Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Bezpieczeństwo informacji w chmurze (część 2)

Printer Friendly and PDF

W podsumowaniu poprzedniego artykułu cyklu przedstawiono jedynie fragmentaryczne wyniki przeprowadzonej w polskich przedsiębiorstwach ankiety dotyczącej wykorzystania możliwości chmury obliczeniowej (ang. cloud computing) w polskich firmach. Spójrzmy na nie z perspektywy statystyki europejskiej.

Według najnowszych danych Eurostatu (dot. III kwartału 2016 r.) Polska jest jednym z trzech krajów, które korzystają z cloud computing (CC) w najmniejszym stopniu. W Europie dane w chmurze przetwarza co piąta firma (20% firm), ale w Polsce ten odsetek wynosi zaledwie 6%. Najwięcej firm (51%) korzysta z chmury obliczeniowej w Finlandii, 40% przedsiębiorców wykorzystuje tę technologię we Włoszech, 39% w Szwecji, a 38% w Danii. W pierwszej dziesiątce państw wykorzystujących CC zmieściły się jeszcze Holandia, Irlandia, Wielka Brytania, Chorwacja, Belgia i Słowacja. Nasz kraj znalazł się na szarym końcu europejskiego rankingu Eurostatu. Gorsza okazała się jedynie Rumunia (5%). Zajęliśmy przedostatnie miejsce ex aequo z Łotwą (6%). Wyprzedzają nas m.in. Węgry, Bułgaria i Grecja (8%). Według danych Eurostatu firmy w Europie wykorzystują CC przede wszystkim do usług prostych: poczty elektronicznej (66%) oraz przechowywania plików (53%). W nieco mniejszym stopniu do hostowania baz danych (39%), aplikacji – biurowych 34%) lub wspierających zarządzanie finansami (31%) – oraz systemów CRM (21%). W Polsce sposoby wykorzystania są podobne. Nieznacznie różnią się jedynie liczby. „Wyniki badań w Polsce wskazują, że z CC najczęściej korzystają przedsiębiorstwa z branży IT, zaś najrzadziej firmy z sektora przemysłu (17%), branży transportowej i dystrybucyjnej (15%) oraz budowlanej (14%)”1.

Rozwiązania chmurowe mogłyby się upowszechnić, gdyby nie obawy dotyczące korzystania z tej techniki. Przedsiębiorcy na co dzień używający chmury przyznają, że boją się przede wszystkim o bezpieczeństwo danych (wskazuje na to aż 57% dużych i 38% małych firm). Zniechęcają ich również kwestie prawne (odpowiednio 46% i 31%) oraz wysokie koszty takich usług (po 32%). Obawy dotyczą także braku wystarczającej wiedzy niezbędnej do korzystania z usług chmurowych (wskazuje na to aż 32% małych firm), problemów ze zmianą operatora oraz ryzyka braku dostępu do danych. Aż 46% dużych firm za jedną z barier uznaje brak informacji na temat rzeczywistej lokalizacji danych przetwarzanych w chmurze. Kwestia bezpieczeństwa danych w chmurze stanowi dziś zasadniczą przeszkodę do dalszej ekspansji tej techniki informatycznej, co obrazuje wynik polskiej ankiety (rys. 1)2.

Rys. 1. Ocena bezpieczeństwa CC wg polskich firm

 

1. Zalety i wady chmur obliczeniowych

Ewolucja sposobu przetwarzania danych, której obecnym etapem jest chmura obliczeniowa, dotyczy nie tyle zmiany sposobu dokonywania obliczeń (jest to głównie ich – jakże szeroka – wirtualizacja), ile podejścia do tej pracy. Obecnie dzięki CC uzyskujemy szybkość, dostępność i skalowalność przy jednoczesnym wyeliminowaniu wielu uciążliwości związanych z korzystaniem ze sprzętu (zasilanie, chłodzenie, ochrona środowiska).

