Cloud – stavebné prvky a hranice zodpovednosti (3.časť miniseriálu)

Bezpečnosť
Zoom Out Zoom In
Od
01069
14:01 31. januára 2022

Cloudové systémy ponúkajú neuveriteľné možnosti, nielen pre naplnenie jednoduchých túžob klientov ako je vytvorenie prostredia na ukladanie dát a výpočtový výkon. Nájde sa tam miesto aj na zložitejšie výpočtové úlohy, firmy si vedú v aplikáciách v cloude účtovníctvo a niektoré kompletnú kanceláriu. Avšak pri tomto to vôbec nekončí, keď máte záujem, viete sa zaregistrovať a získať prístup ku technológii budúcnosti, sem patrí Umelá inteligencia, môžete spracovávať obrovské dáta svojich klientov a vyťažovať dáta o nich. Ak chcete, môžete spracovávať výpočty, ktoré si pred tým odsimulujete na kvantových počítačoch. Technológie budúcnosti sú len vaše!

Zleťme však z výšin technológií  budúcnosti a pozrime sa v tomto článku na to, čo sú základné stavebné kamene, z ktorých je vystavaný cloud. Samozrejme, že by sme mohli odhaliť aj know how jednotlivých firiem, preto budeme hľadať pravdu len do miery, kam nám voľne dostupné informácie dovolia preniknúť.

Stavebné prvky Cloudu

Úplne presné informácie o stavebných prvkoch verejne poskytovaných Cloud služieb nie je možné získať. Dôvodov je viacero. Na prvom mieste je však bezpečnosť. Cieľom poskytovateľov Cloud služieb je dať k dispozícii odberateľom (zákazníkom) len toľko informácií, aby mohli Cloud služby komfortne využívať.

Všetky IT služby sú nasadené a prevádzkované na hardvérových zariadeniach (HW).

Poskytovatelia Cloud služieb využívajú na stavbu svojich dátových centier štandardný hardvér tzv. komoditné HW zariadenia (jednoduché a štandardizované prvky, ľahko zameniteľné). Môžeme si to predstaviť ako rovnaké, navzájom prepojené, uzavreté kocky, moduly obsahujúce počítače (podobne, ako stavebnice Lego). Tieto moduly je možné jednoducho spájať a vytvárať z nich väčšie celky – zdroje výpočtovej sily, t.j. úložiská dát, procesory a pamäťové štruktúry, prepojené sieťovými komponentami – nazývame ich HW infraštruktúra. Dôvodom používania komodít je možnosť ich jednoduchej výmeny, pokiaľ je to potrebné (napr. z dôvodu ich poruchy).

Na všetkých úrovniach prevádzky infraštruktúry je dodržiavaný princíp vysokej dostupnosti na báze redundancie (duplikovanie komponentov), čo zaručuje skutočne vysoké percentá dostupnosti Cloud služieb (95% až 99,95%, v niektorých prípadoch aj viac). Tieto je vo svete on-premise (vo vlastnom – domácom dátovom centre) možné dosiahnuť len za cenu vysokých nákladov.

V rámci fyzických budov dátových centier, ktoré sú umiestnené vo viacerých krajinách sveta, je teda vystavaná fyzická technologická vrstva – HW infraštruktúra – na ktorú sa ďalej aplikujú, presnejšie inštalujú softvérové prvky (SW), ktoré umožňujú riadiť (spravovať) samotnú HW infraštruktúru, ale aj vytvárať abstraktnú úroveň rôznych IT zdrojov. Tieto sa následne využívajú na tvorbu služieb pripravených na použitie priamo pre odberateľov.

Obr.1 – Príklad: Infraštruktúrno – technologický stoh 

Správu a prípravu samotnej HW infraštruktúry, alebo aj samotných služieb zabezpečuje cloudový poskytovateľ. Ten dáva zároveň odberateľovi k dispozícii rozhranie a nástroje (aplikácie), vďaka ktorým ich môže zákazník používať. Ide vlastne o aplikačné rozhranie, kde si vytvárate vlastný výpočtový svet zahŕňajúc aj softvér aj hardvér.

