Obawy o bezpieczeństwo a cloud computing
Model cloud computing może całkowicie zmienić sposób, w jaki firmy wykorzystują nowe aplikacje i moc obliczeniową, ale z perspektywy bezpieczeństwa niesie ze sobą również nowe zagrożenia.
Cloud computing jest uważany przez osoby specjalizujące się w nowoczesnych technologiach za model rewolucyjny, jednocześnie jednak często bywa przedstawiany w nadmiernie skomplikowany sposób.
W celu uproszczenia można powiedzieć, że dobrym przykładem cloud computing jest usługa „Hotmail”. Koncepcja cloud computing w rzeczywistości sprowadza się do tego, że użytkownik łącząc się z centrum danych za pomocą swojego połączenia internetowego, uzyskuje dostęp do usługi online, w tym przypadku do elektronicznej poczty Hotmail.
W miarę tego, jak zaczęliśmy korzystać z internetu w bardziej zaawansowany sposób, a strony WWW stały się bardziej dynamiczne, pojęcie usługi online uległo redefinicji. Kiedyś używaliśmy sieci do wyszukiwania informacji, a obecnie wchodzimy z nią w interakcje. Usługi ewoluowały stając się samodzielnymi aplikacjami. Oferują obecnie funkcje w takiej samej postaci, jakiej przywykliśmy oczekiwać od komputerów osobistych.
Czy wiesz, że:
• w przypadku modelu cloud computing występują te same problemy z zaufaniem, jak w każdej innej usłudze technicznej, ale dodatkowo potęgowane są one z większą złożonością spowodowaną tym, że poruszamy się na wyższym poziomie abstrakcji;
• prawidłowo zaprojektowany i wdrożony model cloud computing może przynieść nowe, bardziej skalowalne strumienie mocy obliczeniowej;
• stowarzyszenie specjalistów ds. bezpieczeństwa The Jericho Forum opracowało model Cloud Cube, który wymienia kroki, jakie powinny przedsięwziąć firmy, zanim zdecydują się na usługi cloud computing;
• technologia bezpiecznego wyszukiwania i surfowania AVG LinkScanner® (http://linkscanner.avg.com/) może zastosować ponad 100 wskaźników potencjalnego zagrożenia do strony WWW
Wszystkie usługi cloud computing mają swe źródła w scentralizowanym centrum danych, po czym są dostarczane indywidualnym użytkownikom, a na poziomie zbiorczym - całej firmie. Ten korporacyjny szczebel drabiny komputerowej jest miejscem, w którym użylibyśmy terminu „oprogramowanie jako usługa” (Software-as-a-Service, SaaS).
Cloud computing bez zaufania to tylko nisko wisząca mgła
Jeśli usługi cloud computing są dostarczane (i co niezwykle ważne, również wdrażane) inteligentnie, mają pozytywny wpływ na przedsiębiorstwo, ponieważ mogą zapewnić rzeczywistą oszczędność kosztów wynikającą ze współdzielenia zasobów sprzętowych i programowych. Dodając do tego zwiększoną elastyczność, która pozwala działać efektywniej, kiedy popyt na usługi IT rośnie (albo zmniejsza się), jasno zobaczymy, że ten paradygmat przetwarzania danych ma do odegrania ważną rolę we współczesnych centrach danych na całym świecie.
Cloud computing wymaga jednak zaufania do dostawcy usług, który zarządza centrum danych. Bez zaufania nie można mówić o gwarancji bezpieczeństwa. Decydując się na inwestycję w rozwiązania chmurowe warto zastanowić się, jak dużo danych firma ujawni zewnętrznemu dostawcy.
Bruce Schneier, guru bezpieczeństwa, radzi, by bliżej przyjrzeć się kwestiom bezpieczeństwa związanym z przenoszeniem zasobów do chmury.
„Bezpieczeństwo IT opiera się na zaufaniu. Trzeba ufać producentowi procesora, sprzętu, systemu operacyjnego i oprogramowania, a także dostawcy usług internetowych” — stwierdza Schneier na swoim blogu (http://www.schneier.com/essay-274.html ) — „Każdy z tych elementów może narazić firmę na niebezpieczeństwo: złamać zabezpieczenia systemowe, uszkodzić dane, pozwolić przeprowadzającemu atak na dostęp do systemów”.
„Kiedy komputer działa w naszej sieci, możemy chronić go za pomocą innych środków, takich jak zapory sieciowe i systemy wykrywania włamań (IDS). Możemy zbudować odporny system, działający nawet wtedy, gdy producenci, którym musimy ufać, nie są godni naszego zaufania w wystarczającym stopniu” - mówi Schneier. - „Natomiast w każdym modelu outsourcingowym, czy to cloud computing, czy jakimś innym, brak zaufania jest niemożliwy. Musimy ufać nie tylko zabezpieczeniom zewnętrznego dostawcy, ale również jego niezawodności, dostępności i ciągłości biznesowej”.
Jak dostać się do chmury?
