Czym jest bezpieczeństwo chmury?

Bezpieczeństwo chmury może wydawać się trudne do osiągnięcia, ale w końcu cloud to po prostu serwery, routery i przełączniki będące w posiadaniu innej organizacji. Istnieje wiele sposobów na ochronę firmy i zapewniania bezpieczeństwa również z jej strony. Można chronić swoją chmurę i jednocześnie korzystać ze wszystkich jej zalet.

Zanim przejdziemy do omówienia metod zabezpieczania architektur chmurowych, przyjrzyjmy się strukturze chmury. Dzisiejsze środowiska chmurowe oferują wiele opcji do wyboru. Wyróżnia się trzy modele usług i cztery modele wdrażania. Zostały one zdefiniowane przez National Institute of Standards and Technology (NIST) w dokumencie SP 800-145.

Modele usług:

• Infrastruktura jako usługa (IaaS) — umożliwia firmie budowę własnego wirtualnego centrum danych (vDC).
• Platforma jako usługa (PaaS) — zapewnia wiele opcji umożliwiających klientowi dostarczanie, wdrażania i tworzenie oprogramowania.
• Oprogramowanie jako usługa (SaaS) — klient może korzystać z oprogramowania bez potrzeby posiadania komputera lub serwera do jego budowy. Do przykładów tego typu rozwiązań należą Microsoft 365 (wcześniej Office 365) i Gmail. Klient potrzebuje tylko komputera, tabletu lub telefonu, aby uzyskać dostęp do oprogramowania przez internet.

Zamiast suchych terminów stosowanych przez NIST firmy stosują wiele różnego rodzaju własnych określeń do opisu swoich usług, takich jak DRaaS (odzyskiwanie sprawności po poważnej awarii), HSMaaS (moduł bezpieczeństwa sprzętu), DBaaS (baza danych) czy XaaS (wszystko jako usługa). W zależności od strategii marketingowej firmy czasami trudno stwierdzić, czy dany produkt jest typu SaaS czy PaaS, ale w ostatecznym rozrachunku najważniejsze jest przestrzeganie zobowiązań umownych. Dostawcy usług chmurowych rozszerzają swoje umowy dotyczące zabezpieczeń o takie usługi, jak HSMaaS (Hardware Security Module) czy DRMaaS (Digital Rights Management).

Cztery modele wdrażania:

• Publiczny — usługa dostępna do zakupu dla każdego. Przykładami takich usług są Amazon Web Services (AWS), Microsoft Azure i Google Cloud Platform (GCP).
• Prywatny — stworzony dla jednej firmy, a sprzęt nie jest udostępniany nikomu innemu. Model prywatny może być zbudowany na bazie chmury publicznej lub we własnym centrum danych klienta, ale może też być realizowany przez firmę specjalizującą się w dostarczaniu chmur prywatnych, czyli przez dostawcę usług zarządzanych.
• Społecznościowy — ten model opiera się na koncepcji współdzielenia. We wspólnym władaniu kilku firm mogą być dane lub usługa. Przykładem takiego rozwiązania są chmury wykorzystywane przez kilka organów państwowych.
• Hybrydowy — ten model łączy przynajmniej dwa z wcześniej wymienionych: publiczny i prywatny, prywatny i społecznościowy lub publiczny i społecznościowy. Możliwe jest też połączenie wszystkich trzech.

Architektura chmurowa to organizacja komponentów i podkomponentów w logiczną strukturę, która z założenia powinna być także efektywna i wydajna. Powinna ona umożliwiać tym komponentom realizację określonego celu, wzmacniając ich mocne strony i ograniczając znaczenie słabych. Podstawowe składniki chmury to sieć, routery, przełączniki, serwery i inne dodatki, takie jak zapory, czy systemy wykrywania włamań. Chmura zawiera także wszystkie elementy wchodzące w skład serwerów, czyli hypervisor, maszyny wirtualne i oprogramowanie. Ponadto architektura chmurowa musi mieć dostawcę, architekta i brokera do tworzenia, zarządzania oraz sprzedaży i kupna usług chmurowych.

Wiele pojęć ze świata architektury chmurowej to stare terminy z dodatkiem słowa „chmura” w odpowiedniej formie, np. konsument chmury. Jeśli rozumiesz pojęcie konsumenta, to ten nowy termin też powinien być dla Ciebie jasny. Oznacza konsumenta usług chmurowych w odróżnieniu od np. usług telefonicznych.

Podstawowa terminologia zawarta w normie NIST SP 500-299 zawiera m.in. następujące pojęcia:

• Konsument chmury — osoba lub firma korzystająca z usług chmurowych świadczonych przez dostawcę takich usług.
• Dostawca chmury — osoba lub firma posiadająca zasoby pozwalające jej na świadczenie wymaganego przez klienta zakresu usług. Zasoby te obejmują technologię umożliwiającą tworzenie serwerów i maszyn wirtualnych, przechowywanie danych itd., cokolwiek zażyczy sobie klient.
• Broker chmury — osoba lub firma zajmująca się zarządzaniem kwestiami związanymi z dostarczaniem, użytkowaniem i wydajnością chmury na potrzeby klienta oraz negocjująca w jego imieniu relacje z dostawcą.
• Operator chmury — operator to dostawca usług łączący firmę z chmurą, np. dostawca usług internetowych. W przypadku przedsiębiorstw jest to zazwyczaj połączenie typu multiprotocol label switching (MPLS).
• Audytor chmury — osoba lub firma przeprowadzająca audyt środowiska dostawcy chmury. Audyty obejmują kontrolę przestrzegania zasad zachowania prywatności i bezpieczeństwa.