Charakteristickou črtou pripravenej HW infraštruktúry je aj to, že ju využívajú (zdieľajú) viacerí zákazníci. To znamená, že služba, ktorú ste si objednali beží na rovnakom počítači pre viacero používateľov naraz. Tento princíp zdieľania zdrojov umožňuje udržať nižšiu cenu za cloudové služby.

Všetky IaaS (Infrastructure-as-a-Service) a PaaS (Platform-as-a-Service) služby sú poskytované formou štandardizovaných virtuálnych komponentov, ktoré je možné vzájomne skladať (spájať), veľmi podobne ako už spomínané Lego.

Poznámka

IaaS a PaaS boli bližšie opísané v článku Cloud – stavebný prvok firiem, vysvetlenie ponuky služieb (2.časť miniseriálu) príkladom týchto služieb sú  Amazon Web Services, Azure Cloud Services, Google Cloud Platform a pod., ktoré obsahujú katalógy štandardizovaných služieb vo virtuálnej podobe pripravených na použitie. Napr. databáza ako služba, virtuálny výpočtový stroj pripravený na nainštalovanie vlastnej aplikácie atď.  

Typické IaaS a PaaS služby sú pre odberateľa štandardne poskytované formou virtuálnych komponentov (virtuálny stroj). Samozrejme aj tu existujú výnimky, alebo špecifické služby, ktoré umožnia napr. vyčleniť konkrétne HW zariadenie pre potreby jedného zákazníka bez možnosti zdieľať jeho voľné kapacity s iným zákazníkom, alebo dokonca je možné priviezť konkrétne prenajaté HW zariadenie do súkromného dátového centra a poskytovať preň len obmedzenú časť služieb.

Cena takejto služby je však omnoho vyššia, avšak jej protiváhou môže byť vyššia bezpečnosť.

Bezpečnosť Cloudu

Už v predchádzajúcom článku bolo spomenuté, že Cloud služby majú minimálne dve strany (dvoch participantov) – poskytovateľa a odberateľa. Obe tieto strany sa podieľajú aj na zodpovednosti za bezpečnosť (toto rozdelenie nazývame: zdieľaná zodpovednosť za bezpečnosť)

V závislosti od vybraného servisného modelu (IaaS, PaaS, SaaS) je hranica rozdelenia zodpovednosti za bezpečnosť posunutá buď smerom k poskytovateľovi, alebo k odberateľovi (viď obr. 2)

Poznámka

SaaS – Software-as-a-Service boli bližšie opísané v článku Cloud – stavebný prvok firiem, vysvetlenie ponuky služieb (2.časť miniseriálu) Jedná sa o poskytovanie hotových aplikácií prevádzkovaných v cloud prostredí, pripravených na použitie tak, že bežný používateľ sa len pripojí k aplikácii typicky cez internet a Web prehliadač, vytvorí si účet, odsúhlasí spôsob spoplatňovania služby a začne ju používať. Príkladom týchto služieb je Microsoft o365, Mail služby ako Gmail a Yahoo, rôzne úložiskové portály ako Ulozto.sk atď.  

Obr. 2 – Hranice zodpovednosti pre servisné modely Cloud služieb na obrázku definujú farby

Rozdelenie zodpovednosti:

