- Cloud Computing hrozby-

Název

Obrázek

Popis

Fyzické zabezpečení datových středisek

Jak už bylo výše zmíněno, cloudové služby přináší konec důležitého bezpečnostního prvku ochrany dat, tedy možnost zabránit fyzickému přístupu k datům jako takovým. To ovšem není úplně pravda, respektive odpovědnost za znemožnění přístupu potencionálních účastníků k diskům s daty byla „pouze“ přenesena z firem na poskytovatele cloudových služeb. Zajištění adekvátní ostrahy datových středisek proti vloupání a zcizení dat je tak jedním z bezpečnostních rizik, které budou muset poskytovatelé cloudových služeb řešit.Samozřejmě, fyzické přepadení datového centra bude až pravděpodobně poslední možností potencionálních útočníků. Mnohem „jednodušší“ je pokusit se k datům dostat přes internet, tedy překonáním virtuálních bezpečnostních zábran. Právě se zajištěním jejich nejvyšší kvality jsou spojeny všechny ostatní bezpečnostní otázky.

Přenos dat

Pravděpodobně nejkritičtější otázka ohledne bezpečnosti cloudových služeb se týká přenosu dat. Aby měl přechod na cloud vůbec smysl, musí komunikace mezi hostovanými službami a jejich uživateli probíhat co nejrychleji. Jakmile by uživatelé na odezvu na doslova každé kliknutí museli čekat až několik vteřin, cloud by zcela ztratil smysl. Právě skloubení rychlé odezvy systému a kvalitního zabezpečení přitom představuje poměrně velký problém.Zabezpečení přenášených dat navíc musí být realizováno nejen mezi pracovními stanicemi, respektive tenkými klienty a servery poskytovatele, ale také mezi servery a širokou paletou mobilních zařízení, jako jsou smartphony, nebo tablety. Vzhledem k jejich stále rostoucí zvyšující se oblíbenosti a růstu prodejů jsou to právě mobilní zařízení, jejichž otázka ve spojení s cloudem neustále nabývá na významu.

Neoprávněné získání přístupu k uživatelskému účtu

Phishing, key loggery, nasazení exploitů využívajících bezpečnostních chyb, vyzrazení nebo ztráta přihlašovacích údajů, to vše může vést k získání částečné, nebo úplné kontroly nad uživatelským, případně administrátorským účtem. Útočník v takovém případě získává přístup k datům, možnost jejich úprav, zasílání podvržených zpráv poškozujících dobré jméno oprávněného uživatele, umístění malware na webové stránky, případně může zneužít výpočetní výkon k provozování botnetů a šíření virů.

DoS útoky na cloudovou infrastrukturu

DoS útoky jsou evergreenem internetové bezpečnosti. Ačkoliv je tento útok znám řadu let, skutečnost, že je stále efektivní ukazuje, jak slabě jsou některé (nejen) cloudové služby zabezpečeny. Pro základní kategorizaci lze tyto útoky rozdělit na DoS (Denial of Service) a DDoS (Distributed Denial of Service). Rozdíl je v tom, že při DoS je zapojen pouze jeden stroj/útočník, přičemž při DDoS to mohou být jednotky až statisíce počítačů. Principem DoS útoku je znepřístupnění služeb jakýmkoliv způsobem. Možností je celá řada. Od malé chyby v aplikaci, která má za následek zamrznutí systému po té, co útočník zašle určitou sekvenci znaků, až po zahlcení požadavků na komunikaci se serverem, kdy dojde k překročení limitu systému, síťové karty, aplikace nebo systémových prostředku (CPU, paměť, IO operace apod).

Neznalost

Neznalost a nedostatek informací vede k chybným závěrům a chybné závěry vyvolávají strach. Častým argumentem je rovněž výpadek internetu, kdy bude celá firma paralyzována. Je to podobné jako v případě výpadku elektrické energie. Když nebude k dispozici záložní elektrický generátor, chod IT celé firmy se zastaví. Pokud je tedy naše podnikání natolik závislé na stabilní internetové konektivitě, pak je více než prozřetelné vybavit objekt záložním internetovým připojením.

