcingowych świadczonych przez dostawcę.

Raport SAS 70 ma dwa typy:

  • Type I – określa jak wyglądają te wszystkie kwestie powyżej w danym punkcie czasu
  • Type II – wymaga obecności audytora przez określony czas (najczęściej pół roku) w siedzibie takiej firmy i zbadanie jak reaguje ona na różne sytuacje opisane w audycie

Microsoft regularnie zamawia takie audyty i jest w posiadaniu oczywiście raportów obu typów.

Inne

Dodatkowo Microsoft (DataCenter) spełniają wymagania innych ważnych dokumentów m.in.:

  • SOX (Sarbanes-Oxley Act)
    Ustawa w USA, która określa dosyć rygorystyczne zasady działania rynków finansowych (w tym banków) – w tym kontrolę firm audytorskich, które robią audyty dla firm. Jeśli dana firma ma spełniać wymogi ustawy SOX to może być pewna, że w DataCenter Microsoft ta ustawa jest przestrzegana.
  • HIPAA (Health Insurance Portability and Accountability Act)
    Kolejna ustawa dla rynku USA, tym razem dotycząca rynku usług medycznych. Ona również określa pewne zachowania (w tym prywatność i przetwarzanie danych), według których firmy powinny funkcjonować. I tu ponownie – jeśli firma ma spełniać wymogi HIPAA, to w Microsoftowej chmurze będzie to miała zapewnione.
  • PCI DSS (Payment Card Industry Data Security Standard)
    I tym razem jeszcze standardy dotyczące działań związanych z kartami kredytowymi i wszystkim co z tym związane. Wliczamy to definicje zabezpieczeń sieci, zabezpieczeń danych, zabezpieczeń dostępu, itp. Tu nie będzie niespodzianką jak powiem, że DC Microsoft te wymagania spełniają.
  • Safe Harbor
    Safe Harbor Principles w dużym skrócie mają zapobiegać wyciekowi informacji lub ich utracie. Firmy, które działają w Europie nie mogą przesyłać danych osobowych poza strefę UE, chyba, że spełnią pewne określone poziomy bezpieczeństwa. Spełnienie tych wymagań jest potwierdzanie właśnie otrzymaniem certyfikacji Safe Harbor. Na ich podstawie dane z UE mogą (ale nie muszą) być przechowywane poza UE na zasadach określonych w naszym prawie.

Mimo, że część dokumentów może mniej dotyczy polskiego rynku, ale z drugiej strony są bardzo rygorystycznymi ustawami, których spełnienie nie jest takie proste. Jednak Microsoft robi wszystko, aby wymogi takich ustaw były spełniane.

SLA (Service Level Agreement)

SLA czyli Service Level Agreement określa poziomy dostępności danej usługi. Microsoft w zależności od usługi (lub nawet głębiej, pojedynczych elementów) określa różne wartości SLA.

Są one mierzone w procentowej ilości czasu kiedy serwis jest niedostępny. Jeśli serwis jest niedostepny dłużej niż przewiduje to SLA to Microsoft w takiej sytuacji zwraca pieniędze za brak dostępu.

Ważnym elementem jest to, że niedostępność mierzona jest na poziomie pojedyńczych minut a nie ich wielokrotności jak np. u konkurencji. W konkurencyjnej firmie SLA przestaje być spełnione, jeśli przerwa w dostępnie do danych trwa dłużej niż 10 minut. Jeśli jest to krótsza przerwa, to może ich być nieskończenie wiele w ciągu roku, a nadal SLA będzie dotrzymane.

Generalnie temat SLA spokojnie nadałby się na osobny post i jeśli starczy mi kiedyś sił i czasu to napiszę więcej na ten temat.

SDL (Security Development Lifecycle)

Security Development Lifecycle to standard stworzony przez Microsoft a dotyczący pewnych ściśle określonych reguł tworzenia oprogramowania tak, aby można było powiedzieć, że zrobiono wszystko aby było ono bezpieczne.

I tu oczywiście całe oprogramowanie tworzone na potrzeby chmury jest również włączone do tego cyklu.

Podsumowanie

W kolejnych odcinkach cyklu opowiem Wam więcej o realnych zabezpieczeniach chmury (bo te były stricte formalne i umowne). Mam nadzieję, że cały cykl wyjaśni Wam kilka rzeczy. Ja z wielką chęcią dowiem się, czy treści Wam przekazywane są jasne i zrozumiałe, oraz czy dostarczają Wam odpowiedzi na Wasze pytania.

Koniecznie zostawcie więc Wasz komentarz! A ja zachęcam do dyskusji ze mną w komentarzach 🙂

Comments (9)

  1. @Paweł: Tak jak odpisał Amandi… Chmura Microsoft działa w oparciu o prawo amerykańskie (bo to firma z USA), ale w zgodzie z prawem konkretnego kraju.

    Dlatego czasem przez dłuższy czas dana usługa nie jest dostępna w określonym kraju czy regionie – bo musi potrwać zanim albo zostanie dostosowana do prawa, albo aż prawo się zmieni. Nie wiem czy wiecie, ale np. Azure nie jest aktualnie dostępny w Rosji 🙂

    W Polsce jest jak najbardziej dostępny, co daje gwarancję tego, że działa zgodnie z polskim prawem.

    Jeśli chodzi o dane i ich lokalizację – pozwól, że wrócę do tego w kolejnych postach – ale w skrócie Ty sam decydujesz w którym regionie świata przetwarzane są Twoje dane.

    Wyjście z chmury? Nie wiem o jaką barierę pytasz (czasową, finansową, prawną, technologiczną), ale generalnie Microsoft nie utrudnia wyciągnięcia danych z chmury (są nawet narzędzia i będzie powstawać ich więcej). Możesz je wyjąć z chmury praktycznie w dowolnym momencie i przenieść je do siebie do serwerowni.

    W wypadku Microsoft jest ten dodatkowy plus, że środowiska on-premise (Twoje DC) i off-premise (chmura) są dosyć zbliżone, więc przerzucane aplikacji/danych nie powinno być bardzo trudne. W wypadku niektórych innych dostawców może być to trudniejsze albo nawet niemożliwe.

    @Amandi: Z umową/prawem – masz rację i z tym, że banki działają na innej zasadzie również. Aczkolwiek podobnie jest z instytucjami zdrowotnymi, itp. – czyli takimi gdzie są ważne informacje, nad którymi też nie zawsze masz kontrolę (a w zasadzie prawie nigdy).

    Certyfikaty i standardy – są po to, żeby określać pewne poziomy świadczenia usług. Bo na tym głównie można opierać się przy wyborze dostawcy oraz poczuciu gwarancji tego, że coś zostanie wykonane zgodnie ze sztuką.

  2. Amadeusz says:

    Dobry przykład z bankiem, choć z drugiej strony banki działają na trochę innych zasadach (prawie) niż jakakolwiek inna branża. I tak gwoli ścisłości, napisałeś: "Są też pewne rzeczy, które wynikają bardziej z prawa niż samej umowy". Umowa jest formą aktu prawnego (zgodnie z art.353 KC). Stąd oczywisty wniosek, że w umowie można zawrzeć wszystko, co jest niezbędne do współpracy dwóch podmiotów, nie powołując się jednocześnie na np. KC (co jest często

    praktykowane). A co do norm, standardów i certyfikatów, to obawiam się, że w polskich warunkach jest to raczej rodzaj marketingu, niż faktyczny atut, którym firma może się "chwalić" przed potencjalnym klientem. I tak zawsze pada pytanie: za ile?

    @Paweł Goleń: Na Twoje pierwsze pytanie odpowiedź brzmi: podmiot mający swe oddziały poza granicami kraju działa na podstawie prawa kraju, w którym ma siedzibę i w zgodzie z prawem lokalnym kraju, w którym lokalizuje oddziały (mam nadzieję, że jest czytelne). Drugie pytanie: tak i to jest oczywiste i wynika z podpisanej umowy. Trzecie pytanie: oczywiście, że nie. Tej pewności nie da Ci nikt, nigdy i nigdzie (vide w zgodzie z prawem lokalnym). Kolejne pytanie: nic lub stracisz wszystko. Choć prawdę mówiąc, są to dywagacje trochę "dziecinne". Równie dobrze można zapytać: a co by się stało, gdyby w Polsce pozwolono zatłuc każdego, kto zaczyna zdanie od 'A co się stanie w chwili…'. I zapewniam, że to nie jest złośliwość z mojej strony. 😉

  3. @Bartek: Jeśli tylko znajdzie się chwila czasu to na pewno. Obawiam się tylko, że najwcześniej będzie to po MTS 2011.

  4. @Paweł: A propos informacji do @Amandi – w wypadku Microsoft wskazujesz w którym DataCenter mają być uruchamiane Twoje aplikacje (i przechowywane dane). W wypadku Polski będzie to Dublin i Amsterdam zapewne (jako centrum zapasowe). Ale fakt jest to pewne ryzyko w wypadku może innych rozwiązań.

    A jeśli chodzi o "barierę wyjścia" – pewnie nikt nie kalkulował jeszcze tego, ale tak jak pisałem. Aplikacje pisane na chmurze Microsoft (w .NET przy wykorzystaniu SQL Azure) powinny bez większego problemu dać się przenieść do tradycyjnego środowiska. Ale postaram się sprawdzic czy już jakiś takich dokumentów Microsoft nie przygotował.

