Gartner: Nepodceňujete zabezpečení dat v cloudu

Jiří Novák | 01.06.2012 | Bezpečnost, Cloud | Žádné komentáře

Podle Johna Pescatore, viceprezidenta a bezpečnostního analytika Gartneru, by firmy v případě využívání cloudových služeb neměly spoléhat na to, že jejich důležitá data ochrání provider, ale měly by si vždy zajistit vlastní řešení.

Pescatore tvrdí, že s tím, jak firmy přechází na cloudový model, musí se rozhodnout, v čem poskytovateli služeb věřit a v čem raději spoléhat na vlastní řešení.

Právě data důležitá či dokonce kritická pro svoje podnikání by firmy stále měly mít vždy pod kontrolou a jejich ochranu nesvěřovat třetím stranám. Naopak je potřeba využít pro tyto účely specializované nástroje.

Zabezpečení není v cloudu nikdy dost

Otázky bezpečnosti zůstávají pro organizace v souvislosti s cloudovými službami stále poměrně klíčové, i když John Pescatore říká, že existují způsoby, jak obavy firem zmírnit.

Jednou z nich je využívat bezpečnostní řešení, která jsou navržena speciálně pro ochranu cloudových aplikací a dat. Typickým příkladem může být použití řešení pro zabezpečení informací z kreditních karet. Certifikace PCI (Payment Card Industry) vyžaduje, aby elektronicky uchovávaná data byla šifrovaná. Někteří poskytovatelé cloudových služeb nabízejí šifrování již v rámci služeb pro uchovávání dat v cloudu. Ale existuje i celá škála aplikací třetích stran, které lze nasadit nejen pro účely šifrování, ale také pro ochranu proti útokům typu DDoS (Distributed Denial of Service) či pro kontrolu přístupu. Tato řešení jsou navržena speciálně pro cloudové nasazení a firma si může vybrat produkt přesně podle vlastních potřeb.

John Pescatore z Gartneru doporučuje, aby firmy by při nasazování cloudových služeb s bezpečností vycházely vždy od základní úrovně. Tedy nejprve nasadit řešení pro zabezpečení privátního, interního cloudu a až poté jej rozšířit na veřejné cloudové služby, případně na hybridní prostředí v němž se obě tyto oblasti prolínají. Firmy musí nejprve docílit toho, aby získaly vhled do svého interního cloudového prostředí, aby v něm měly kontrolu a aby omezily zranitelnosti. K tomu je potřeba využít komplexní nástroje pro správu bezpečnosti, které zahrnou všechny aspekty cloudového prostředí – uživatelské účty, virtuální stroje i domény.

Teprve až poté, co organizace tento krok zvládnou, měly by se začít poohlížet po zařazení služeb z veřejného cloudu do svojí infrastruktury. V řadě případů firmy na zkoušku přesunou do veřejného cloudu některé méně podstatné aplikace, aby si otestovaly, jak zde budou fungovat. Pescatore v této souvislosti zmiňuje, že není nutné, aby vše bylo zabezpečeno na nejvyšší úrovni. To je v řadě případů zbytečné. Nicméně je potřeba velmi dobře zvážit, jaký typ informací do cloudu firma vloží a podle něj by v nativní podobě mělo jít opravu jen o taková data, která nemají příliš citlivou povahu.

Ohlídejte si svoje data

K tomu, aby se do cloudu nedostala data, která jsou pro firmu kritická, je nutné nastavení politik, jejich implementace a dodržování v rámci celého cloudového prostředí. Je také potřeba zajistit, aby data citlivějšího charakteru byla nutně šifrovaná. Nekonzistentní politiky totiž vytváří příležitosti k únikům dat a ke zranitelnostem. Podle Pescatora je pro dnešní hackery obvykle snadné provést úspěšný útok na organizace, které využívají cloudové služby a lze očekávat, že tento trend výrazně zesílí.

Co se týká poskytovatele, firmy by si měly zjistit, zda disponuje certifikacemi ISO 27001, SOC 2 nebo SOC 2. Nicméně to je jen naprostý základ a pro skutečně citlivá data se nespokojit s tím, že provider poskytuje vlastní řešení pro zabezpečení (i když bude tvrdit, jak je dokonalé), ale určitě se pohlédnout i po tom, co nabízejí bezpečnostní nástroje třetích stran.

Článek je součástí tématu Ušetřete s cloudovými a hostingovými službami. Partnery tématu jsou:

 

 

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


pět + jedna =

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz