Czym jest bezpieczeństwo chmury?

Bezpieczeństwo chmury może wydawać się czymś odległym. Chmurę tworzą serwery, routery i przełączniki będące w posiadaniu innej organizacji. Jednak każda firma ma wiele możliwości zapewnienia bezpieczeństwa także ze swojej strony. Zapewnianie bezpieczeństwa chmury przy jednoczesnym korzystaniu z wszystkich jej udogodnień.

Zanim przejdziemy do omówienia metod zabezpieczania architektur chmurowych, przyjrzymy się strukturze chmury. Dzisiejsze środowiska chmurowe oferują wiele opcji do wyboru. Wyróżnia się trzy modele usług i cztery modele wdrażania. Są one zdefiniowane w normie NIST SP 800-145.

Modele usług:

• Infrastruktura jako usługa (IaaS) — umożliwia firmie budowę własnego wirtualnego centrum danych (vDC).
• Platforma jako usługa (PaaS) — zapewnia wiele opcji umożliwiających klientowi dostarczanie, wdrażania i tworzenie oprogramowania.
• Oprogramowanie jako usługa (SaaS) — klient może korzystać z oprogramowania bez potrzeby posiadania komputera lub serwera do jego budowy. Do przykładów tego typu rozwiązań należą Microsoft 365 (wcześniej Office 365) i Gmail. Klient potrzebuje tylko komputera, tabletu lub telefonu, aby uzyskać dostęp do oprogramowania przez internet.

Zamiast suchych terminów stosowanych przez NIST firmy stosują wiele różnego rodzaju własnych określeń do opisu swoich usług, takich jak DRaaS (odzyskiwanie sprawności po poważnej awarii), HSMaaS (moduł bezpieczeństwa sprzętu), DBaaS (baza danych) czy XaaS (wszystko jako usługa). W zależności od strategii marketingowej firmy czasami trudno stwierdzić, czy dany produkt jest typu SaaS czy PaaS, ale w ostatecznym rozrachunku najważniejsze jest przestrzeganie zobowiązań umownych. Dostawcy usług chmurowych rozszerzają swoje umowy o zabezpieczenia w postaci usług, takich jak HSMaaS (Hardware Security Module) czy DRMaaS (Digital Rights Management).

Cztery modele wdrażania:

• Publiczny — usługa dostępna do zakupu dla każdego. Przykładami takich usług są Amazon Web Service (AWS), Microsoft Azure i Google Cloud Platform (GCP).
• Prywatny — usługa przeznaczona dla jednej firmy. Sam sprzęt nie jest współdzielony z żadnym innym podmiotem. Model prywatny może być zbudowany na bazie chmury publicznej lub we własnym centrum danych (DC) klienta ale może też być realizowany przez firmę specjalizującą się w dostarczaniu chmur prywatnych jako dostawca usług zarządzanych.
• Społecznościowy — ten model opiera się na koncepcji współdzielenia. We wspólnym władaniu kilku firm mogą być dane lub usługa. Przykładem takiego rozwiązania są chmury wykorzystywane przez kilka organów państwowych.
• Hybrydowy — ten model łączy przynajmniej dwa z wcześniej wymienionych: publiczny i prywatny, prywatny i społecznościowy lub publiczny i społecznościowy. Możliwe jest też połączenie wszystkich trzech.

Architektura chmurowa to organizacja komponentów i podkomponentów w logiczną strukturę, która z założenia powinna być także efektywna i wydajna. Powinna ona umożliwiać tym komponentom realizację określonego celu, wzmacniając ich mocne strony i ograniczając znaczenie słabych stron. Podstawowe składniki chmury to sieć, routery, przełączniki, serwery i inne dodatki, takie jak zapory, czy systemy wykrywania włamań. Oprócz nich chmura zawiera także wszystkie elementy znajdujące się na serwerach, czyli hipernadzorcę i maszyny wirtualne oraz oczywiście oprogramowanie. Ponadto architektura chmurowa musi mieć dostawcę, architekta i brokera do tworzenia, zarządzania oraz sprzedaży i kupna usług chmurowych.

