Στους αμέτρητους προβληματισμούς των CIOs σχετικά με το σύγχρονο τοπίο των απειλών, προστίθενται πλέον και τα ερωτήματα σχετικά με την ασφάλεια του cloud αλλά και την καταλληλότητα του μοντέλου του security-as-a-service.
Η μεγαλύτερη πρόκληση στον τομέα της ασφάλειας σήμερα δεν είναι άλλη από τη διαχείριση της πολυπλοκότητας του όλου θέματος: των σημείων και των επιπέδων στα οποία θα πρέπει να «ασφαλίζει» κανείς την υποδομή Πληροφορικής μιας επιχείρησης και των χρηστών της. Στη διαπίστωση αυτή καταλήγει η σχετική έρευνα (Strategic Security Survey 2012) που ολοκλήρωσε πρόσφατα το περιοδικό InformationWeek.
Αν κάτι μπορεί να αποτελέσει μεγαλύτερο εφιάλτη από την ασφάλεια, αυτό είναι η πολυπλοκότητά της. Υπάρχουν πάρα πολλές απειλές προς παρακολούθηση, πάρα πολλές τεχνολογίες προς εγκατάσταση, πάρα πολλές πολιτικές προς επιβολή και καμία εγγύηση ότι οποιαδήποτε από αυτές θα μειώσει στ’ αλήθεια τον κίνδυνο. Στις δεκάδες των προβληματισμών προστίθενται πλέον και τα ερωτήματα σχετικά με την ασφάλεια του cloud αλλά και την καταλληλότητα της εναλλακτικής του security-as-a-service.
Για να μπορέσει κανείς να λειτουργήσει με σύνεση μέσα σε ένα υπερβολικά σύνθετο πλαίσιο, θα πρέπει να δώσει προτεραιότητα στις απειλές εκείνες που είναι πιθανότερο να πλήξουν την επιχείρησή την οποία προσπαθεί να προστατεύσει. Παράλληλα, αντί να ανησυχεί για τις δεκάδες των απειλών που δεν μπορεί να ελέγξει ή να προβλέψει, θα πρέπει να εστιάσει στα σημεία εκείνα όπου έχει τη δυνατότητα να ασκήσει έλεγχο.
Prove your…cloud
Ενα από τα κρισιμότερα σημεία για κάθε επιχείρηση που «αγοράζει» υπηρεσίες cloud είναι ο έλεγχος της ασφάλειας που παρέχει ο cloud provider. Ωστόσο το 2011, μόλις το 18% των εταιρειών που προμηθεύτηκαν σχετικές υπηρεσίες προέβησαν σε έλεγχο της ασφάλειας των προμηθευτών τους. Το 2012, το ποσοστό αυτό ανέβηκε στο 29%.
Επιπλέον, το 14% των ερωτηθέντων στο πλαίσιο της σχετικής έρευνας του InformationWeek, βασίζονται στα reports που βγάζουν οι ίδιοι οι vendors ώστε να εγγυηθούν για το επίπεδο της ασφάλειας που παρέχουν. Δεν δικαιολογείται όμως κανείς να δείχνει τυφλή εμπιστοσύνη σε αναφορές όπως αυτές. Μια διαφορετική προσέγγιση είναι η σύγκριση των πρακτικών που ακολουθεί ο cloud provider με τις βέλτιστες πρακτικές που επισημαίνει το ανεξάρτητο Cloud Security Alliance (CSA).
Οι πρακτικές αυτές καλύπτουν μια σειρά από διαφορετικούς τομείς, συμπεριλαμβανομένης της κρυπτογράφησης, του data center management, της αρχιτεκτονικής cloud και της ασφάλειας των εφαρμογών. Το CSA παρέχει επίσης και το εργαλείο STAR (Security Trust and Assurance Registry), όπου καταγράφονται οι έλεγχοι ασφαλείας που παρέχουν οι διάφοροι cloud vendors.