Podstawę bezpieczeństwa chmury stanowi jej architektura systemu bezpieczeństwa zawierająca podstawowe elementy. Do tradycyjnych elementów zabezpieczeń zaliczają się zapory (FW), ochrona przed złośliwym oprogramowaniem oraz systemy zapobiegania włamaniom (IDS). Do zaprojektowania bezpiecznych struktur w chmurze potrzebni są również audytorzy chmury, architekci i inżynierowie zabezpieczeń.

Innymi słowy, bezpieczeństwo architektury chmurowej nie ogranicza się jedynie do sprzętu lub oprogramowania.

Projektowanie bezpiecznej architektury zaczyna się od zarządzania ryzykiem. Wiedza na temat tego, co może pójść nie tak i jaki wpływ może to mieć na firmę, ułatwia podejmowanie odpowiedzialnych decyzji. Trzy krytyczne obszary wymagające dokładnego omówienia to ciągłość działalności firmy, łańcuch dostaw i bezpieczeństwo fizyczne.

Co się stanie z Twoją firmą, jeśli u dostawcy chmury zdarzy się awaria? Przeniesienie serwerów, usług i danych do chmury nie zwalnia z obowiązku przygotowania planu awaryjnego pozwalającego na zachowanie ciągłości działalności działania biznesu i ewentualnego wznowienie jej po awarii.

Co by było, gdyby każdy mógł wejść do centrum danych dostawcy chmury? W przypadku wielkiej trójki — AWS, GCP i Azure — nie byłoby to łatwe i o to właśnie chodzi. Dostawcy tych usług dokonali bardzo dużych inwestycji w bezpieczeństwo centrów danych. Co z innymi dostawcami usług chmurowych? Poproś dostawcę usług chmurowych o prezentację potencjału centrum danych, a także o udział w audycie. Sprawdź, co odpowie. Czy dostawca będzie skłonny do tego, aby pozwolić Ci obejrzeć centrum danych następnego dnia? Jeśli dostanie się do centrum danych nie wymaga zbyt wiele zachodu, być może należy przemyśleć korzystanie z usług danego dostawcy.

Mniejsi dostawcy usług chmurowych mogą nie mieć fizycznego centrum danych. Najczęściej tylko odsprzedają usługi wielkich dostawców. To nawet zaleta ukazująca piękno rozwiązań chmurowych. Jeśli relacja między dostawcami usług chmurowych jest nieznana, mogą pojawić się dodatkowe problemy związane z przepisami prawa, regulacjami i umowami. Zadaj proste pytanie: Gdzie znajdują się moje dane? Jeśli z dostawcą usług chmurowych trudno się skontaktować, może to być trudne do określenia. Może to też mieć konsekwencje prawne, które wynikają na przykład z RODO.

Wśród elementów składających się na bezpieczną architekturę chmurową mogą znajdować się także usługi zabezpieczeń chmury. Można na przykład wykupić usługi zapobiegania wyciekom danych (DLPaaS). W zachowaniu bezpieczeństwa pomagają też inne narzędzia, np. do skanowania, które wyszukują informacje umożliwiające osobistą identyfikację w celu ich odpowiedniego zabezpieczenia. Zarządzanie bezpieczeństwem chmury jest niezbędne do tego, aby zapewnić jej prawidłowe działanie.

Firmy muszą przestrzegać różnych przepisów prawa, regulacji i postanowień umów. Kiedy wyślesz dane i usługi do kogoś innego, przeprowadzanie audytów zgodności z tymi wszystkimi wymogami może się skomplikować.

Zadaj sobie pytanie: „Jakie problemy mogą mnie dotyczyć?”. Pomoże to określić pytania, jakie należy zadać dostawcy chmury. Jeśli chodzi o kwestie prawne, firmy muszą przestrzegać europejskiego rozporządzenia RODO, ustawy Sarbanes-Oxley regulującej ochronę danych finansowych w USA, amerykańskiej ustawy dotyczącej przenośności informacji i odpowiedzialności za ubezpieczenie zdrowotne (HIPAA) i innych regulacji. Ponadto dane kart kredytowych muszą być chronione zgodnie z normą Payment Card Industry — Data Security Standard (PCI-DSS).

Po zidentyfikowaniu podmiotu zgodności z przepisami można podjąć wiele działań, z których jednym jest przeprowadzenie audytu. Audyt należy przeprowadzić standardową metodą i przy wykorzystaniu sprawdzonej metodyki, np. zgodnie z normą SSAE 18 (Statement of Standards on Attestation Agreements nr 18) Amerykańskiego Instytutu Biegłych Rewidentów (American Institute of Certified Public Accountants). Raport z audytu może ukazywać potencjalne problemy ze zgodnością. Wybierając dostawcę chmury, należy przejrzeć takie raporty, aby poznać poziom zabezpieczeń centrum danych i wiedzieć, czego można się spodziewać.

Najkrócej mówiąc, w modelu IaC infrastrukturę traktuje się jako kod, stosując taką samą logikę jak w DevOps, zamiast konfigurować każdy router, serwer, przełącznik i program osobno. Wykorzystanie zalet DevOps do tworzenia infrastruktury i zarządzania nią dałoby wiele korzyści. W chmurze infrastruktura staje się wirtualna, tzn. ma postać kodu, a nie fizycznego sprzętu. Router to tylko program działający na określonym lub specjalnie przygotowanym komputerze. Po usunięciu sprzętu pozostaje tylko kod.

Teraz zastosujmy logikę do procesu tworzenia i wdrażania tego kodu. Narzędzia automatyzacji ułatwiają kontrolę nad metodami wdrażania oprogramowania i zarządzania nim. Zarządzanie infrastrukturą wirtualną przy pomocy tych narzędzi może ułatwić nam kontrolowane wdrażanie chmur i zarządzanie nimi.