Interní směrnice a pokyny

Je neuvěřitelné, jaký problém může představovat změna směrnic, které si firma sama napsala. Častým důvodem bývá vnitrofiremní lobby, které vůbec nebere na zřetel to, co je pro firmu skutečně výhodnější a ekonomičtější. Taková směrnice se pak odvolává na všeobecně zažitý fakt, že za účelem zajištění bezpečnosti musí být všechna data na lokálním hardware. Přitom např. vůbec nebere v úvahu skutečnost, že stávající HW infrastruktura je natolik zastaralá, že tolikrát zdůrazňovaná bezpečnost je přinejmenším sporná.

Ztráta vlivu

Velmi často se také za argumentem bezpečnosti skrývá obava managementu nebo některých zaměstnanců, že přestanou kontrolovat část procesu, který je činní nepostradatelnými. Zprůhlednění nebo zjednodušení není vždy vítáno a ani argument úspory nákladů se nemusí setkat s pochopením. Někdy je ovšem problém mnohem prostší - ne všichni mají rádi změnu :-)

PRIVILEGED USER ACCESS

Externě outsourcované služby v oblasti zpracování citlivých dat se vymykají kontrolám, které za normálních okolností IT oddělení využívají u interních in-house programů. Proto je nutné zjistit si o lidech, kteří budou spravovat vaše data maximum informací, včetně těch, které se týkají výběru konkrétních administrátorů a kontroly jejich přístupu k vašim datům.

REGULATORY COMPLIANCEZákazníci jsou ve finále vždy zodpovědní za bezpečnost a úplnost svých vlastních dat, byť by byla ve správě poskytovatelů služeb. Spolehliví poskytovatelé služeb jsou podrobováni externím auditům a nepochybně se nebudou bránit prokázat svou schopnost data zabezpečit. Naproti tomu těm poskytovatelům, kteří se kontrolám auditu brání, by se firmy měly raději obloukem vyhnout.
DATA LOCATIONPři využití cloud platformy nebudete vědět, kde se vaše data nacházejí – nejspíš nebudete znát ani zemi, v které jsou uložena. Gartner proto radí, abyste si od svého poskytovatele vymohli závazek k ukládání a zpracovávání dat pod jurisdikcí konkrétní země, a smluvně se dohodli i na dodržování místních požadavků uchování důvěrných informací klientů.
DATA SEGREGATIONFiremní data se v cloudu obvykle nacházejí ve sdíleném prostředí ve společnosti dat od ostatních zákazníků. Šifrování je efektivní, ale není to všelék. Podle Gartnera navíc někdy můžou šifrovací selhání data úplně znehodnotit, a i normální šifrování může zkomplikovat dostupnost. Cloud provider by měl tedy firmě poskytnout důkaz toho, že šifrovací protokoly byly navrženy a testovány zkušenými profesionály.
RECOVERYVáš cloud poskytovatel by vám měl dát vědět, co se s vašimi daty a službami stane v případě nějaké nehody. Podle Gartner jsou totiž řešení postrádající schopnost replikace dat a aplikací vystavena ohromnému riziku selhání. Ověřte si proto, zda je váš provider schopen provést kompletní obnovu a jak dlouho by případně trvala.
INVESTIGATIVE SUPPORTPátrat po nežádoucích či ilegálních aktivitách může být v cloud computingu nemožné, varuje Gartner. Protože se zápisy a data od mnoha různých zákazníků často nacházejí na společném místě, a nebo jsou hostována napříč několika měnícími se provozovately, je velmi obtížné cloud služby prověřovat. Firmy by tedy od svých cloud providerů měly vyžadovat podporu konkrétních typů šetření, včetně předložení důkazů o tom, že poskytovatel má s poskytováním tohoto typu služeb zkušenosti.
LONG-TERM VIABILITYUjistěte se, že váš cloud poskytovatel není v ohrožení bankrotu ani převzetí od jiné firmy. I když se takový scénář může zdát nepravděpodobný, je dobré vědět, že i v takovém případě budou vaše data dostupná. Gartner radí ověřit si u potenciálních dodavatelů, zda by byli v tomto případě schopni získat data zpět a zda by byla dostupná ve formátu, který lze importovat do replikované aplikace.