Οσον αφορά τους κινδύνους του cloud computing, ο βασικός προβληματισμός των ερωτηθέντων στο πλαίσιο της έρευνας του Information Week είναι η μη εξουσιοδοτημένη πρόσβαση σε και/ή διαρροή πελατειακών δεδομένων. Οι προτεραιότητες αυτές παρέμειναν αμετάβλητες από το 2011 στο 2012. Αλλοι προβληματισμοί αφορούν πιθανές ατέλειες στην τεχνολογία του cloud και το ενδεχόμενο απώλειας δεδομένων της επιχείρησης.
Security, made in cloud
Οι έννοιες του cloud και της ασφάλειας συνδέονται με έναν ακόμη τρόπο: το cloud μπορεί να λειτουργήσει σαν βάση παροχής υπηρεσιών ασφαλείας, σε ένα μοντέλο που ονομάζεται security-as-a-service. Η λογική του security-as-a-service είναι παρόμοια με εκείνη του software-as-a-service: η ασφάλεια παρέχεται υπό τη μορφή υπηρεσίας, προκειμένου να μειώσει το κόστος εστιάζοντας στις πραγματικές ανάγκες της επιχείρησης.
Στο πακέτο του security-as-a-service συνδυάζονται συνήθως η προστασία από απειλές Web και email, η παρακολούθηση του inbound & outbound network traffic και η αξιολόγηση ενός εξωτερικού website ως προς τυχόν τρωτά σημεία. Οι πρώτες απόπειρες για λύσεις security-as-a-service αποτελούσαν μια απλή μετατόπιση της κεντρικής κονσόλας διαχείρισης της ασφάλειας στο cloud.
Σταδιακά, ωστόσο, αξιοποιήθηκαν περισσότερες δυνατότητες του cloud και προέκυψαν λύσεις οι οποίες, για παράδειγμα, εξοικονομούν υπολογιστική ισχύ εκτελώντας την ανάλυση του malware στο cloud και όχι στο desktop. Επιπλέον, η ανάλυση αυτή γίνεται έτσι γρηγορότερα ενώ παράλληλα δημιουργείται μια γενική άποψη για το τοπίο των κοινών απειλών που αντιμετωπίζουν πολλαπλές επιχειρήσεις-πελάτες.
Τι προσφέρεται για security-as-a-service, και τι όχι
Αν και οι λύσεις security-as-a-service περιλαμβάνουν ολοένα και περισσότερες λειτουργικότητες ασφάλειας, η προσέγγιση αυτή εξακολουθεί να έχει τα υπέρ και τα κατά της. Πολλές λύσεις security-as-a-service απαιτούν επίσης την τοποθέτηση software agent σε κάθε end point. Κι επειδή αυτό αποτελεί μάλλον αναγκαίο κακό, αξίζει κανείς να αναζητήσει λύσεις που αυτοματοποιούν την εγκατάσταση και τα updates των software agents.
Σε ένα ευρύτερο, και πιο στρατηγικό πλαίσιο, αξίζει να προτιμήσει κανείς μια λύση security-as-a-service που, όχι απλά μειώνει το συνολικό κόστος κτήσης, αλλά και που αξιοποιεί την τεχνογνωσία και την κλίμακα του παρόχου της υπηρεσίας προκειμένου να βελτιώσει τις ίδιες τις διαδικασίες της ασφάλειας. Ετσι λοιπόν, έχει νόημα να ανεβάσει κανείς το κομμάτι της προστασίας του email και του Web στο cloud, επειδή τα δεδομένα που ρέουν στο Internet είναι πάνω-κάτω ίδια για όλους και θα έχουν «καθαριστεί» πριν ακόμα μπουν στο εταιρικό δίκτυο.
Ενα παράδειγμα τομέα ασφάλειας που μάλλον δεν ταιριάζει και τόσο στο cloud είναι το firewall. Οι συσκευές αυτές απαιτούν άμεση πρόσβαση σε όλο το network traffic και το relay των δεδομένων μπρος-πίσω, θα γονάτιζε το δίκτυο. Αντίστοιχα, λύσεις που φέρουν στενή σύνδεση με εσωτερικούς πόρους (όπως το λογισμικό authentication και access-control) λειτουργούν καλύτερα on-site, παρά στο cloud.