Ten nieco schematyczny rysunek odnosi się w swej treści do podstawowych modeli CC (wg NIST są to: IaaS, PaaS, i SaaS). Obecnie oferowany jest dużo szerszy zakres usług – w praktyce jest to XaaS, czyli „wszystko jako usługa” oferowane w chmurze.

Do niewątpliwych zalet chmury należą skalowalność, dostępność, wydajność, łatwe zarządzanie, elastyczność, niezawodność, ekologiczność i niezależność sprzętowa klienta.

 

Rys. 2. Uproszczony diagram przedstawiający chmurę obliczeniową

 

1.1. Skalowalność

Każdy użytkownik chmury na pewno doceni swobodę i pozytywne aspekty dynamicznego przydzielania zasobów, gdy tylko okażą się potrzebne. Dzięki skalowalności nie trzeba płacić za utrzymanie infrastruktury „na wszelki wypadek”. Oczywiście za wykorzystaną dodatkową moc obliczeniową chmury czy obsługę większej liczby transakcji trzeba zapłacić, ale większy wydatek jest równoważony wzrostem zysku wynikającym z obniżonych kosztów wzmożonego ruchu.

1.2. Dostępność

Usługi w chmurze są dostępne za pośrednictwem praktycznie każdego komputera podłączonego do Internetu. W tradycyjnym modelu korzystania z aplikacji instalowanych na stanowiskach pracy i licencjonowanych zależnie od ich liczby uzyskanie podobnej funkcjonalności jest po prostu niemożliwe. Warto też pamiętać o tym, że w przypadku programów działających jako usługi w chmurze użytkownik nie musi się martwić o to, czy sprzęt, z którego korzysta, ma odpowiednią wydajność.

1.3. Wydajność

Centra obliczeniowe (farmy komputerowe), będące największymi chmurami publicznymi, oferują moc nieosiągalną dla nawet najbardziej rozbudowanej stacji roboczej. Nie bez znaczenia jest też wzrost szybkości wynikający ze skalowania i dynamicznego przydzielania zasobów. To, że wzrost obciążenia nie powoduje przestojów, również przekłada się na efektywność działania danej firmy.

1.4. Łatwe zarządzanie

Łatwe zarządzanie ma związek z dostępnością. Firma korzystająca z kompleksowego zestawu usług w chmurze może nimi zarządzać za pomocą wygodnego w obsłudze oprogramowania i pojedynczego punktu, z którego można zawiadywać całością (aplikacjami w chmurze, przechowywanymi w niej danymi, oferowanymi instancjami3 itp.). Nie ma potrzeby tworzenia różnych końcówek administracyjnych do zarządzania poszczególnymi serwerami, macierzami dyskowymi itp.

1.5. Elastyczność

Dzięki chmurom rozwój użytkowości technik informatycznych jest prostszy niż w klasycznym ujęciu. Zamiast kupować nowe serwery, dbać o ich prawidłową konfigurację, zgodność z istniejącymi rozwiązaniami itp., można skorzystać z gotowych usług CC.

1.6. Niezawodność

Budowanie bezpiecznej infrastruktury zapewniającej nieprzerwane działanie kosztuje bardzo wiele, tymczasem dostawcy usług w chmurze bardzo podkreślają niezawodną infrastrukturę swoich centrów danych – jest ona nie tylko zaletą, ale wręcz koniecznością, bo warunkuje sukces biznesowy inwestycji. W tradycyjnym modelu korzystania z aplikacji awaria jednego z komputerów w firmie zmniejsza ogólną wydajność. W przypadku chmury jest inaczej. Serwery w centrach danych również się psują, ale zadania realizowane przez jednostki, które uległy awarii, są natychmiast przejmowane przez inne maszyny.

1.7. Ekologiczność

Ekologiczność oznacza w tym przypadku bardziej efektywne wykorzystanie pamięci, mocy obliczeniowej i przestrzeni na dane, co przekłada się na mniejsze zużycie zasobów naturalnych (energii, paliw itp.) niż w tradycyjnym IT. Dodatkowym atutem są grupowe rozwiązania klimatyzacyjne (chłodnie kominowe).

1.8. Niezależność sprzętowa klienta

Jedną z zalet CC jest brak zależności od sprzętu. Komputer czy tablet to tylko klient, interfejs, dzięki któremu można korzystać z usług, które „gnieżdżą się” na serwerach w chmurze. Uszkodzenie lokalnego sprzętu nie skutkuje utratą danych czy brakiem dostępu do usług. Zaletą jest też łatwiejsze monitorowanie wydajności i optymalizacji naszych aplikacji czy infrastruktury wirtualnej, wielodostęp do wspólnych zasobów (współpraca), niezawodność czy bezpieczeństwo (choć bywa ono kwestionowane i zależy od wielu czynników).

Wykorzystanie CC w firmie ma również wady, które są opisane w następnych podpunktach.

1.9. Bezpieczeństwo

Jedną z większych zalet chmur jest ich skalowalność, jednak stwarza ona pewne ryzyko, np. w przypadku serwisu internetowego, ze względu na stosowany w chmurach model obliczeń. Przykładem mogą być ataki DDoS polegające na masowym generowaniu wywołań mających na celu przeciążenie i w rezultacie czasowe unieruchomienie wybranych serwerów. Gdy dane są przetwarzane tradycyjnie (w firmie, w jej centrum danych), taki atak w najgorszym razie powoduje zablokowanie serwerów danej firmy, ale gdy chodzi o duże, bardzo wydajne centra danych, w których zasoby są dynamicznie alokowane według potrzeb usługobiorcy, DDoS może być bardzo kosztowny. Z bezpieczeństwem wiąże się też kwestia lokalizacji danych. W tradycyjnym modelu przetwarzania ich właściciel najczęściej ma nad nimi pełną kontrolę, bowiem wszystkie znajdują się na dyskach komputerów i serwerach firmowych. W przypadku modelu cloud computing dane, podobnie jak wykorzystywana aplikacja, znajdują się w chmurze, na której działanie – jeżeli jest to chmura publiczna – właściciel danych nie ma żadnego wpływu.

1.10. Ograniczone rozwiązania

Usługi dostarczane z chmury mają kompleksowy charakter i nie wymagają od osoby z nich korzystającej wiedzy na temat niezbędnej infrastruktury, konfiguracji itp., ale jakże często zapominamy o tym, że zakres tych usług jest ograniczony i faktycznie narzucony przez dostawcę (np. trudno sobie wyobrazić środowisko online do pracy grupowej IBM LotusLive działające w chmurze Microsoftu), zaś korzystając z aplikacji instalowanych lokalnie, mamy pełną swobodę wyboru rozwiązania. Takie ograniczenie to tylko jeden aspekt problemu. Trzeba też pamiętać o tym, że aplikacje są stale rozwijane i aktualizowane.
Można np. wyobrazić sobie sytuację, w której usługodawca wprowadza jakąś nową funkcję danej usługi, jednak nowość okazuje się zbędna dla niektórych firm lub wręcz przeszkadza w pewnych działaniach. To oczywiście uproszczony przykład, ale pokazuje problem swoistego uzależnienia użytkownika chmury od nieuzgadnianych z nim rozwiązań wprowadzanych przez usługodawcę. Na ogół uważa się, że prywatne dane użytkowników nie powinny być powierzane zewnętrznym firmom, bo takie przekazanie danych oznacza, że, chcąc mieć do nich dostęp, uzależniamy się od zamkniętych rozwiązań opracowanych przez ludzi, na których pracę nie mamy żadnego wpływu. Poza tym nie ma żadnej gwarancji, że ceny oferowanych usług nie wzrosną, gdy praca w wielu firmach zostanie ściśle zintegrowana z chmurami. Oczywiście opisane powyżej ograniczenie związane z dostarczanymi rozwiązaniami nie dotyczy chmur prywatnych, w których sami jesteśmy dostawcami rozwiązań dla siebie.

1.11. Wydajność

Wydajność centrów obliczeniowych przetwarzających dane w chmurach jest nieosiągalna nawet dla wielu firm, a więc tym bardziej dla użytkowników indywidualnych. Faktyczna wygoda korzystania z poszczególnych rozwiązań jest jednak ograniczona szybkością transmisji danych pomiędzy komputerem użytkownika a chmurą. Nawet najszybsze centrum danych niewiele zmieni, jeśli czas reakcji programu działającego online będzie fatalny za sprawą łącza o małej przepustowości. Warto też mieć na uwadze, że nawet najszybsze powszechnie dostępne łącza internetowe zapewniają transfer danych, który jest dużo wolniejszy niż w przypadku komunikowania się aplikacji z komponentami sprzętowymi komputera, na którym jest uruchomiona. W rezultacie, choć moc obliczeniowa pojedynczej stacji roboczej jest dużo mniejsza niż moc dowolnego centrum obliczeniowego, istnieje bardzo wiele programów, które jeszcze długo będą działać szybciej, gdy zostaną uruchomione lokalnie. Trudno wyobrazić sobie (przynajmniej na razie) np. aplikację użytkową lub grę generującą obraz 3D w czasie rzeczywistym i w całości działającą w chmurze. Jeśli jednak przepustowość łączy indywidualnych użytkowników będzie mierzona w gigabitach na sekundę, możliwe będzie działanie tych programów w całości w chmurze (próbowano, czego przykładem jest OnLive Game Service4).

1.12. Ograniczenia indywidualnego użytkownika

Nie wszyscy indywidualni użytkownicy mogą sobie pozwolić na dysponowanie stałym dostępem do Internetu za pośrednictwem szybkiego i stabilnego łącza – tak jak duże firmy. Brak połączenia jest tożsamy z brakiem dostępu do usług zapewnianych przez chmurę. Samo połączenie również nie wystarczy. Jeśli nie będzie ono stabilne i szybkie, korzystanie z serwisów będzie utrudnione, co może zniechęcić użytkownika. Drugą kwestią jest bezpieczeństwo. Oczywiście możemy liczyć na to, że zaufani usługodawcy zapewnią nam wysoki poziom zabezpieczeń sprzętowych i systemowych, ale nie zmieni to faktu, że przechowujemy własne, czasami newralgiczne dane na obcych serwerach, całkowicie przekazując innym kontrolę nad nimi. Już zdarzały się duże wpadki, nawet poważnym graczom, takim jak Dropbox czy Google Drive. Bezpieczeństwu danych zagrażają nie tylko ataki z zewnątrz. Jeśli zdecydujemy się na korzystanie z darmowych dysków sieciowych, powinniśmy najpierw dokładnie przeczytać regulamin świadczenia usługi, by sprawdzić, na co pozwolimy świadczeniodawcy, powierzając mu swoje dane. Zachęcam do zapoznania się z regulaminami CC oraz przemyślenia, jakie pliki chcemy trzymać w chmurze i czy rozsądny będzie automatyczny upload naszych prywatnych zdjęć na Google+, OneDrive czy Dropbox.

2. Bezpieczeństwo informacji w chmurze a polskie prawo

W polskich warunkach trzeba wyraźnie rozdzielić użytkowników chmury. Każdy użytkownik musi zaakceptować wszystkie rodzaje ryzyka, gdy decyduje się na zawarcie umowy z usługodawcą. Oczywiście sam decyduje o zakresie i sposobie korzystania z usługi. Użytkownik indywidualny sam w pełni decyduje o swoim korzystaniu z CC. Przedsiębiorca prywatny (właściciel firmy) może być po części użytkownikiem indywidualnym, ale na ogół jest on depozytariuszem powierzonych mu lub przetworzonych danych decydujących o operacyjnym „być albo nie być” w zarządzanej przez niego firmie. W przypadku użytkownika publicznego przepisy i zobowiązania ustawowe jednoznacznie określają zakres korzystania przez niego z usług w CC (pomimo jego możliwości decyzyjnych).