  • Poskytovateľ je zodpovedný za bezpečnosť ponúkaných služieb, napr.
    • fyzickú bezpečnosť dátového centra (DC)
    • riadenie a kontrolu prístupu do DC
    • výber, spoľahlivosť a odbornú spôsobilosť zamestnancov obsluhujúcich celé prostredie
    • poskytovanie infraštruktúry v súlade s bezpečnostnými štandardami
    • poskytovanie bezpečnostných softvérových funkcií
    • monitoring a nástroje
      • na zabezpečenie nepretržitého chodu služieb
      • na ochranu pred bezpečnostnými útokmi a incidentami
    • schopnosť bez zdržania reagovať na neštandardné udalosti a zabezpečiť ich sanáciu
    • prevenciu a profylaktiku v oblastiach štandardnej prevádzky ale aj v oblasti bezpečnosti
  • Odberateľ je zodpovedný za bezpečný spôsob používania odoberaných služieb,  napr.
    • implementáciu dostupných bezpečnostných funkcií (zapnúť šifrovanie)
    • dodržiavať bezpečnostné pravidlá doporučené poskytovateľom (zvoliť silné heslo, využiť viacfaktorovú autentifikáciu, neprezrádzať heslo…)
    • používať službu v súlade s účelom
    • kvalitu a bezpečnosť vlastnými silami vytvoreného SW nasadeného a prevádzkovaného v Cloud prostredí

Vyššie uvedené zodpovednosti sú kritické najmä pre modely IaaS a PaaS. Pre model SaaS je situácia mierne odlišná. Aj v tomto prípade by služby mali mať bezpečnostné opatrenia nastavené v súlade s bezpečnostnými požiadavkami a štandardami. Avšak prax ukazuje, že to nie je vždy tak. Pre oblasť SaaS je preto dôležité posúdiť mieru bezpečnosti daných služieb.

Pre SaaS služby platí, že možnosť ovplyvniť bezpečnosť služby pre odberateľa je veľmi malá, alebo žiadna. Typická SaaS služba je napr. poskytovanie účtovníctva, v takomto prípade má odberateľ len možnosť používania v súlade s pravidlami poskytovateľa. Je čisto na rozhodnutí odberateľa podstúpiť riziko používať službu, ktorá nie je dostatočne bezpečná (v predch. článku je to napr. možnosť rozhodnúť sa, či budem jesť hamburgery denne)

Pripomenuli sme si, že využívanie cloudov je nielen o výhodách, ale aj o zodpovednosti. Zároveň sme si predstavili, ako sa v jednotlivých cloudových modeloch posúva zodpovednosť raz na prevádzkovateľa cloudu, inokedy na objednávateľa. V zásade platí, že čím väčšiu voľnosť od prevádzkovateľa vyžadujeme, tým väčšiu zodpovednosť za jednotlivé služby máme.

Ako však uchopiť každý prvok z cloudu, ako nastaviť bezpečnosť a čo sa vlastne v cloude dá nastaviť? Toto si priblížime v nasledujúcom článku.

Od Iveta Šťavinová

Senior architekt informačnej bezpečnosti, má 25 rokov skúsenosti s návrhom bezpečných a vysoko dostupných dátových úložísk, implementáciou bezpečnosti pre relačné databázy, pre SOC ako cloud služby, nasadzovala CASB služby. Aktuálne sa venuje risk managementu cloud riešení a služieb, hodnoteniu bezpečnosti a implementácii metodiky bezpečnosti a riadeniu súladu s legislatívou.

Odporúčané príspevky

  • item-thumbnail

    Osobné údaje – novela zákona o ochrane osobných údajov

    Zákon o ochrane osobných údajov priniesol novelizáciou platnou od 1.7.2013 rad zásadných zmien pre spracovateľov osobných údajov.   V čom prináša...

  • item-thumbnail

    Manipulatívne podvody

    Denne virtuálnym i fyzickým svetom prebehnú rôzne typy manipulatívnych podvodov, kedy sa útočníci snažia potenciálnu obeť počas vzájomnej komunikácie ...

  • item-thumbnail

    Veľký brat sa pozerá. Zbytočne.

    Posledné roky sa často stretávame so snahou poslancov miest a obcí, príslušníkov Mestských polícií, alebo členov školských rád presadiť inštaláciu sys...

Newer Post
Older Post

Vyjadrite váš názor v komentároch