Τα υπολογιστικά νέφη (cloud computing infrastructures) αποτελούν το κυρίαρχο τεχνολογικό “hype” της σημερινής εποχής, αλλά και μια πραγματικότητα, η οποία εγκαθιδρύθηκε και θα συνεχίσει να αναπτύσσεται διαρκώς. Παρόλα αυτά, η ασφάλεια του cloud αποτελεί έναν από τους μεγαλύτερους αποτρεπτικούς παράγοντες για την αποδοχή του σε παγκόσμιο επίπεδο.

Πολλές επιχειρήσεις εγείρουν αμφιβολίες και ερωτήματα σχετικά με το επίπεδο ασφάλειας των δεδομένων τους όταν βρεθούν στο cloud, την ασφάλεια της διασύνδεσης με το τοπικό τους δίκτυο, τον έλεγχο πρόσβασης στα δεδομένα τους, τις απαιτήσεις για κανονιστική συμμόρφωση κ.λπ. Παράλληλα, η απουσία ενός αναγνωρισμένου προτύπου ασφάλειας για υπολογιστικά νέφη καθιστά δύσκολο τον σχεδιασμό και υλοποίηση των κατάλληλων δικλείδων ασφάλειας από τους πιθανούς παρόχους cloud (Cloud Service Provider – CSP).

Η απουσία ενός προτύπου ασφάλειας ειδικά διαμορφωμένου για το cloud computing, δεν μπορεί, όμως, να αποτελεί τροχοπέδη για την ανάπτυξη και παροχή πολύτιμων υπηρεσιών σε επιχειρήσεις. Αντιθέτως, βασισμένοι σε ήδη υπάρχοντα πρότυπα και πρακτικές, οι πιθανοί CSPs μπορούν να κάνουν ένα πολύ μεγάλο βήμα προς την άρση των ενδοιασμών των επιχειρήσεων και την εν τέλει ασφαλή παροχή υπηρεσιών cloud.

Οι δικλείδες ασφάλειας που ένας πάροχος πρέπει να λάβει υπόψη του είναι απαραίτητο να καλύπτουν όλο το φάσμα της λειτουργίας της υπηρεσίας cloud, τόσο σε οργανωτικό, όσο και σε τεχνικό επίπεδο:

  • Οργανωτική Δομή Ασφάλειας, συμπεριλαμβανομένου του Πλαισίου Ασφάλειας Πληροφοριών και Επιτροπής Ασφάλειας Πληροφοριών
  • Ασφάλεια Δικτυακού Επιπέδου, όπως Firewall, IDS/IPS, VPN, Κατάτμηση Δικτύου, Φυσική και Περιβαλλοντική Ασφάλεια, Απομόνωση πελατών – tenants κ.λπ.
  • Ασφάλεια Επιπέδου Συστημάτων, όπως Ασφάλεια Διακομιστών, SIEM (Security Information & Event Management), Privilege access management, κ.λπ.
  • Ασφάλεια Επιπέδου Εφαρμογών, όπως Τείχος Ασφάλειας Εφαρμογών (web application firewall), source code reviews κ.λπ.
  • Ασφάλεια Επιπέδου Δεδομένων, όπως Αποτροπή Διαρροής Δεδομένων και Data encryption (όπου αυτό είναι απαιτητό, π.χ. AES-256)
  • Πιστοποίηση αρχιτεκτονικής και δικλείδων ασφάλειας από ανεξάρτητη τρίτη αρχή με βάση ήδη αναγνωρισμένα πρότυπα όπως ISO 27001:2005

Επιπρόσθετα βήματα
Οι δικλείδες ασφάλειας, καθώς και η πιστοποίηση κατά ISO 27001:2005 δεν αποτελούν τα μόνα βήματα που ένας CSP μπορεί να επιλέξει για τη διασφάλιση των πελατών του. Η πιστοποίηση του δημόσιου υπολογιστικού νέφους, με τις απαιτήσεις πλαισίων, όπως το Open Certification Framework του Cloud Security Alliance (CSA), είναι ένα επιπρόσθετο βήμα που οι εταιρείες πρέπει να υλοποιούν, ώστε να είναι στην ίδια λίστα πιστοποίησης με διεθνώς αναγνωρισμένους παρόχους όπως οι Amazon, Firehost, HP, Microsoft, RedHat, Symantec, Verizon Terremark κ.λπ. (CSA Security, Trust & Assurance Registry – STAR) και στην οποία προσφάτως η Intracom Telecom με τηv hol έχουν συμπεριληφθεί.

Η προσήλωση στη συνεχή βελτίωση των δομών της υπηρεσίας cloud, καθώς και στην ισχυροποίηση των υποδομών και διαδικασιών ασφάλειας που διέπουν την λειτουργία της, είναι ένας από τους κύριους παράγοντες διαφοροποίησης από τον ανταγωνισμό. Η συνεχής δέσμευση στην ανάπτυξη καινοτόμων υπηρεσιών με γνώμονα την υποστήριξη των αναγκών των πελατών πρέπει να αποτελεί μονόδρομο για κάθε εταιρεία που δραστηριοποιείται στο χώρο του cloud.