Wiele pojęć ze świata architektury chmurowej to stare terminy z dodatkiem słowa „chmura” w odpowiedniej formie, np. konsument chmury. Jeśli rozumiesz pojęcie konsumenta, to ten nowy termin też jest dla Ciebie jasny. Oznacza konsumenta usług chmurowych w odróżnieniu od np. usług telefonicznych.

Podstawowa terminologia zawarta w normie NIST SP 500-299 zawiera m.in. następujące pojęcia:

• Konsument chmury — osoba lub firma korzystająca z usług chmurowych świadczonych przez dostawcę takich usług.
• Dostawca chmury — osoba lub firma posiadająca zasoby pozwalające jej na świadczenie wymaganego przez klienta zakresu usług. Zasoby te obejmują technologię umożliwiającą tworzenie serwerów i maszyn wirtualnych, przechowywanie danych itd., cokolwiek zażyczy sobie klient.
• Broker chmury — osoba lub firma zajmująca się kwestiami związanymi z dostawą, wykorzystaniem i działaniem chmury na rzecz klienta. Ponadto zadaniem brokera jest negocjacja warunków świadczenia usług przez dostawcę w imieniu klienta.
• Operator chmury — operator to dostawca usług łączący firmę z chmurą, np. dostawca usług internetowych. W przypadku firm najczęściej stosowane jest połączenie pod kontrolą protokołu MPLS.
• Audytor chmury — osoba lub firma przeprowadzająca audyt środowiska dostawcy chmury. Audyty obejmują kontrolę przestrzegania zasad zachowania prywatności i bezpieczeństwa.

Przeczytaj więcej na temat Architektury chmurowej.

Podstawę bezpieczeństwa chmury stanowi jej architektura systemu bezpieczeństwa zawierająca podstawowe elementy. Do tradycyjnych elementów zabezpieczeń zaliczają się zapory (FW), ochrona przed złośliwym oprogramowaniem oraz systemy zapobiegania włamaniom (IDS). Ponadto ważną rolę odgrywa praca specjalistów od projektowania bezpiecznej struktury, takich jak audytorzy, architekci zabezpieczeń i inżynierowie zabezpieczeń.

Innymi słowy, bezpieczeństwo architektury chmurowej zależy nie tylko od sprzętu lub oprogramowania.

Projektowanie bezpiecznej architektury zaczyna się od zarządzania ryzykiem. Wiedza na temat tego, co może pójść nie tak i jaki wpływ może to mieć na firmę, ułatwia podejmowanie odpowiedzialnych decyzji. Trzy krytyczne obszary wymagające dokładnego omówienia to ciągłość działalności firmy, łańcuch dostaw i bezpieczeństwo fizyczne.

Co się stanie z Twoją firmą, jeśli u dostawcy chmury zdarzy się awaria? Przeniesienie serwerów, usług i danych do chmury nie zwalnia nas z obowiązku przygotowania planu awaryjnego pozwalającego zachować ciągłość działalności i wznowienia działania po poważnej awarii.

Co by było, gdyby każdy mógł wejść do centrum danych dostawcy chmury? W przypadku wielkiej trójki — AWS, GCP i Azure — nie byłoby to łatwe, ale to inna historia. Właściciele tych usług poczynili bardzo duże inwestycje w bezpieczeństwo samych centrów danych. A co z innymi dostawcami? Zanim skorzystasz z usług któregokolwiek z nich, poproś o możliwość obejrzenia centrum danych i wzięcia udziału w audycie. Sprawdź, co Ci odpowie. Czy dostawca był skłonny pozwolić Ci obejrzeć swoje centrum danych następnego dnia? Jeśli wejście do centrum danych dostawcy nie sprawiło Ci trudności, to dobrze się zastanów, czy warto korzystać z jego usług.

