Problemy z bezpieczeństwem hamują rozwój nowego modelu IT
Z wielkiej chmury grad problemów. Tak wyglądają realia nowej koncepcji organizacji środowisk IT.
Dotychczas słowo "chmura" było terminem ściśle związanym z pogodą. Od pewnego czasu coraz większą karierę robi w świecie IT. W tym znaczeniu chodzi o oderwanie dostępności określonych usług IT od ich platformy technologiczno-sprzętowej. W tym modelu użytkownik ma przypisany dostęp do konkretnych aplikacji, niezależnie od tego, gdzie się znajduje. Wiąże się to z outsourcingiem, ale też udostępnianiem oprogramowania w ramach wewnętrznych struktur firmy pracownikom poza miejscem, w którym stoją serwery. W stosunku do tradycyjnych rozwiązań chmura wymaga zredefiniowania strategii bezpieczeństwa informatycznego.
Stojąc przed takim wyzwaniem, trzeba przede wszystkim pamiętać, że środowisko chmury jest z definicji oderwane od fizycznej warstwy rozwiązań informatycznych, które za jej funkcjonowanie odpowiadają. To zaś wymaga wprowadzenia mechanizmów, które na to oderwanie pozwolą. Pojawia się więc pytanie: jakie mechanizmy bezpieczeństwa stosować? Robert Gajda, dyrektor ds. rozwoju rynku zaawansowanych technologii w polskim biurze Cisco Systems, twierdzi, że są to w zasadzie te same mechanizmy co w tradycyjnych środowiskach IT, ale wymagają innego położenia środka ciężkości.
W kontrze
Według Roberta Gajdy w przypadku chmury kluczowe staje się zarządzanie tożsamością użytkowników i dostępność aplikacji. Inne zdanie na ten temat ma Robert Kępczyński, konsultant ds. bezpieczeństwa i zarządzania ryzykiem w IBM Polska. Uważa on, że zarządzanie tożsamością i utrzymanie stałego dostępu do zasobów chmury nie powodują większego ryzyka niż w tradycyjnej architekturze środowisk IT.
— Głównym problemem jest wysoki kredyt zaufania, jakim musimy obdarzyć dostawcę chmury. W przypadku outsourcingu, którego idea jest podobna do chmury, klient ma znacznie większą kontrolę nad dostawcą. W umowie może wynegocjować odpowiedzialność za incydenty bezpieczeństwa, przeprowadzać regularne audyty, wymóc zmiany w systemie bezpieczeństwa, a nawet na bieżąco monitorować pracę systemu bezpieczeństwa usługodawcy. W chmurze publicznej realna kontrola dostawcy jest niemożliwa. Inny problem to brak elastyczności dostawcy w przypadku pojedynczego klienta. Jeśli klient miał audyt i wnioski pokontrolne dotyczą infrastruktury IT, to prawdopodobnie będzie musiał zmienić dostawcę chmury, a nawet przejeść na inny model — komentuje ekspert IBM.
— W modelu chmury zewnętrznej wykorzystywana architektura jest na tyle elastyczna, by można ja było dostosować do świadczenia usługi dla różnych klientów — oponuje Robert Gajda.
Nic dziwnego, że skoro różnice w podejściu do zagadnienia mają firmy technologiczne promujące nowy model funkcjonowania środowisk IT, to prawdziwe problemy pojawiają się po stronie potencjalnych użytkowników ich produktów. Bez ogródek powiedział to Alan Boehme, starszy wiceprezes ds. strategii informatycznej i architektury korporacyjnej w ING Americas. Stwierdził niedawno, że konieczność skutecznego zarządzania tożsamością w rozwiązaniach typu chmura lub środowiskach z nimi sfederowanych jest sporą przeszkodą dla wdrażania usług chmury w przedsiębiorstwach. Jednocześnie, jako członek rady Cloud Security Alliance (CSA) — organizacji promującej metodologię chmury i skupiającej zarówno firmy informatyczne, jak i ich klientów — zaznaczył, że organizacja ta przygotowała obszerną listę zaleceń dotyczących bezpieczeństwa i harmonogramu ich certyfikacji, by stworzyć wspólny obszar dla przedsiębiorstw i dostawców oraz przyspieszyć upowszechnienie tej koncepcji budowy środowisk IT.
W czym problem
Kryteria certyfikacji, logo i harmonogram działań zostaną dopiero ustalone przez członków CSA. Na razie więc przedsiębiorstwa zainteresowane działaniem w modelu chmury muszą się kierować po prostu zdrowym rozsądkiem.
— Jeśli spojrzymy na sposób funkcjonowania chmury, jakim jest wymiana danych i dostarczanie oprogramowania, infrastruktury i aplikacji przez internet, to zadania bezpieczeństwa są jasne. Musimy mieć pewność, że nasze dane są przetwarzane przez autoryzowanego dostawcę, że nie będą mogły być skopiowane przez nieuprawnione osoby i że dostęp do nich podlega ograniczeniom, które jako przedsiębiorcy sami określamy — podkreśla Tomasz Jaworski, konsultant technologiczny w polskim biurze firmy EMC.
— W tradycyjnym modelu funkcjonowania środowisk IT myślenie o bezpieczeństwie zaczynało się w punkcie styku sieci firmowej z internetem i w zasadzie sprowadzało się do odpowiedniej konfiguracji firewalla. W modelu chmury użytkownicy mogą być wszędzie, sztuka polega więc na tym, by polityka bezpieczeństwa była rozciągnięta na całą chmurę — dodaje Grzegorz Wróbel z Cisco Systems Poland.
Że nie jest to łatwe, wskazuje przykład firm Novell i Google. Pierwsza testowała wykorzystanie Google Docs do obróbki niektórych dokumentów marketingowych. Po kwartale wycofała się, bo choć sama angażuje się w promocję chmury… nie ufała w bezpieczeństwo rozwiązania oferowanego przez tak wielki koncern jak Google.
— Jakie są mankamenty Google Docs? Brak umowy gwarantującej poziom usług, np. bezpieczeństwa danych czy dostępu do nich, gdyby Google z jakichkolwiek przyczyn zniknęło z rynku — wyjaśnia Rafał Kruschewski z Novell Polska.
Kamil Kosiński