W odniesieniu do podmiotu publicznego obowiązuje „dekalog chmuroluba”, czyli dziesięć zasad stosowania usług chmurowych przez administrację publiczną wg wskazań GIODO5. Bezpieczeństwo danych w chmurze jest zróżnicowane. W chmurze publicznej i przypisanej (ang. dedicated cloud) ma ono związek z:

  • dostępem osób trzecich do danych w procesie ich przekazywania, przechowywania i wykorzystywania,
  • bezpieczeństwem fizycznym i technicznym samego centrum danych chmury obliczeniowej (farmy serwerów),
  • pewnością utylizacji zasobu w momencie rezygnacji z usługi,
  • bezpieczeństwem systemów/oprogramowania/przemieszczania.

W chmurze prywatnej i specjalnej ma ono związek z:

  • ochroną fizyczną i techniczną centrum danych (kontenera),
  • bezpieczeństwem danych użytkowników (ochroną dostępu),
  • bezpieczeństwem danych w czasie konserwacji i (lub) awarii.

Potwierdzeniem przestrzegania narzuconych przez prawo6 zasad bezpieczeństwa dotyczących CC są odpowiednie certyfikaty. Powinniśmy pamiętać, że mówimy przede wszystkim o wymaganiach prawnych dotyczących użytkownika (przepisach administracji publicznej i „dekalogu chmuroluba”),  które mogą znacząco różnić się od obowiązków prawnych dostarczyciela usługi CC (np. common law w Wielkiej Brytanii).

Tab. 1. Bezpieczeństwo polskich serwerowni w rankingu światowym Źródło: Data Centre Risk Index Cushman & Wakefield

 

3. Polskie odniesienia do problemu bezpieczeństwa informacji

Polskie serwerownie pod względem bezpieczeństwa znajdują się obecnie na 17. miejscu na 30 przebadanych w corocznym badaniu Data Centre Risk Index organizowanym przez Cushman & Wakefield. Jak na nasz region nie jest to wynik zły – instytucja zakwalifikowała krajowe centra do grupy średniego ryzyka, razem z Francją (14. miejsce), Szwajcarią (11. miejsce) i Singapurem (15. miejsce).

Przywołując dane dotyczące polskich obiektów I&CT, nie zapominajmy, że dotyczą one opcjonalnie wszelkich usług oferowanych w ramach big data center, razem z rozwiązaniami o charakterze firmowych serwerowni (nie są to jeszcze chmury prywatne, ale odbiegają standardami dostępu od VPS).
Warto pamiętać, że mamy rodzimego lidera usług przechowywania danych w postaci firmy Oktawave, która w niezależnych testach przeprowadzonych przez CloudHarmony pokonała m.in. Amazon Web Services oraz Microsoft Azure.

4. Podsumowanie

Pozostaje jeszcze kwestia fizycznego miejsca przechowywania danych i ich fizycznego zabezpieczenia. Poruszę ją w kolejnej części.

Opracował
dr inż. Marek Blim

 

