SIGURNOST CLOUD PODATKOVNOG CENTRA JE NA NEDOSTIŽNO VIŠOJ RAZINI OD SIGURNOSTI KLASIČNOGA

Sigurnost oblaka

Dok godišnji profiti pojedinih pružatelja cloud usluga premašuju deset milijardi dolara rastući i dalje, primjena cloud usluga u Europi i Hrvatskoj ne prati taj globalni trend. Riješimo li pitanje sigurnosti u cloud okruženju jesmo li korisnicima računalstva u oblaku otklonili prepreku za stvaranje poslovnih benefita?

PIŠE: KREŠIMIR KRISTIĆ

Odgovor na to pitanje je – DA! Bez obzira slažete li se ili ne, barem možete odmah na početku odlučiti vrijedi li čitati dalje. Pitate li vlasnika tvrtke, predsjednika uprave, direktora financija, sve šefove i šefiće do krajnjeg korisnika infrastrukture i softvera oblaka koji je glavni uvjet za korištenje cloud usluga svi će bezrezervno odgovoriti  - sigurnost! I ja bih odgovorio isto, a vjerujem i vi.

Za koncept dubinske obrane (defense in depth) nužna je i neizbježna primjena kriptografije i kriptografskih tehnologija

No, sigurnost oblaka je ipak nešto drugo!?
Kako za koga! Krenemo li od korisnika, promatramo li sigurnost s motrišta kupca cloud usluga, kada će vlasnik podataka bez ikakve zadrške i razmišljanja pohraniti i obrađivati svoje poslovne podatke u oblaku?
Samo ako na podsvjesnoj razini vjeruje da zna kako će uvijek dobiti točno ono što očekuje. Odličan primjer ostvarenja takvog podsvjesnog očekivanja možemo naći i u našoj svakodnevici kad s djecom sjedamo u automobil očekujući i podsvjesno znajući da ćemo stići kamo smo naumili.
Zašto smo u to uvjereni ne sumnjajući i ne razmišljajući o tome? Promet je reguliran pravilima i kontroliran, vozači su položili ispit i naučili pravila, standardi automobilske industrije razvijani cijelo stoljeće stalno se unapređuju i primjenjuju uz rigorozne kontrole u svim fazama proizvodnje, vozila se tehnički provjeravaju barem jednom godišnje i sve nas to čini podsvjesno sigurnima kada sjedamo za upravljač svog automobila.
A kako stoje stvari s korištenjem cloud usluga u svakodnevnom poslovanju? Dakako, želimo da ljudi steknu takav osjećaj sigurnosti i povjerenja i u primjenu cloud tehnologija!

Izvjesnost - Assurance

Definicija

Sigurnost je svakako jedan od najvažnijih, ali ne i jedini uvjet širokog prihvaćanja i korištenja usluga računalstva u oblaku u poslovnom okruženju. Povjerenje vlasnika podataka u usluge oblaka osigurava se kvalitativnom ocjenom usluga u skladu s dobro definiranim i transparentnim katalogom kriterija pri čemu se procjenjuju svi sudionici specifičnog lanca isporuke cloud usluga. Relevantni kriteriji provjere za okruženje oblaka jesu:

■ Dostupnost: Davatelj usluga u skladu s obvezama izvršenja usluga osigurava dostupnost podataka i provodi mjere za sprečavanje gubitka podataka. Dostupnost je osigurana pristupačnost i raspoloživost podataka.

Sigurnost – jedini uvjet primjene cloud usluga?

■ Ugovor: Davatelj usluga nudi razumljive ugovore koji se podudaraju s uobičajenom poslovnom praksom, a uvjeti ugovora ne ograničavaju vlasnička prava korisnika nad podacima pohranjenim u oblaku. Uobičajeni su krovni ugovor i ugovor o razini pružanja usluga (SLA).

■ Korisnička podrška: Davatelj usluga osigurava dostupnost i odaziv korisničke podrške te provodi proaktivnu politiku informiranja prema korisnicima. Planirane zahvate najavljuje tjednima unaprijed, a informacije o sigurnosnim događajima se šalju kupcima u najkraćem razumnom roku.

■ Financijska stabilnost: Srednjoročna financijska održivost pružatelja usluga računalstva u oblaku je osigurana.

■ Fleksibilnost: Korisnik može samostalno prilagoditi pribavljene računalne sposobnosti, a prilagodbe se provode automatski u kratkom vremenu i s transparentnim troškovima.

Izvjesnost - Assurance – više relevantnih kriterija

■ Interoperabilnost: Korisnik može spremiti i izvesti podatke u standardnim formatima, a usluga u oblaku nudi otvorena sučelja za integracije s ostalim uslugama ili aplikacijama u oblaku, a pristup uslugama u oblaku je moguć neovisno o lokaciji putem različitih uređaja.

■ Sukladnost sa zakonom: Davatelj usluga je usklađen s pravnim i regulatornim zahtjevima pružanja usluga u oblaku.

■ Privatnost: Davatelj usluga usklađen je s primjenjivim zakonima o zaštiti podataka, odustaje od analiza podataka klijenata koji se pohranjuju u oblaku, potpuno i nepopravljivo briše sve podatke klijenata nakon prestanka ugovora te ne prodaje, ne iznajmljuje i ne daje klijentove  podatke trećim stranama.

■ Zrelost procesa: Zrelost poslovnih procesa davatelja usklađena je s uspostavljenim najboljim praksama u sektoru IT usluga.

• Sigurnost: Davatelj usluga je uspostavio mjere kako bi se osigurala pohrana, prijenos i zaštita podataka od neovlaštenog pristupa trećih strana i drugih korisnika usluga u oblaku.

Povjerenje – ključ primjene

S profesionalnog gledišta na informacijsku sigurnost subjektivan osjećaj koji se opisuje riječju sigurnost označuje stečeno POVJERENJE na podsvjesnoj razini. Povjerenje se dugo gradi, a gubi se u trenu! Osim toga sigurnost i povjerenje su subjektivni osjećaji binarne prirode - povjerenje imaš ili nemaš!
Kako s korisničke subjektivne razine osjećaja sigurnosti prijeći na objektiviziranu razinu upravljanja informacijskom sigurnošću? Izgradnjom povjerenja!
Eto pravog izazova i zadatka za junake sigurnosnih bespuća kibernetskog prostora! Assurance, engleski termin koji u tom kontekstu u jednoj riječi znači izvjesnost, a u dvije potkrijepljeno uvjerenje temeljeno na višestrukim provjerivim, dokumentiranim i dokazivim kriterijima je alat, sredstvo sigurnosnih profesionalaca k ostvarenju povjerenja, a time i osjećaja sigurnosti kupaca i korisnika cloud usluga. Vrijedi ponoviti: provjerivo, ponovljivo, dokumentirano, objektivno i mjerivo upravljanje informacijskom sigurnošću. Priupitamo li sada ponovno predsjednike uprava i direktore financija kako im se to sviđa, vjerujem da bi odgovorili - to nam treba. 


Sigurnost cloud podatkovnog centra - provedba mjera na fizičkoj razini

U džungli standarda

Ciljevi Strategije EU/EC računalstva u oblaku i Ključne aktivnosti broj 1 provedbe te Strategije su Unleashing the Potential of Cloud Computing in Europe i Cutting through the jungle of standards.
Dok prva rečenice glasi  Razuzdajmo mogućnosti računalstva u oblaku u Europi, drugom je rečenicom Agenciji Europske unije za mrežnu i informacijsku sigurnost (ENISA – European Network and Information Security Agency) dan zadatak da u džungli postojećih standarda na općeprihvaćenim EU pravilima transparentnog i liberalnog pristupa podastre građanima unije - a i ostalima - rješenje za odabir kvalitativnog certifikacijskog standarda u području računalstva u oblaku. Rezultat tog krčenja džungle su dva besplatna svima dostupna logički povezana web-portala: Cloud Certification Scheme List (CCSL) i Cloud Certification Scheme Metaframework (CCSM) (https://resilience.enisa.europa.eu/cloud-computing-certification). Ukratko, oba portala pomažu kupcima pri odabiru najpovoljnije i najbolje cloud usluge i to po svemu sudeći ne samo najjeftinije već po kriterijima jamstva (Assurance) i najprikladnije uključujući kriterij sigurnosti!