Αλλο SLA, άλλο ασφάλεια
Σε επίπεδο cloud computing, η ασφάλεια είναι συνήθως κάτι που ο «αγοραστής» των υπηρεσιών cloud εμπιστεύεται στον πάροχό του. Υπάρχουν όμως κάποιες πληροφορίες που θα πρέπει να συλλέξει ο ίδιος, προκειμένου η εμπιστοσύνη αυτή να είναι ουσιαστική. Η έννοια του SLA, όπως και όλες οι μετρήσεις που πραγματοποιούνται από τον ίδιο τον πάροχο, δεν επαρκούν για την αποτίμηση της ασφάλειας μιας συγκεκριμένης υπηρεσίας.
Σε αυτό συμφώνησαν άλλωστε και τρεις διεθνείς experts του cloud που βρέθηκαν στην Αθήνα ως προσκεκλημένοι ομιλητές του Cloud Computing Conference του περιοδικού netweek. Ο Geva Perry, αναγνωρισμένος ως ένας από τους 12 κορυφαίους cloud thinkers, πρότεινε τον έλεγχο της απόδοσης των παρόχων cloud μέσα από εργαλεία real-time παρακολούθησης, όπως το Cloudsleuth (https://cloudsleuth.net/)
Ο Daniele Catteddu, Managing Director EMEA, Cloud Security Alliance αμφισβήτησε τη σημασία του SLA αναφερόμενος στο χαρακτηριστικό παράδειγμα της διακοπής λειτουργίας της Amazon. Μπορεί τα συστήματά της να μη λειτούργησαν για δύο ολόκληρα εικοσιτετράωρα, ωστόσο η εταιρεία προσδιορίζει το SLA της σε ετήσια βάση και μπόρεσε έτσι να ισχυριστεί ότι «σεβάστηκε» τα συμβόλαιά της.
Για βέλτιστες πρακτικές ασφαλούς cloud computing, ο Daniele Catteddu παρέπεμψε στο wiki.cloudsecurityalliance.org/guidance.Σαν καταληκτικό σχόλιο πάνω στο θέμα του cloud security, ο Αντώνης Πατρίκιος, Senior Associate της Field Fisher Waterhouse LLP του Λονδίνου, έκανε έναν πολύ χαρακτηριστικό παραλληλισμό μεταξύ του ταξιδιού με αεροπλάνο και της μετάβασης σε cloud.
Πολλοί από εμάς φοβόμαστε όταν μπαίνουμε σε ένα αεροπλάνο, ωστόσο εμπιστευόμαστε τον αερομεταφορέα που επιλέξαμε και δεν μπαίνουμε σε διαδικασία να τον ρωτήσουμε γιατί διάλεξε έναν συγκεκριμένο τύπο μάσκας ή χρώμα σωσίβιου. Με τον ίδιο τρόπο, θα πρέπει να εμπιστευόμαστε και τις επιλογές του παρόχου cloud με τον οποίο αποφασίζουμε να «πετάξουμε».
9 προβληματισμοί CIOs σχετικά με το cloud
1. Downtime των συστημάτων/διακοπές λειτουργίας
2. Εκθεση ή απώλεια δεδομένων κατά τη μεταφορά των αρχείων στο cloud
3. Προβληματισμοί για την κρυπτογράφηση των δεδομένων
4. Φυσική ασφάλεια των data centers των παρόχων υπηρεσιών cloud
5. Τρωτά σημεία της “shared” τεχνολογίας (π.χ. multi-tenacy)
6. Κακόβουλη δραστηριότητα από εσωτερικούς παράγοντες ή administrators των cloud providers
7. Αναγνώριση και authentication των χρηστών
8. Δυσκολία σύγκρισης και αξιολόγησης του επιπέδου ασφαλείας που παρέχουν διαφορετικοί cloud providers
9. Συμμόρφωση με νομικές και κανονιστικές απαιτήσεις.