Przypisy

  1. Chmura obliczeniowa w polskim e-biznesie. Raport e24cloud, http://it-manager.pl/chmura-obliczeniowa-w-polskim-e-biznesie-raport-e24... (stan z 20.07.2017).
  2. Bezpieczeństwo chmur publicznych z perspektywy polskich organizacji, http://www.computerworld.pl/whitepaper/2832-Bezpieczenstwo-chmur-publicz... (stan z 20.07.2017).
  3. Instancja w przypadku CC to dyspozycyjny wirtualny oprogramowany „komputer” o 15–20 GB pamięci.
  4. OnLive Game Service był uruchomioną w 2010 roku chmurą typu PaaS, w której klientom oferowano całą platformę przystosowaną do gier. Całość obliczania odbywała się w serwerowniach OnLive. Następnie obraz na żywo był przesyłany do użytkownika. Przeniesienie przetwarzania na potężne maszyny w klastrze sprawiło, że oferowane tytuły można było uruchomić na starym notebooku, tablecie lub smartfonie, a nawet – uwaga – na telewizorze (za pomocą specjalnej przystawki podłączanej do telewizora i Internetu). Potrzebne były jednak specjalne, szybkie szerokopasmowe łącza. Serwis zaprzestał funkcjonowania w 2015 r.
  5. http://www.giodo.gov.pl/259/id_art/6271/j/pl (stan z 20.07.2017).
  6. W przypadku procesów finansowo-księgowych jest to certyfikat SAS 70 typu II przyznawany przez Amerykański Instytut Biegłych Rewidentów (American Institute of Certified Public Accountants – AICPA) i będący w przypadku CC potwierdzeniem wprowadzonej i utrzymywanej wewnętrznej kontroli bezpieczeństwa danych (głównie rachunkowych).

Bibliografia

  • Bezpieczeństwo biznesu w XXI wieku, praca zbiorowa, wyd. SASMA EUROPE, Warszawa 2014.
  • Handzel Z., Cloud computing – czyli chmura obliczeniowa i możliwości jej wykorzystania w mediach, „Problemy Zarządzania” vol. 11, nr 4 (44), wyd. UW, Warszawa 2013.
  • Konarski X., Komentarz do ustawy o świadczeniu usług drogą elektroniczną, wyd. Difin, Warszawa 2004.
  • Kępa L., Tomasik P., Dobrzyński S., Bezpieczeństwo systemu e-commerce, wyd. Helion, Gliwice 2012.
  • Mateos A., Rosenberg J., Chmura obliczeniowa. Rozwiązania dla biznesu, wyd. Helion, Gliwice 2011.
  • Michalak A., Ochrona tajemnicy przedsiębiorstwa. Zagadnienia cywilnoprawne, wyd. Kantor Wydawniczy ZAKAMYCZE, Kraków 2006.
  • Siwicki M., Ochrona praw autorskich, bezpieczeństwa systemów informatycznych, danych osobowych i tajemnicy komunikacyjnej w chmurach obliczeniowych, „Prokuratura i Prawo” nr 5/2015, s. 109–127.
  • Spraul V. A., Jak działa oprogramowanie, wyd. Helion, Gliwice 2016.

Netografia

  1. http://it-manager.pl/chmura-obliczeniowa-w-polskim-e-biznesie-raport-e24... (stan z 14.05.2017).
  2. www.3s.pl/pl/17,serwery-i-cloud.html (stan z 14.05.2017).
  3. www.computerworld.pl/news/Dlaczego-chmura-sie-w-Polsce-nie-udaje,405741.... (stan z 14.05.2017).
  4. www.cyberdefence24.pl/526022,jak-chronic-infrastrukture-krytyczna-nowe-r... (stan z 14.05.2017).
  5. www.europarl.europa.eu/RegData/etudes/etudes/join/2012/475104/IPOL-IMCO_ET(2012)475104_PL.pdf (stan z 14.05.2017).
  6. www.giodo.gov.pl/259/id_art/6271/j/pl (stan z 14.05.2017).
  7. www.hbrp.pl/a/chmura-obliczeniowa-bilans-korzysci-i-zagrozen/36ypu9gW (stan z 14.05.2017).
  8. www.piit.org.pl/documents/10181/268830/Definicja_rodzaje_chmur_obliczeni... (stan z 14.05.2017).
  9. www.spidersweb.pl/2013/11/tencent-10-tb-za-darmo.html (stan z 14.05.2017).
  10. www.spidersweb.pl/2015/11/jaka-chmure-wybrac-dysk-google-mega.html (stan z 14.05.2017).

 

Zabezpieczenia 4/2017

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony