Počítače v oblacích (3): Bezpečí dat v cloudu

Stejně tak jsou na místě i starosti o to, jak může cloud computing zajistit bezpečnost dat o zákaznících, na která se vztahují přísné zákony o ochraně osobních údajů. Obavy o dostupnost dat ve chvíli, kdy je firma potřebuje, jsou při vyhodnocování vhodnosti cloud computingu jen drobným mráčkem na obloze. A víte co? Žádný seriózní poskytovatel služeb cloud computingu si nedovolí takové obavy zlehčovat.

Nesprávné přesvědčení správců
Málo zřejmou skutečností je, že data uložená v cloudu čelí do značné míry stejným rizikům jako, která má firma přímo u sebe. V obou případech jsou data uložená na serverech či úložištích, v obou případech k těmto datům mají přístup koncoví uživatelé a správci IT na různých úrovních. A v obou variantách servery i uživatelé používají pro práci s uloženými daty poměrně rozšířený a dobře zdokumentovaný software.

Skutečnost, že k datům nějakým způsobem přistupují lidé a že k tomu používají software, znamená, že data je nutné chránit proti lidem a proti zneužití potenciálních bezpečnostních slabin softwaru. A obojí platí jak v lokálním prostředí, tak v prostředí cloud computingu. Když to vidíte napsané, zní to logicky, ale v praxi si to manažeři neuvědomují a výrazně vyšší úroveň zabezpečení přisuzují datům uloženým na lokálních serverech. Pouze 33 procent respondentů studie Bezpečnost uživatelů cloud computingu vypracované Ponemon institutem a CA věří, že jsou data uložená v cloudu v bezpečí, u dat uložených na serverech v budovách vlastněných jejich firmami věří v jejich bezpečí 56 procent respondentů.

Důvěra místo bezpečnosti
Skutečnost je taková, že datová supercentra, která ve skutečnosti tvoří jádro cloud computingu, využívají špičkové bezpečnostní nástroje a odborníky, které si většina firem nemůže dovolit. A to někteří poskytovatelé služeb cloud computingu disponují i bezpečnostními certifikáty na úrovni, která uspokojuje vládní či vojenské organizace. Je to otázka psychiky. Michael Mudd, šéf Open Computing Alliance, mezi jejíž členy patří British Telecom, Cisco, Microsoft nebo Logica a Symantec, tuto situaci komentuje poměrně lakonicky: „Když se nad tím zamyslíte, už se nebavíme o bezpečnosti cloudu, je to otázka důvěry.“

Ještě lakoničtější je ale hodnocení člověka, který musí mít bezpečnosti dat uložených v sítí plné zuby – šéf integrace IT americké armády Hari Bezwada. Ten v rozhovoru pro server Defensesystems.com uvedl, že je iluze myslet si, že data jsou méně zabezpečená jen proto, že vedle nich nesedí dva vojáci.

Proti hackerům a leakerům
Ani po zuby ozbrojené vojenské hlídky u bran datacenter nejsou schopné nabídnout ochranu proti rizikům, která skutečně ohrožují citlivá data. O jejich bezpečnost se musejí starat systémy, které dokáží dvě základní věci – poznat legitimní uživatele od nelegitimních a zabránit neúmyslné ztrátě dat. O rozpoznání identit uživatele se starají systémy autentizace založené nejčastěji na uživatelských jménech a heslech. Vyšší úroveň tvoří používání bezpečnostních certifikátů – šifrovaných osobních klíčů ve formě elektronického podpisu nebo dokonce biometrické ověřování identity.

Nejčastěji se ale data z firem podle výsledků studie Forrester Consulting ztrácejí kvůli krádeži či ztrátě hardwaru – chytrých telefonů, laptopů nebo USB pamětí. V této oblasti pak cloud computing z definice znamená zvýšení bezpečnosti, protože citlivá data uložená v cloudu nejsou bez znalosti uživatelských údajů nálezci nebo zloději dostupná – prostě v zařízení fyzicky nejsou. Ztrátu fyzické kontroly nad přesným umístěním firemních dat (iluzorní, protože geografickou polohu datacenter klienti znají) pak vyvažuje skutečnost, že informace o místě uložení dat nemají ani potenciální útočníci, kteří by chtěli data konkrétní firmy cíleně získat.

Datacentrum místo pásek
Využívání cloud computingu zvyšuje bezpečnost firemních dat nejen proti únikům či internetovým lupičům, ale také proti běžným problémům v podobě výpadků, nefunkčních záloh nebo následků přírodních katastrof. Fyzickou bezpečnost dat zaručuje redundance cloudové infrastruktury na několika úrovních. Nejde jen o zdvojené napájení nebo úložiště v rámci datových center a využití virtualizace pro rychlou obnovu systémů, ale o možnost redundance celých datových center.

Pokud má poskytovatel cloudové infrastruktury nebo celé cloudové platformy k dispozici globální síť datových center, jsou jeho klienti při správně nastavených parametrech schopni odolávat i problémům spojeným s extrémními událostmi v podobě povodní nebo zemětřesení. Výhodu uložení dat v geograficky vzdálené lokaci poznaly i české firmy, které využívaly vzdálené zálohování v oblastech postižených povodněmi a s nárůstem výrazných výkyvů počasí a bleskových záplav význam této „funkce“ cloudu roste.

Microsoft a bezpečnost cloudu
Společnost Microsoft pro své zákazníky provozuje několik desítek velkých datových center. Vévodí jim šest megacenter, která tvoří páteř cloudové infrastruktury Microsoftu se dvěma centry pro každý z primárních regionů. Zákazníci z České republiky využívají služeb megacenter v Dublinu a Amsterdamu. Microsoft služby cloud computingu i privátní cloud nabízí v České republice oficiálně, a proto jeho služby splňují i požadavky české legislativy na ochranu osobních dat a další legislativní normy.

Kvalitu ochrany dat zajišťují mezinárodně uznávané normy a atestace, které umožňují využívat služby cloud computingu i státním organizacím. Datacentra společnosti Microsoft jsou proto certifikována na ISO 27001:2005 s atestací SAS 70 Type I a Type II.  Tato úroveň zabezpečení a garantovaná kvalita služeb včetně vysoké dostupnosti dat a cloudových aplikací vyhovuje i nárokům států americké unie jako je Kalifornie, New York nebo Minessota i nárokům federální vlády USA, která cloudovou platformu Microsoftu používá pro zajištění elektronické pošty svých státních úředníků. Jde o stovky tisíc uživatelských účtů s extrémně citlivými daty.

Zabezpečení dat ve Windows Azure, cloudové platformě Microsoftu, obstarávají týmy bezpečnostních specialistů, kteří mají na starost nejen technologickou stránku zabezpečení, ale zejména dodržování bezpečnostních procesů. Všechny produkty používané v datových centrech Microsoftu musejí navíc splňovat kryptografické standardy SDL, které definují přípustné (dostatečně bezpečné) a nepřípustné šifrovací algoritmy. Například pro symetrické šifrování je nutné používat klíče s délkou větší než 128 bitů, pro asymetrické šifry jsou pak používané klíče s délkou 2 048 bitů a delší.

Autor pracuje jako ředitel divize vývoje ve společnosti Microsoft.