Bezpečný veřejný cloud



Důležitou a nedílnou součástí přechodu k veřejnému cloudu je přesun jeho zabezpečení mimo kontrolu podniku směrem k poskytovateli daného cloudu, což vede k potřebám změn v pojetí informační bezpečnosti. Jedná se o sdílení řízení bezpečnosti, které je naprosto nezbytné pro další rozvoj důvěryhodných vztahů mezi odběrateli a poskytovateli cloudových služeb. Těmi nejdůležitějšími procesy jsou z pohledu bezpečnosti zejména řízení přístupu, ochrana dat a shoda s předpisy a zákony, tzv. compliance.

Identity

Bezpečný veřejný cloud
Bezpečný veřejný cloud
Správa identit, autentizační služby a federovaná identita hrají v bezpečnosti cloudu klíčovou roli. Ochrana identit zajišťuje integritu a důvěrnost dat i aplikací a zpřístupňuje je autorizovaným uživatelům. Podpora výše zmíněných funkcí je nedílnou součástí všech typů cloudu včetně toho veřejného.

Z pohledu řízení přístupu do cloudu je třeba se soutředit zejména na silnou autentizaci. Pokud má veřejný cloud sloužit k provozu podnikových aplikací, je bezpodmínečně nutné využít silnější autentizaci uživatelů, než je již dávno překonané uživatelské jméno a statické heslo. Standardem v této oblasti je použití ověřených technologií pro silnou autentizaci (multifaktorová autentizace na bázi jednorázového hesla), federovanou (delegovanou) identitu pro důvěryhodné sdílení identit mezi různými subjekty, a „risk-based“ autentizaci založenou na chování uživatele, kontextu a mnoha dalších faktorech. Vhodnou kombinací a vrstvením těchto autentizačních metod lze zajistit jak dodržení bezpečnostních SLA, tak jednoduchost použití pro všechny typy uživatelů.

Informace

V tradičním datovém centru je bezpečnost řešena nejen IT prostředky, ale současně fyzickým zabezpečením přístupu k hardwarové infrastruktuře. Tato bariéra ale s příchodem veřejného cloudu mizí. Místo stavění bariér je třeba se soustředit na řízení bezpečnosti konkrétních informací. Data putující po cloudu i mimo něj tak mají vlastní zabezpečení, které je po celou dobu chrání. K dosažení této „information-centric“ bezpečnosti je třeba vyřešit několik oblastí:

• Oddělení dat: Ve veřejných cloudech, kde se zpracovávají data mnoha nájemců, musí být data izolována. Virtualizace, šifrování a granulární řízení přístupu významně pomohou v izolaci dat mezi nájemci, jednotlivými skupinami či uživateli.

• Granulární bezpečnost dat: Se zvyšující se citlivostí informací a jejich počtem se musí prohloubit i klasifikace dat a důslednost ve vynucování jejich výhradně oprávněného použití. Ve veřejném cloudu je bezpečnost dat tak kritická, že její granularitu musíme řešit už na úrovni souboru, tabulky či sloupce v databázi. S tím také přichází inspekce dat (sledování obsahu), jejich tokenizace či šifrování a bezpečná správa šifrovacích klíčů po celý jejich životní cyklus.

• Klasifikace dat: Nalézt v cloudu ideální poměr mezi uživatelským komfortem a požadavky na jeho zabezpečení není jednoduché. Důležitými kroky k nalezení toho správného poměru je klasifikace dat a fungující procesy pro jejich vyhledávání, monitoring toku a použití. V této oblasti významně pomáhají systémy pro vyhledávání a ochranu citlivých dat, tzv. „data loss prevetion“ (DLP).

• Monitoring a audit: Prostředí všech systémů, ve kterých se pracuje s citlivými informacemi, musí být z pohledu bezpečnosti kompletně monitorováno a pravidelně auditováno. Ideálním řešením této oblasti je systém pro sběr a analýzu logů z klíčových systémů (tzv. SIEM) s reportingem do podnikového GRC (governance, risk, compliance) řešení pro řízení podnikových procesů a rizik.

Infrastruktura

Celá infrastruktura cloudu musí být už v jádru bezpečná, nezávisle na tom, zda stavíte privátní či veřejný cloud. To vyžaduje:

• Komplexní bezpečnost: Cloud musí již být navžen jako bezpečný, postaven z bezpečných komponent, implementován dle odpovídajících bezpečnostních „know-how“, bezpečně komunikující s okolím, a podporujícím potřebná bezpečnostní SLA.

• Bezpečnou integraci: Tam, kde dochází ke komunikaci mezi jednotlivými částmi cloudu, je třeba vynucovat dodržování bezpečnostních politik pro sdílení dat, aby byla zajištěna jejich integrita a důvěrnost.

Všechny výše uvedené oblasti jsou důležité nejen pro pro privátní a veřejný cloud, ale také pro služby IAAS (infrastructure as a service), PAAS (platform as a service) a SAAS (software as a service). Dobrou zprávou je, že všechna popsaná řešení jsou již dnes k dispozici a další se samozřejmě vyvíjejí a testují, aby mohla splnit stále náročnější požadavky trhu.

David Matějů, RSA Presales Engineer, RSA, The Security Division of EMC, www.rsa.com

(Partnerský příspěvek.)


(25. 1. 2012 | redakce2)


Předcházející článek: <<< Průšvih za 34 milionů dolarů <<<
Následující článek: >>> Původní české řešení pro dohled a správu datové sítě >>>

Tento článek je součástí speciálu:

Bezpečnost v IT: Nepodceňujte aktuální rizika


Problematika bezpečnosti IT se ještě stále mnohde podceňuje.

Málokteré téma je tak rozporuplné jako bezpečnost IT: Na jednu stranu se o ní stále mluví a všichni si uvědomujeme, kde případně může hrozit průšvih, na druhou stranu řada z nás prostě doufá, že bude mít zase štěstí a průšvih nenastane. Ještě chvíli nám to štěstí musí vydržet, ale pak, pak už dokončíme všechny plánované bezpečnostní projekty a všechno bude OK. Ale co když nás štěstí opustí? V tomto speciálu vám nabízíme pohled na vybraná rizika, a to z pohledu statistik i ve formě přehlídky možných řešení.



Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Tip - Konference: Datová centra pro byznys - 23.11.2017!


Pozoruhodné IT produkty pro rok 2017 - Nové
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2017
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.




Anketa


©2011-2017 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(267)