Stowarzyszenie The Jericho Forum opracowało szereg strategii, które firmy powinny stosować w relacjach z dostawcami usług cloud computing. Strategie te wchodzą w skład modelu Cloud Cube (www.opengroup.org/jericho/cloud_cube_model_v1.0.pdf), który omawia kluczowe czynniki, jakie powinny rozważyć firmy przed podpisaniem umowy z producentem lub dostawcą usług.
Adrian Secombe, członek zarządu Jericho Forum i główny dyrektor ds. bezpieczeństwa informacji w firmie farmaceutycznej Eli Lilly, mówi:
„Chmurowe podejście do organizacji firmy może być zarówno bezpieczniejsze, jak i wydajniejsze niż stara struktura silosowa. Widziany z innej perspektywy, model cloud computing otwiera potencjalną puszkę Pandory z sennymi koszmarami specjalisty ds. bezpieczeństwa, wśród których poczesne miejsce zajmuje utrata poufności i integralności danych”.
„Przemyślane podejście do wdrożenia cloud computing może przywrócić kontrolę nad kwestiami bezpieczeństwa” — mówi Secombe. — „Najważniejszy jest solidny fundament, na którym każda firma opracuje model cloud computing, który umożliwia konsumeryzację, obniża koszty i ogranicza ryzyko”.
Oprócz kwestii zaufania związanych z przeniesieniem poczty do dostawcy usług zarządzanych, nie wydaje się, żeby same aplikacje online stwarzały jakieś specyficzne zagrożenia. Jednakże aktualne oprogramowanie antywirusowe, takie jak AVG Anti-Virus Business Edition 9.0 (http://www.avg.com/gb-en/product-avg-anti-virus-business-edition), może zapewnić bezcenną warstwę ochronną dla systemów kluczowych dla funkcjonowania firmy.
Oprogramowanie LinkScanner® (http://linkscanner.avg.com/) firmy AVG pomaga też zapobiegać atakom przez sieć WWW, które mogłyby potencjalnie zostać zintegrowane z aplikacjami cloud computing oraz powiązanymi witrynami. Według specjalistów z AVG oprogramowanie AVG LinkScanner® w rzeczywistości wykorzystuje „chmurową” bazę danych, aby ocenić, czy dana witryna zawiera złośliwy kod.
Eksperci z firmy AVG mówią: „AVG LinkScanner® może zastosować ponad 100 różnych wskaźników potencjalnego zagrożenia do strony internetowej. Jeśli wynik jest nierozstrzygający, LinkScanner® odwołuje się do chmury i sprawdza liczne źródła phishingowe podłączone do sieci badawczej AVG, aby ostatecznie określić potencjał zagrożenia”.
Choć z czasem może się okazać, że model cloud computing nie spełnia pokładanych w nim nadziei, obecnie wydaje się logiczną drogą rozwoju technologii komputerowej. Można śmiało założyć, że większość firm ostatecznie przyjmie przynajmniej niektóre aspekty tego modelu, zwłaszcza jeśli okazuje się on ekonomiczny i elastyczny.
Zaufanie do dostawcy usług wydaje się nieodłącznym elementem tego modelu, ale nie ulega wątpliwości, że firmy mogą podjąć pewne kroki, aby ograniczyć ryzyko — od wysokopoziomowego modelowania, do bardziej wypróbowanego podejścia do bezpieczeństwa internetowego i sprzętowego.
Co robić?
• Zapoznać się z modelem Cloud Cube stowarzyszenia Jericho Forum przed podpisaniem umowy z producentem oprogramowania lub dostawcą usług internetowych.
• Przeanalizować, jak dużo danych będzie eksponowanych i na jakie ryzyko naraża to firmę.
• Używać aktualnego oprogramowania antywirusowego, takiego jak AVG Anti-Virus Business Edition 9.0 (http://www.avg.com/gb-en/product-avg-anti-virus-business-edition), aby chronić systemy kluczowe dla funkcjonowania firmy.
Kontakt z AVG
Najnowsze wiadomości o AVG znajdziesz w Twitterze pod adresem www.twitter.com/officialAVGnews
Analizę aktualnych zagrożeń znajdziesz w blogu głównego dyrektora AVG ds. badań, Rogera Thompsona, pod adresem http://thompson.blog.avg.com/
Dołącz do naszej społeczności w Facebooku pod adresem www.facebook.com/AVGfree
O AVG Technologies
AVG jest światowym liderem rozwiązań bezpieczeństwa, który chroni ponad 110 milionów użytkowników indywidualnych oraz małych firm w 170 krajach przed stale rosnącą liczbą zagrożeń internetowych, wirusów, spamu i hakerów. AVG już przez niemal dwie dekady skutecznie walczy z przestępczością internetową. Posiada jedno z najbardziej zaawansowanych laboratoriów do wykrywania i zwalczania cyfrowych zagrożeń na świecie. Dostępne za darmo oprogramowanie zabezpieczające AVG zapewnia użytkownikom podstawową ochronę oraz umożliwia łatwy dostęp do bardziej zaawansowanych zabezpieczeń. Około 6000 resellerów, partnerów i dystrybutorów współpracuje z AVG na całym świecie. Należą do nich między innymi: Amazon.com, CNET, Cisco, Ingram Micro, Play.com, Wal-Mart oraz Yahoo!
Nadesłał:
Mondaypr
|