Wobec mitu niedostatecznie zabezpieczanej chmury, w której nie wiadomo, kto i co robi z naszymi danymi, przybliżamy koncepcje zabezpieczania danych przechowywanych i przetwarzanych w chmurach oraz argumenty przemawiające za wyższością rozwiązań cloudowych nad utrzymywaniem własnej infrastruktury. Prezentujemy też wyniki badań pokazujących, czego CIO najbardziej boją się w chmurze oraz jakie są zagrożenia związane z chmurą.

O bawy i nieporozumienia dotyczące bezpieczeństwa IT często nadal powstrzymują wiele firm przed przechowywaniem większej ilości informacji w chmurze. Część danych przedsiębiorstw pozostanie w lokalnych serwerowniach również ze względu na przepisy prawne, a także w niektórych przypadkach wydajność.

Migracja na platformy chmurowe oznacza, że odpowiedzialność za bezpieczeństwo danych znacznie wzrasta. Dane o różnym poziomie wrażliwości wychodzą poza granice firewalla. Nie ma się już pełnej kontroli nad swoimi danymi, które mogą znajdować się w dowolnym miejscu na świecie, w zależności od tego, z usług chmurowych którego dostawcy korzystamy.

KLUCZOWE KWESTIE ZABEZPIECZANIA DANYCH W CHMURZE

Przeniesienie własnych zasobów do chmury publicznej lub korzystanie z chmury hybrydowej oznacza, że problemy związane z bezpieczeństwem przetwarzania w chmurze mogą wystąpić wszędzie w całym łańcuchu. Mogą się pojawić, gdy dane są przygotowywane do migracji, podczas migracji lub potencjalnie w chmurze po przetransferowaniu tam danych. Trzeba być przygotowanym na radzenie sobie z tego rodzaju problemami na każdym etapie.

Zapewnienie bezpieczeństwa danych w chmurze spoczywa na dostawcach usług chmurowych i to właśnie oni muszą sprostać temu wyzwaniu. Bez względu na wybór platformy (AWS, Azure czy Google) wszystkie one spełniają wymogi różnych krajowych i międzynarodowych regulacji, norm i standardów dotyczących lokalizacji i dostępności danych, takich jak ISO (International Organization for Standardization), PCI DSS (Payment Card Industry Data Security Standard) czy SOC (Standard Organization Control).

Jednakże to, że dostawcy usług chmurowych oferują zgodność z obowiązującymi standardami, nie zwalnia klientów z ich obowiązków i odpowiedzialności za bezpieczeństwo własnych danych, co jest poważnym wyzwaniem w przypadku korzystania z cloud computingu. Eksperci firmy Datamation, dostarczającej technologię ICT dla sektora enterprise IT, wskazują kluczowe kwestie dotyczące bezpieczeństwa danych w chmurze.

OCHRONA PRYWATNOŚCI

Dane powinny być chronione przed nieautoryzowanym dostępem niezależnie od podejmowanych decyzji dotyczących przetwarzania w chmurze, w tym szyfrowania danych i kontrolowania, kto widzi określone dane i do czego ma dostęp. Mogą również wystąpić sytuacje, które wymagają udostępniania danych niektórym pracownikom w określonych okolicznościach. Na przykład programiści do testowania aplikacji potrzebują danych „na żywo”, ale niekoniecznie muszą je widzieć. W tym przypadku może się przydać m.in. narzędzie Oracle
Data Redact do baz danych.

Pierwszy krok do zapewnienia ochrony prywatności to zidentyfikowanie wrażliwych danych i ich zdefiniowanie. Kolejny – zlokalizowanie wrażliwych danych, ich klasyfikacja oraz stworzenie polityk opartych na tym, gdzie te dane się znajdują i jakiego rodzaju dane mogą zostać przeniesione do chmury, a jakie nie. Zbyt wielu pierwszych użytkowników chmury pospieszyło się z przenoszeniem do niej wszystkich swoich danych tylko po to, żeby potem zdać sobie sprawę, że trzeba je przechowywać w chmurze prywatnej.

Dostępne są zautomatyzowane narzędzia, które pomagają wyszukiwać i identyfikować wrażliwe dane oraz ich lokalizację. Amazon Web Services oferuje Macie (usługa bezpieczeństwa wykorzystująca uczenie maszynowe do automatycznego wykrywania, klasyfikowania i ochrony wrażliwych danych), podczas gdy Microsoft Azure Information Protection (AIP) używa etykiet do klasyfikowania danych. Narzędzia innych firm to Tableau, Fivetran, Logikcull i Looker.

[...]

Autor współpracuje z pismami oraz serwisami internetowymi poświęconymi technologiom teleinformatycznym, prowadzi autorski blog B2B ICT.