To ignorowanie chmury jest ryzykowne

Wciąż jest wiele mitów na temat chmury w kontekście bezpieczeństwa danych. Wynikających najczęściej z niewiedzy. Prawda jest taka, że – jeśli chodzi o ataki i zagrożenia – nasza chmura może służyć do minimalizowania ryzyka w IT – mówią Piotr Boniński i Michał Furmankiewicz, architekci rozwiązań chmurowych w firmie Microsoft.

Piotr Boniński i Michał Furmankiewicz, architekci rozwiązań chmurowych w firmie Microsoft wystąpią podczas konferencji Technology Risk Management Forum, która odbędzie się w dniach 7-8 września 2016 r. we Wrocławiu. To jedyne wydarzenie w Polsce poświęcone wyłącznie tematyce ryzyka technologicznego i potrzebie innowacji w zapewnieniu bezpieczeństwa. Konferencja adresuje potrzeby dużych organizacji, które chcą świadomie zarządzać ryzykiem technologicznym. Firma Microsoft Polska jest partnerem generalnym konferencji. Więcej szczegółów o wydarzeniu na stronie: www.techrisk.pl

Piotr Boniński

Cloud Solutions Architect, Microsoft

Michał Furmankiewicz

Cloud Solution Architect, Microsoft

Chmura i bezpieczeństwo… to chyba niełatwy temat do rozmów z klientami?

Piotr Boniński: Wciąż jeszcze u wielu klientów panuje przekonanie, że chmura jest czymś nie dla nich, bo wnosi zbędne ryzyko, którego nie mają zamiaru podejmować. Mówią, że dobrze im tak, jak jest. A wejście w chmurę, to otwarcie drzwi do problemów, których chcą uniknąć. Tymczasem jest zupełnie odwrotnie, ryzykiem jest brak zainteresowania chmurą i ignorowanie nowego trendu. Chmura w rzeczywistości może poprawić poziom bezpieczeństwa i zmniejszyć ryzyka w najróżniejszych aspektach działania IT.

Czy niechęć do chmury nie wynika z obaw dotyczących utraty kontroli nad IT?

Michał Furmankiewicz: W dużo większym stopniu wynika z całkowitej niewiedzy na jej temat. A nie lubimy a wręcz boimy się rzeczy, których nie znamy. I to przede wszystkim lęk decyduje o tym, że odbiór chmury w Polsce jest taki, jaki jest.

PB: Chmura jest pewną utratą kontroli nad IT. Ale czy tak istotne jest kontrolowanie tego, jakiego rodzaju dyski zostaną użyte w serwerach? Stosowane od lat tradycyjne IT jest lepiej lub gorzej poznane w kategoriach ryzyka. Chmura jest dla wielu niewiadomą. Gdy się nie dowiemy, co można zyskać przechodząc do chmury, to widzimy tylko ten ów brak kontroli –  nad danymi, nad sprzętem. Stąd rodzą się obawy nawet o utratę pracy. Działy IT boją się, że przestaną być potrzebne. Teraz wymieniają dyski, zarządzają wirtualizacją, robią wiele rzeczy, a po przejściu do chmury wszystko będzie automatyczne.

Zupełnie nie mają racji?

MF: To naturalne, że będą robić inne rzeczy, ale utrata pracy najczęściej im nie grozi. Wyniki różnych niezależnych badań pokazują, że w zdecydowanej większości przypadków wdrożenie chmury nie prowadzi do zmian w zatrudnieniu, w pewnej części nawet je zwiększa. Tylko w nielicznych przypadkach wiąże się ze redukcją personelu, ale najczęściej tego, który wykonywał dotychczas jedynie najprostsze czynności, takie jak wspomniana wymiana dysków.

Czego więc potencjalni użytkownicy nie wiedzą o chmurze?

MF: Jest wiele mitów na temat chmury. Najczęściej powtarzanym jest: „nie wiem, gdzie są moje dane”. Prawda jest taka, że przynajmniej w przypadku największych dostawców chmury doskonale wiemy, gdzie są nasze dane. Są w konkretnych lokalizacjach, możemy to skontrolować. Nawet z pomocą audytora, który sprawdzi, czy określone porcje danych są tam, gdzie być powinny – na obszarze Unii Europejskiej albo – co bywa dzisiaj ważniejsze – wewnątrz Europejskiego Obszaru Gospodarczego. Co więcej, sami zdecydujemy, czy chcemy je tam umieścić, czy mają mieć kopie w innym data center na terenie Unii. To samo dotyczy nie tylko danych, ale także usług. Co do obaw związanych z GIODO, to ten organ wypowiedział się już na temat m.in. naszej chmury, że są spełnione zasady przechowywania danych personalnych zgodnie z postanowieniami Unii Europejskiej.

PB: W dodatku chmura obliczeniowa to bardzo pojemne pojęcie. Dropbox to też chmura, jednak zupełnie inna niż platforma, którą jest Azure. Usługi dla biznesu mają zupełnie inną specyfikę i normy prawno-techniczne niż usługi dla użytkownika indywidualnego. Choć bywa, że jest stawiany pomiędzy nimi znak równości, to różnica jest gigantyczna. Dlatego informacji o wycieku danych z popularnych serwisów konsumenckich, które mają nieporównywalnie inny poziom zabezpieczeń, nie można łączyć z chmurą dla biznesu, obudowaną całą masą certyfikatów i umów podpisywanych z dostawcą.

Samo obalenie mitów nie wystarczy. Trzeba jeszcze pokazać korzyści niedostępne dla kogoś korzystającego tylko z lokalnej infrastruktury. Co daje chmura w kwestii bezpieczeństwa?

PB: Całe mnóstwo rzeczy, na wymienianie których nie starczyłoby nam czasu. Wynikają one przede wszystkim z elementu skali. Nasza chmura jest globalna – to kilkadziesiąt ośrodków połączonych gigantycznymi łączami telekomunikacyjnymi. Te całe mnóstwo infrastruktury jest oczywiście nieustannie celem ataku cyberprzestępców i siłą rzeczy musimy umieć się bronić, żeby wszystko działało sprawnie. Efektem tego jest stale powiększające się doświadczenie i gigantyczna ilość danych, wykorzystywanych nie tylko do ochrony infrastruktury, ale także udostępnianych klientom. Raporty o próbach logowania się z niestandardowych lokalizacji, atakach z wykorzystaniem botnetów czy darknetu albo informacje z monitoringu forów cyberprzestępców to pierwsze z brzegu przykłady. Efekt skali chmury ma też wielkie znaczenie przy obsłudze wydarzeń publicznych, gdzie na krótki czas potrzebujemy rozwiązanie zapewniające dużą skalowalność i jednocześnie bezpieczeństwo, ze względu na duże ryzyko cyberataku. Dobrym pomysłem jest wtedy wykorzystanie usług z chmury i zapewnienie takiego poziomu bezpieczeństwa informatycznego, który w innym przypadku wymagałby dużej ilości infrastruktury zakupionej na coś, co będzie trwać jedynie 2-3 dni. W tym wypadku mówimy o tradycyjnym bezpieczeństwie, w tym ochronie anty-DDoS czy systemach IPS, ale w dużej skali.

MF: Możemy eliminować ataki na klienta, przenosząc je na dostawcę chmury. To chmura staje się pierwszym celem ataku i dopiero wtedy, gdy ruch jest już przesiany i bezpieczny, dociera do klienta. Lokalni operatorzy mogą zapewniać tego rodzaju usługę, ale nie w takiej skali jak nasza. Wyobraźmy sobie też sytuację, gdy bank chce udostępnić swoim klientom aplikację, przez którą będzie można przesłać zdjęcia. Pierwszym pomysłem kogoś, kto będzie chciał skompromitować nową usługę, to próba podrzucenia pornografii czy innych niedopuszczalnych treści. Chmura dysponuje inteligencją potrzebną do analizowania treści i określenia poziomu ich szkodliwości. Stworzenie takiej usługi we własnym centrum danych może być zbyt trudne albo wiązać się ze stratą czasu i zbyt dużymi kosztami.

A gdy ktoś zdecyduje się na przeniesienie usług do chmury, to może przestać martwić się o ich bezpieczeństwo?

MF: Chmura to model współdzielonej odpowiedzialności. Do pewnego stopnia my odpowiadamy, ale za swoją część odpowiada klient. Jeśli źle zaprojektował swoją usługę, to trudno by dostawca chmury brał to na siebie. W chmurze są mechanizmy, także nieodpłatne, które mogą ostrzegać klienta o błędach, generując komunikaty typu „źle zabezpieczyłeś swoją sieć, wpuszczasz cały ruch – nie rekomendujemy tego” albo „twoje maszyny wirtualne nie są zaktualizowane, zalecamy aktualizację”. Po analizie może się też okazać, że do bazy klienta ma dostęp trzydzieści osób, więc zostanie on poinformowany, że to nie jest najlepszy sposób zabezpieczania zasobów. W ten sposób chcemy przekazywać najlepsze praktyki klientom.

PB: Zakresy naszej odpowiedzialności i klienta wynikają ze specyfiki wykorzystywanych usług. W IaaS odpowiedzialność klienta zaczyna się już od systemu operacyjnego, czyli jest duża. Możemy coś zarekomendować, ale jeśli klient nie będzie chciał z naszej rady skorzystać, to tego nie zrobi. W PaaS mamy gotowe usługi infrastrukturalne, takie jak np. serwer SQL czy aplikacyjny „as a service”. W tym wypadku oferowana jest gotową funkcjonalność o dobrze zdefiniowanych parametrach. Klient zasili ją danymi, do pewnego stopnia skonfiguruje, ale za aktualizowanie serwera i wbudowane w usługę mechanizmy, takie jak np. backup, odpowiada już dostawca chmury. I właśnie to jest – jak często powtarza Michał –  prawdziwa chmura, bo IaaS, czyli maszyny wirtualne w chmurze, nie dają tak jak PaaS nowej jakości użytkownikowi. Wreszcie jest SaaS, czyli oprogramowanie dla końcowego użytkownika, takie jak Office czy poczta elektroniczna w chmurze, z najmniejszym poziomem konfiguracji i odpowiedzialności użytkownika.

A co się dzieje, gdy usługa z dużym poziomem odpowiedzialności dostawcy chmury, czyli PaaS albo SaaS, jednak zostanie skompromitowana?

PB: Mógłbym odpowiedzieć, że nie wiemy, bo to się jeszcze nie wydarzyło… Mówimy o chmurze dla przedsiębiorstw. Skorzystanie z Azure wiąże się z umową wypełnioną wieloma punktami o odpowiedzialności Microsoftu, które na poziomie prawnym odpowiadają na wiele sytuacji. To jest właśnie ta różnica w porównaniu z konsumenckimi usługami chmurowymi.

MF: Jeśli już dochodzi do kompromitacji, to jej najbardziej prawdopodobną przyczyną jest przypadkowa utrata danych uwierzytelniających. Przykładowo ktoś chcący podzielić się swoim kodem wrzuca go na portal w rodzaju GitHub, ale wraz ze swoimi kluczami dostępowymi do chmury. Wtedy napastnik nie musi nawet się włamywać. Ponieważ trudno przewidzieć takie sytuacje, to chmura przed nimi nie jest w stanie się obronić, ale pomocą mogą być wspomniane mechanizmy kontroli logowania.

Jeśli więc klient pyta, jak bezpieczna jest wasza chmura, to co mu odpowiadacie?

MF: Można to pytanie odwrócić i poprosić go, by pomyślał, jak chronione jest jego data center. My w tej chwili mamy ponad czterdzieści różnych certyfikacji światowych, które są odnawiane dwa razy w roku. Nie sposób wyobrazić sobie 40 audytorów wchodzących co 6 miesięcy do centrum danych jakiegoś przedsiębiorstwa. Zwykle audytor odwiedza je raz na rok lub dwa lata, czasem nawet rzadziej. Ponieważ Microsoft z chmury zrobił swój podstawowy biznes, to musi zabezpieczyć przed wszystkimi sytuacjami, o jakich rozmawiamy. Nie ma innego wyjścia.