  5. Paweł Goleń says:

    To ja mam temat do rozważań odnośnie chmury, przy czym nie do końca specyficzny dla chmury Microsoftu. Zamknę go w jednym słowie: compliance. A teraz trochę rozszerzę – firma oferująca chmurę (zakładam, że korzystamy z dostawcy, nie budujemy własnej) musi działać w zgodzie z przepisami prawa. Dobrym pytaniem byłoby "którego prawa". Czy moje dane są równie dobrze chronione, jeśli aktualnie w tej chwili znajdują się w Polsce, USA czy, przykładowo, Chinach? Czy mogę mieć pewność, że w jakimś kraju, w którym działa "część chmury" i moje dane przez przypadek tam zawędrują, nie zostanie uchwalone prawo, które potencjalnie da dostęp do nich "uprawnionym organom"? Oczywiście wszystko w imię "obrony demokracji, wolności i praw obywatelskich"… A co się stanie w chwili, gdy takie prawo rzeczywiście zostanie uchwalone? Jaka będzie "bariera wyjścia" z chmury, która nagle przestała oferować akceptowalny dla nas poziom bezpieczeństwa?

  6. Paweł Goleń says:

    @Amandi: Pytanie "którego kraju" dotyczyło przede wszystkim danej chwili. Ponownie – abstrahując od konkretnej implementacji chmury, zasoby do realizacji "naszej części usług" mogą być dobierane dynamicznie. Może być tak, że w jednej chwili dane są przetwarzane i przechowywane w innym miejscu niż chwilę wcześniej podlegając pod inne prawo lokalne. W niektórych implementacjach jest możliwość wskazania gdzie one mają być, co jest pewnym sposobem ograniczenia ryzyka, o którym piszę.

    Po drugie absolutnie nie mogę się z Tobą zgodzić odnośnie "dziecinności" dywagacji "co się stanie, jeżeli…". Polecam dokument "Cloud Computing Risk Assessment" (http://www.enisa.europa.eu/…/cloud-computing-risk-assessment), w tym kontekście rozdział LEGAL RISKS, a w nim ryzyko RISK FROM CHANGES OF JURISDICTION. Decydując się na korzystanie z szeroko pojętej chmury trzeba być świadomym tego, co może pójść nie tak, z jakim prawdopodobieństwem coś może pójść nie tak i co się stanie, jeśli coś pójdzie nie tak.

    @Mariusz: Przez "barierę wyjścia" miałem na myśli nakłady potrzebne na stworzenie "czegoś", co będzie działać dokładnie tak samo, jak nasza "aplikacja w chmurze", jeśli okaże się, że nagle z tej aplikacji w chmurze korzystać z jakiegoś powodu nie możemy. Obejmuje to w zasadzie wszystkie elementy, które wymieniłeś.

  7. adam says:

    Dzieki Mariusz za ten interesujacy artykul. Na pewno bylbym w przyszlosci zainteresowany artykulem na temat SLA. Szczegolnie co sie stanie jezeli gwarancje nie zostana dotrzymane ? Jezeli Azure nie bedzie dzialac przez 24h to dostane dodatkowe 24h za darmo czy cos bardziej konkretnego.

    Rozumiem, ze uptime jest tak naprawde gwarantowany przez reputacje firmy jak podkresliles w artykule, ale nawet najwiekszym sie zdazaja wpadki. I jako IT manager w takiej sytuacji musze swoim szefom przedstawic, ze SLA oferowane przez dostawce chmury cos znaczy (w zakresie rekompensaty).

    Co to znaczy ze Azure jest oferowane w Polsce ? SLA gwarantuje Microsoft Polska ? Service endpoints ida przez polskie serwery ?

    Trzecia sprawa, w jaki sposob mozna skorzystac z Azure za darmo, jakie programy oferuje tzw. free tier, 750 pierwszych godzin za darmo etc. MSDN ? Bizspark ? cos jeszcze ? co z tego jest dostepne w Polsce ?

    Czwarta sprawa, czy jezeli mam problem z Azure, mam do kogo przedzwonic ? Czy pomoc jest w jezyku polskim ? Czy dodatkowo kosztuje ?

  8. Slawek says:

    Fundusz Gwarancyjny zapewnia zwrot pieniędzy do określonej kwoty.

    Na tej samej zasadzie firmy (w tym MS) dbają o klienta od pewnej kwoty.

    Dla użytkowników indywidualnych MS o ile w ogóle udzieli odpowiedzi będzie ona brzmiała typu: nie możemy, nie nasza wina. Jeśli ani jedno ani drugie nie jest wiarygodne to się wszystkie pisma pod ziemię zapadną.

  9. Bartek says:

    Czy będą kolejne części cyklu o bezpieczeństwie chmur?

Skip to main content