Bezpieczeństwo chmury: Formalna ochrona

  • Article

Jak obiecałem w poprzednim wpisie dot. bezpieczeństwa chmury - spróbuję się pomału zagłębiać w kolejne elementy chmury i opowiedzieć Wam więcej o tym, co Microsoft zrobił, żeby chmura mogła być określana jako bezpieczna.

Zanim zejdę do którejkolwiek warstwy zabezpieczeń, chciałbym w dzisiejszym poście zająć się kwestią formalnej ochrony ze strony Microsoft. Jest to o tyle ważne, że może nam rozwiązać kilka kwestii i odpowiedzieć na kilka pytań, które bardzo często słyszałem do tej pory.

Pewnie zastanawiacie sie jak formalne sprawy mogą gwarantować Wam bezpieczeństwo Waszych danych. I dlaczego niby tak ważna jest jakaś tam umowa podpisana z Microsoft albo standardy, które Microsoft spełnia w tym zakresie.

Zacznijmy od przykładu banku...

Zacznę więc trochę zaczepnie - gdybym zapytał ilu moich czytelników ma konto w banku - to pewnie twierdząco odpowiedziałoby 99% osób (nie ma chyba wśród Was osób, które korzystają z konta rodziców?). Uznajemy to za coś oczywistego i naturalnego.

I zapewne nikt już na dzień dzisiejszy nie zastanawia się czy Wasze pieniądze są bezpieczne w banku. Ale jakbyście chcieli zrobić ćwiczenie myślowe i odpowiedzieć sobie na pytanie "Dlaczego moje pieniądze są bezpieczne w banku?" to pewnie zaraz pojawiłoby się Wam w głowie kilka pytań pomocniczych:

  • Czy mam kontrolę nad systemem / aplikacją, która działa w banku i obsługuje moje pieniądze?
  • Czy mam kontrolę nad fizyczną obecnością moich pieniędzy (czy mogę pójść do banku żeby mi pokazali na półce w sejfie, które pieniądze są moje)?
  • Czy mam kontrolę nad tym co dzieje się z moimi danymi (historią rachunku czy danymi w bazie na mój temat)?
  • Czy mam kontrolę nad tym, że pracownik banku nie zrobi przelewu z mojego konta na swoje na Kajmanach?

Pewnie na wszystkie pytania odpowiedź będzie "NIE". Dlaczego więc uważacie, że Wasze pieniądze są bezpieczne??? Skoro nie macie kontroli nad systemem, aplikacją, fizycznym położeniem pieniędzy, danymi o Was, czy pracownikami banku?

Co więc nas chroni formalnie?

Pierwsze co Was chroni w sytuacji banku (czy chmury) to umowa między Wami a dostawcą . To w niej zawarte są informacje o tym co dzieje się z Waszymi danymi, kto i w jaki sposób może nimi dysponować, co się stanie jak nagle stracicie dostęp do danych/aplikacji, itp.

Są też pewne rzeczy, które wynikają bardziej z prawa niż samej umowy - to, że pracownik zdefrauduje pieniądze czy wykradnie dane, będzie oznaczało, że poniesie tego konsekwencje (o tym będzie ciut więcej w kolejnym poście), ale Wy również będziecie mogli dochodzić swoich praw w sądzie (jeśli dostawca sam nie zaproponuje satysfakcjonującego Was rozwiązania).

Jest też coś co nazywa sie reputacją . Czy to w wypadku banku czy firmy takiej jak Microsoft, firmy takie nie mogą sobie pozwolić na to, żeby ktoś stracił dane, stracił pieniądze lub nawet i firmę tylko z tego powodu, że coś nie zadziała lub ktoś zrobi krzywdę chmurze. W takiej sytuacji podejrzewam, że wszystkie strony będą dążyły do porozumienia.

Żeby być już całkiem fair w stosunku do mojego porównania z bankiem... To w wypadku banków w gre wchodzi tez oczywiście Bankowy Fundusz Gwarancyjny, ale on też gwarantuje Wam odzyskanie straconych pieniędzy tylko do określonej kwoty i przy spełnieniu określonych warunków brzegowych. Tu takiego funduszy w wypadków dostawców chmur nie ma (poza gwarancjami samego dostawcy).

Standardy i certyfikaty

Ale wracając trochę do konkretów w sprawie chmury. W wypadku chmury Microsoft postawiono naprawdę duży nacisk na spełnienie pewnych uznanych, światowych standardów i uzyskanie odpowiednich certyfikatów.

Gwarantują one kilka rzeczy w zależności od danej certyfikacji/normy.

ISO/IEC 27001:2005

DataCenter Microsoft spełniają m.in. bardzo znaną normę ISO/IEC 27001:2005. Standaryzuje ona systemy zarządzania bezpieczeństwem w danej firmie/organizacji.

W ramach tej normy określono 11 obszarów w których firma powinna spełnić określone kryteria. Obszary te to m.in.: Polityka bezpieczeństwa, Organizacja bezpieczeństwa informacji, Bezpieczeństwo fizyczne i środowiskowe, Zarządzanie systemami i sieciami, Kontrola dostępu, Zarządzanie incydentami związanymi z bezpieczeństwem informacji, Zgodność z wymaganiami prawnymi i własnymi standardami.

Dzięki tej certyfikacji wiemy, że to co dzieje się wewnątrz takich DataCenter ma ściśle określone zachowania i procedury. I na bezpieczeństwo formalne (i praktyczne) położony jest naprawdę duży nacisk.