Mniejsi dostawcy chmur prawdopodobnie w ogóle nie mają własnych fizycznych centrów danych. Najczęściej tylko odsprzedają usługi wielkich dostawców. Nie ma w tym nic złego. To nawet zaleta ukazująca piękno rozwiązań chmurowych. Jeśli nie wiadomo, jakie stosunki łączą dostawców chmur, mogą z tego wynikać dodatkowe problemy natury prawnej oraz związane z przestrzeganiem regulacji i warunków umów. Zadaj proste pytanie: Gdzie znajdują się moje dane? Jeśli usługa obejmuje wiele poziomów dostawców chmur, ta informacja może być trudna do ustalenia, co może pociągać za sobą konsekwencje prawne, na przykład w związku z europejskim rozporządzeniem o ochronie danych osobowych (RODO).

Wśród elementów składających się na bezpieczną architekturę chmurową mogą znajdować się także usługi zabezpieczeń chmury. Istnieje możliwość wzmocnienia zabezpieczeń przez zakup usług typu DLPaaS (ochrona przed wyciekami danych) lub użycie narzędzi wspomagających bezpieczeństwo, takich jak narzędzie skanujące w poszukiwaniu danych osobowych umożliwiających identyfikację. Zarządzanie bezpieczeństwem chmury jest niezbędne do tego, aby zapewnić jej prawidłowe działanie.

Firmy muszą przestrzegać różnych przepisów prawa, regulacji i postanowień umów. Kiedy wyślesz dane i usługi do kogoś innego, przeprowadzanie audytów zgodności z tymi wszystkimi wymogami może się skomplikować.

Dobrze jest odpowiedzieć sobie na następujące pytanie: Jakie są Twoje obawy? To pozwoli Ci określić pytania, jakie należy zadać dostawcy chmury. Jeśli chodzi o kwestie prawne, firmy muszą przestrzegać europejskiego rozporządzenia RODO, amerykańskiej ustawy regulującej praktyki finansowe SOX (Sarbanes-Oxley), amerykańskiej ustawy regulującej sprawy dotyczące ochrony zdrowia HIPAA i innych regulacji. Ponadto dane kart kredytowych muszą być chronione zgodnie z normą PCI-DSS (Payment Card Industry - Data Security Standard).

Po zidentyfikowaniu podmiotu zgodności z przepisami można podjąć wiele działań, z których jednym jest przeprowadzenie audytu. Audyt należy przeprowadzić standardową metodą i przy wykorzystaniu sprawdzonej metodyki, np. zgodnie z normą SSAE 18 (Statement of Standards on Attestation Agreements nr 18) Amerykańskiego Instytutu Biegłych Rewidentów (American Institute of Certified Public Accountants). Raport z audytu może ukazywać potencjalne problemy ze zgodnością. Wybierając dostawcę chmury, należy przejrzeć takie raporty, aby poznać poziom zabezpieczeń centrum danych i wiedzieć, czego można się spodziewać.

Przeczytaj więcej na temat Zgodności chmury z przepisami.

Najkrócej mówiąc w modelu IaC infrastrukturę traktuje się jako kod, stosując taką samą logikę jak w DevOps, zamiast konfigurować każdy router, serwer, przełącznik i program osobno. Wykorzystanie zalet DevOps do tworzenia infrastruktury i zarządzania nią dałoby wiele korzyści. W chmurze infrastruktura staje się wirtualna, tzn. ma postać kodu, a nie fizycznego sprzętu. Router to tylko program działający na określonym lub specjalnie przygotowanym komputerze. Po usunięciu sprzętu pozostaje tylko kod.

Teraz zastosujmy logikę do procesu tworzenia i wdrażania tego kodu. Narzędzia automatyzacji ułatwiają kontrolę nad metodami wdrażania oprogramowania i zarządzania nim. Zarządzanie infrastrukturą wirtualną przy pomocy tych narzędzi może ułatwić nam kontrolowane wdrażanie chmur i zarządzanie nimi.

Przeczytaj więcej na temat Infrastruktury jako kodu.