Na ile bezpieczna jest chmura?

Do 2020 organizacje, które będą przetwarzać swoje dane w chmurze publicznej w modelu infrastruktura jako usługa (IaaS – infrastructure as a service) doświadczą o co najmniej 60 proc. mniej incydentów naruszeń bezpieczeństwa niż te korzystające z tradycyjnych data center.

Choć coraz więcej przedsiębiorstw decyduje się na przenoszenie swoich zasobów do chmury, to część firm nadal podchodzi z rezerwą do tego usługowego modelu przechowywania i przetwarzania swoich danych. Największe obawy budzą kwestie bezpieczeństwa.

Jednak według specjalistów Gartnera, bezpieczeństwa nie można już uznawać za główną przyczyny niechęci przedsiębiorstw do migracji do chmury publicznej, ponieważ poziom zabezpieczeń gwarantowany przez wiodących dostawców usług chmurowych jest równie dobry (a często nawet lepszy) niż w tradycyjnych centrach danych przedsiębiorstw. Do 2020 roku organizacje, które będą przetwarzać swoje dane w chmurze publicznej w modelu IaaS doświadczą o co najmniej 60 proc. mniej incydentów naruszeń bezpieczeństwa niż te korzystające z tradycyjnych centrów danych – oceniają analitycy Gartnera.

źr. Dell EMC

Zabezpieczanie systemów ICT przedsiębiorstw może wydawać się trudne w czasach, gdy pierwsze strony gazet zdominowały doniesienia o licznych przypadkach naruszeń bezpieczeństwa w systemach teleinformatycznych dużych korporacji, i gdy wokół pojawia się wiele niedopowiedzeń związanych z cloud computingiem.

Wyzwania dotyczą nie tylko bezpieczeństwa samej chmury, ale również polityk i technologii do zabezpieczania i zarządzania. Chociaż większość przedsiębiorstw zetknęła się już z platformami cloud lub co najmniej ideą chmury, to wszechobecne są nieporozumienia i błędne wyobrażenia na temat tego, co może zaoferować technologia cloud computing.

Gartner: Do z 2020 roku organizacje, które będą przetwarzać swoje dane w chmurze publicznej w modelu infrastruktura jako usługa (IaaS – infrastructure as a service) doświadczą o co najmniej 60 proc. mniej incydentów naruszeń bezpieczeństwa niż te korzystające z tradycyjnych centrów danych.

Ponieważ coraz więcej przedsiębiorstw z sektora produkcyjnego i medycznego decyduje się na migrację do chmury, ich dane wymagają szczególnego, wyższego poziomu ochrony.

Zdaniem specjalistów Gartnera, poziom zabezpieczeń zapewniany przez głównych dostawców usług chmurowych jest równie dobry, jeśli nie lepszy niż w większości własnych centrów danych przedsiębiorstw. Dlatego też bezpieczeństwa nie należy nadal traktować jako głównego czynnika wyhamowującego wdrażanie usług w chmurze publicznej.

Jak najwięcej automatyzacji

Jednocześnie trzeba pamiętać, że przenoszenie obciążeń z własnej serwerowni do chmury nie jest tak proste jakby się wydawało  – proces ten musi odbywać się pod czujnym okiem zespołów odpowiadających w firmie za bezpieczeństwo IT, z zachowaniem procedur przewidzianych w ramach usług IaaS. Specjaliści zalecają jak najwięcej (jak to tylko możliwe) automatyzacji tego procesu, co pozwoli wyeliminować potencjalne błędy ludzkie, które zazwyczaj stwarzają okazję dla przeprowadzania udanych ataków. We własnych centrach danych przedsiębiorstw również można wprowadzać automatyzację, ale zazwyczaj nie oferują one wymaganej programowej infrastruktury.

Specjaliści odpowiadający za bezpieczeństwo i zarządzanie ryzykiem powinni wykorzystywać natywne funkcje zabezpieczeń z chmury IaaS dostawcy, uwzględniając jednocześnie i integrując testy bezpieczeństwa aplikacji oraz inne funkcje skanowania luk.

Bezpieczeństwo wbudowane w chmurę

źr. Dell EMC

Migracja do chmury nie wymaga kompromisów w kwestii bezpieczeństwa. Dostawcy modelu IaaS cloud oferują funkcje zapewniające użytkownikom dostęp do tylko tych informacji, których potrzebują, a także śledzenie wszystkich detali: „kto, co, kiedy, gdzie?”.

Przedsiębiorstwa faktycznie mogą korzystać z zabezpieczeń wbudowanych w platformę chmurową. Znajomość natywnych funkcji widoczności i kontroli oferowanych przez dostawców chmury znacząco pomoże przy migracjach do platform cloud computing.

Gartner: Do 2018 roku 60 proc. przedsiębiorstw, które wdrożyły narzędzia zapewniające pełną widoczność infrastruktury chmurowej oraz narzędzia kontroli – doświadczą o jedną trzecią mniej awarii wywołanych naruszeniami bezpieczeństwa.

Cloud computing zmniejsza ogólny zakres bezpieczeństwa, a to wiąże się z koniecznością powierzenia klientom zarządzania częścią obciążeń i zasobów w ramach modelu przewidującego podział odpowiedzialności. Stwarza to dobrą okazję do stosowania nowego rodzaju podejść i wypróbowania nowych metody ochrony informacji.

Doskonalenie metod ochrony chmury

źr. Pixabay

Chmura wymaga innego podejścia do kwestii bezpieczeństwa. Z pewnością nawyki i metody zabezpieczeń stosowane w tradycyjnych centrach danych (on-premise) nie sprawdzą się w przypadku informacji przechowywanych i przetwarzanych w chmurze – nie mają wątpliwości analitycy Gartnera. Dostawcy usług cloud muszą poszukiwać lepszych i wydajniejszych środków ochrony swojej infrastruktury i usług świadczonych poprzez platformy chmurowe, oraz zapobiegać powstawaniu słabych punktów i problemów ze zgodnością. Zastępowanie ludzkich interakcji technologiami uczenia maszynowego i sztucznej inteligencji to jeden ze sposobów eliminowania luk i zapobiegania włamaniom do chmury.

Aby minimalizować ryzyka, trzeba mieć świadomość tego, że klient i dostawca usług chmurowych są współodpowiedzialni za stosowane technologie i metody ochrony infrastruktury chmurowej oraz dużych zbiorów danych big data.  Warto również zadbać o ciągłe rozwijanie i doskonalenie przepisów w zakresie bezpieczeństwa.

1

Poprzedni artykułKto może zostać programistą?
Następny artykułNowy router z Berlina: FRITZ!Box 4040
Od 1994 r. pracuje w wydawnictwach branżowych poświęconych technologiom informatycznym i telekomunikacyjnym (IDG Poland: 1994-2012). Od 2015 roku prowadzi bloga B2B branży teleinformatycznej it-filolog.pl - Konwergencja IT, biznesu i ...humanistyki. Jego nazwa, założenia i zawartość wynikają wprost z “backgroundu” wydawniczo-filologicznego (wydawnictwo Ossolineum: 1988-1994) oraz ponad 20-letniego funkcjonowania przez autora w rolach: redaktora, autora tekstów i tłumacza w pismach i serwisach internetowych poświęconych technologiom teleinformatycznym. W latach 2003-2008 redaktor naczelny miesięcznika „Networld”. Obecnie współpracuje jako autor i redaktor z kilkoma pismami i serwisami ICT.