SAS 70 (Type I & Type II)

O ile ISO 27001 jest dosyć dobrze znane i rozpoznawane w Polsce i Europie to juz SAS 70 trochę mniej (patrząc na to, że tylko 2 osoby na mojej 300 osobowej sesji na MTS kojarzyły co to jest). Jest to pewien rodzaj raportu po audycie, który wykonywany jest na infrastrukturze danej firmy (w tym wypadku Microsoft) przez zewnętrzne podmioty.

Założenia takiego raportu powstały po tym jak jakiś czas temu wiele firm chciało skorzystać z outsourcingu w IT (oraz usługach finansowych). Firmy te chciały być pewne, że ich dane będą przetwarzane w odpowiedni sposób i że firma, która będzie się nimi opiekowała będzie robiła to dobrze.

Raport SAS 70 zawiera opis tego co działa w środku takiej firmy pod kątem kontroli, zarządzania ryzykiem, itp. Pokazuje on klientom takich firm jak wygląda jakość usług outsourcingowych świadczonych przez dostawcę.

Raport SAS 70 ma dwa typy:

  • Type I - określa jak wyglądają te wszystkie kwestie powyżej w danym punkcie czasu
  • Type II - wymaga obecności audytora przez określony czas (najczęściej pół roku) w siedzibie takiej firmy i zbadanie jak reaguje ona na różne sytuacje opisane w audycie

Microsoft regularnie zamawia takie audyty i jest w posiadaniu oczywiście raportów obu typów.

Inne

Dodatkowo Microsoft (DataCenter) spełniają wymagania innych ważnych dokumentów m.in.:

  • SOX (Sarbanes-Oxley Act)
    Ustawa w USA, która określa dosyć rygorystyczne zasady działania rynków finansowych (w tym banków) - w tym kontrolę firm audytorskich, które robią audyty dla firm. Jeśli dana firma ma spełniać wymogi ustawy SOX to może być pewna, że w DataCenter Microsoft ta ustawa jest przestrzegana.
  • HIPAA (Health Insurance Portability and Accountability Act)
    Kolejna ustawa dla rynku USA, tym razem dotycząca rynku usług medycznych. Ona również określa pewne zachowania (w tym prywatność i przetwarzanie danych), według których firmy powinny funkcjonować. I tu ponownie - jeśli firma ma spełniać wymogi HIPAA, to w Microsoftowej chmurze będzie to miała zapewnione.
  • PCI DSS (Payment Card Industry Data Security Standard)
    I tym razem jeszcze standardy dotyczące działań związanych z kartami kredytowymi i wszystkim co z tym związane. Wliczamy to definicje zabezpieczeń sieci, zabezpieczeń danych, zabezpieczeń dostępu, itp. Tu nie będzie niespodzianką jak powiem, że DC Microsoft te wymagania spełniają.
  • Safe Harbor
    Safe Harbor Principles w dużym skrócie mają zapobiegać wyciekowi informacji lub ich utracie. Firmy, które działają w Europie nie mogą przesyłać danych osobowych poza strefę UE, chyba, że spełnią pewne określone poziomy bezpieczeństwa. Spełnienie tych wymagań jest potwierdzanie właśnie otrzymaniem certyfikacji Safe Harbor. Na ich podstawie dane z UE mogą (ale nie muszą) być przechowywane poza UE na zasadach określonych w naszym prawie.

Mimo, że część dokumentów może mniej dotyczy polskiego rynku, ale z drugiej strony są bardzo rygorystycznymi ustawami, których spełnienie nie jest takie proste. Jednak Microsoft robi wszystko, aby wymogi takich ustaw były spełniane.

SLA (Service Level Agreement)

SLA czyli Service Level Agreement określa poziomy dostępności danej usługi. Microsoft w zależności od usługi (lub nawet głębiej, pojedynczych elementów) określa różne wartości SLA.

Są one mierzone w procentowej ilości czasu kiedy serwis jest niedostępny. Jeśli serwis jest niedostepny dłużej niż przewiduje to SLA to Microsoft w takiej sytuacji zwraca pieniędze za brak dostępu.

Ważnym elementem jest to, że niedostępność mierzona jest na poziomie pojedyńczych minut a nie ich wielokrotności jak np. u konkurencji. W konkurencyjnej firmie SLA przestaje być spełnione, jeśli przerwa w dostępnie do danych trwa dłużej niż 10 minut. Jeśli jest to krótsza przerwa, to może ich być nieskończenie wiele w ciągu roku, a nadal SLA będzie dotrzymane.

Generalnie temat SLA spokojnie nadałby się na osobny post i jeśli starczy mi kiedyś sił i czasu to napiszę więcej na ten temat.

SDL (Security Development Lifecycle)

Security Development Lifecycle to standard stworzony przez Microsoft a dotyczący pewnych ściśle określonych reguł tworzenia oprogramowania tak, aby można było powiedzieć, że zrobiono wszystko aby było ono bezpieczne.

I tu oczywiście całe oprogramowanie tworzone na potrzeby chmury jest również włączone do tego cyklu.

Podsumowanie

W kolejnych odcinkach cyklu opowiem Wam więcej o realnych zabezpieczeniach chmury (bo te były stricte formalne i umowne). Mam nadzieję, że cały cykl wyjaśni Wam kilka rzeczy. Ja z wielką chęcią dowiem się, czy treści Wam przekazywane są jasne i zrozumiałe, oraz czy dostarczają Wam odpowiedzi na Wasze pytania.

Koniecznie zostawcie więc Wasz komentarz! A ja zachęcam do dyskusji ze mną w komentarzach :)