Cloud Security Alliance razine primjene mjera

Sigurnosne posebnosti

Autor mr. sc. Krešimir Kristić, dipl. ing. el. magistar je znanosti informatičkog menadžmenta s više od 30 godina iskustva u poslovnoj primjeni ICT-ja na rukovodećim poslovima izvršnog direktora, voditelja sigurnosti te stratega i arhitekta korporativne IT podrške. Dopredsjednik je EuroCloud Europe i EuroCloud Europe Award Project Group Manager te predsjednik organizacije EuroCloud Hrvatska. Ima certifikat ISACA CISM (Certified Information Security Manager) te certifikate EuroCloud StarAudit Trainer, Internal Auditor i Consultant. Fokusiran je na upravljanje informacijskom sigurnošću te na aspekte privatnosti u okruženju računalstva u oblaku.

Višezakupništvo (multitenancy) i posljedično nužna izolacija podataka desetaka pa i stotina tisuća istodobnih korisnika na svim razinama tehnološkog stoga cloud usluga jedinstveno su svojstvo i zahtjev u okruženju računalstva u oblaku uza sve ostale poznate ranjivosti i prijetnje  predoblačne primjene informacijsko-komunikacijske tehnologije u poslovanju.
Na tehnološkoj razini sve izraženiji trend kontejnerizacije koji jednim zahvatom rješava dvije krupne muhe značajno podižući inače izuzetnu profitabilnost podatkovnih centara računalstva u oblaku, istodobno by design rješava izolaciju značajno bolje od postojećeg stanja na četiri razine višezakupničke arhitekture: na sistemskoj infrastrukturi hipervizora, virtualnih strojeva i unutar njih na razini OS upravljanih procesa na podatkovnoj platformi sustava za upravljanje bazama podataka, na aplikacijskoj platformi (interpretacijski middleware) te na razini visoko personalizirane aplikacijske logike.
S druge strane  za koncept dubinske obrane (defense in depth) nužna je i neizbježna primjena kriptografije i kriptografskih tehnologija uz već uobičajene mjere kod svih cloud usluga: pri pohrani i obradi podataka, na razini mreže, pri upravljanju - posebice identitetom i ključevima - na razini aplikacija za kontrolu pristupa te na interpretacijskoj razini informacije.

POPIS CERTIFIKACIJSKIH STANDARDA RAČUNALSTVA U OBLAKU

ENISA CCSL i CCSM
Agencija Europske unije za mrežnu i informacijsku sigurnost ENISA (European Network and Information Security Agency) redovito dobiva u zadatak ostvarenje strateških ciljeva i provođenje programa Europske komisije iz područja svoje nadležnosti.
U okviru provedbe Strategije računalstva u oblaku pri ostvarenju prve od tri ključne aktivnosti njenog oživotvorenja nastala su dva slobodno dostupna web-portala.


ENISA i CCSL – usporedba certifikacijskih standarda

CCSL – the Cloud Certification Schemes List
Popis certifikacijskih shema za računalstvo u oblaku CCSL daje pregled različitih postojećih certifikacijskih shema koje bi mogle biti relevantne za korisnike računalstva u oblaku. CCSL također pokazuje glavne karakteristike svake certifikacijske sheme.
Naprimjer, CCSL odgovara na pitanja poput -  koji su temeljni standardi, tko izdaje certifikate, je li pružatelj usluga u oblaku certificiran, tko provodi certifikaciju i akreditaciju.
CCSL pruža linkove i reference na svaku certifikacijsku shemu za daljnje čitanje i informacije. https://resilience.enisa.europa.eu/cloud-computing-certification

Portali CCSL i CCSM – odabir odgovarajuće certifikacije

CCSM – the Cloud Certification Schemes Metaframework
CCSM – Metaokvir sheme za certifikaciju računalstva u oblaku je proširenje CCSL-a.
Cilj metaokvira je osigurati neutralno mapiranje na visokoj razini zahtjeva klijenta za mrežnu i informacijsku sigurnost na sigurnosne ciljeve postojećih certifikacijskih shema oblaka, što olakšava odabir s CCSL popisa i korištenje postojećih certifikacijskih shema tijekom nabave. Link https://resilience.enisa.europa.eu/cloud-computing-certification/list-of-cloud-certification-schemes/cloud-certification-schemes-metaframework.