Cloud security: Στο σύννεφο που εμπιστευόμαστε;

Το cloud computing είναι το θέμα που το τελευταίο διάστημα σχεδόν μονοπωλεί κάθε συζήτηση των επαγγελματιών του ΙΤ. Και πολύ νωρίς σε κάθε συζήτηση σχετικά με τα προβεβλημένα μοντέλα cloud -Software as a Service, Infrastructure as a Service ή Platform as a Service- το ενδιαφέρον στρέφεται στο ζήτημα της ασφάλειας.

Το cloud computing συγκρίνεται συχνά με την εξάπλωση του ηλεκτρισμού. Τα νοικοκυριά, οι επιχειρήσεις και οι πόλεις δεν ήθελαν να παράγουν ή να βασίζονται στις δικές τους πηγές ενέργειας. Ξεκίνησαν λοιπόν να συνδέονται με μεγαλύτερα δίκτυα ηλεκτρικής ενέργειας, τα οποία υποστηρίζονταν και ελέγχονταν από τις δημόσιες (ή μη) εταιρείες ηλεκτρικής ενέργειας, επιτυγχάνοντας με αυτό τον τρόπο εξοικονόμηση χρόνου και κόστους, καθώς και μεγαλύτερη πρόσβαση αλλά και περισσότερο αξιόπιστη διαθεσιμότητα ηλεκτρικής ενέργειας.

Παρομοίως, το cloud computing αντιπροσωπεύει μία σημαντική ευκαιρία τόσο για τους παρόχους υπηρεσιών, όσο και για τις εταιρείες. Με το να βασιστούν στο cloud computing, οι εταιρείες μπορούν να επιτύχουν μειώσεις κόστους, ευελιξία και περισσότερες επιλογές όσον αφορά στους υπολογιστικούς πόρους.
Η τάση παρουσιάζεται ολοένα αυξανόμενη: οι οργανισμοί στρέφονται στο cloud computing για να βελτιώσουν τη λειτουργική τους αποδοτικότητα και να ενισχύσουν την κερδοφορία τους.

Σύμφωνα τον Milind Goverak, αναλυτή της Gartner, το cloud computing εκτοξεύτηκε το 2010 στη δεύτερη θέση της λίστας τoυ ετήσιου CIO survey της Gartner για τις κυρίαρχες τεχνολογικές επενδύσεις, από τη 16η θέση που ήταν το 2009. «Και όπως οτιδήποτε καινούργιο, η βασικότερη ανησυχία είναι η ασφάλεια», υποστηρίζει ο ίδιος. Στην πραγματικότητα, η μεγάλη πλειοψηφία των εταιρειών που εξετάζουν λύσεις cloud computing, όπως λέει, θα προτιμούσαν να δημιουργήσουν ένα virtualized data center σε δικό τους premise -αυτό που κάποιοι ονομάζουν private cloud-, καθώς δεν νιώθουν άνετα με τα ζητήματα ασφάλειας που προκύπτουν από το cloud computing αλλά και την ικανότητα του κλάδου να τα αντιμετωπίσει.

«Είμαστε στα αρχικά στάδια ενός συναρπαστικού ταξιδιού σε ένα καινούργιο πληροφορικό μοντέλο, που παρά τα διαδεδομένα πλεονεκτήματά του, από την άποψη της ασφάλειας και των κινδύνων, είναι δύσκολο να το διαχειριστούμε», επισημαίνει ο Jay Heiser, επίσης αναλυτής της Gartner. «Τα στοιχεία αυτά που καθιστούν εύκολο και ελκυστικό το cloud computing -όπως η άμεση plug-and-play παραγωγικότητα- είναι ταυτόχρονα τα στοιχεία που καθιστούν δύσκολη, αν όχι αδύνατη, την αποτίμηση των συσχετιζόμενων κινδύνων. Οι υπάρχουσες πιστοποιήσεις, όπως το SAS 70 και το ISO 27001 και 27002, δεν επαρκούν», υποστηρίζει ο Heiser, «δημιουργώντας απογοήτευση τόσο σε παρόχους όσο και στις εταιρείες».

Για αυτό το λόγο, η διασφάλιση των περιβαλλόντων cloud computing θα αποτελέσει τη βασική εστίαση των επενδύσεων των παρόχων τα επόμενα χρόνια, λέει ο Jonathan Penn, αναλυτής της Forrester Research. Βραχυπρόθεσμα, οι χρήστες θα κληθούν να «κάνουν όλη τη δουλειά, αλλά μακροπρόθεσμα οι πάροχοι cloud υπηρεσιών θα αξιοποιήσουν την ευκαιρία να διαφοροποιηθούν από τον ανταγωνισμό ενσωματώνοντας οι ίδιοι την ασφάλεια».

Από την άλλη, οι πάροχοι τεχνολογιών και υπηρεσιών ασφάλειας που είχαν συνηθίσει να πωλούν απευθείας στις εταιρείες θα ανακαλύψουν ότι χρειάζονται τους παρόχους cloud ως το μέσο για να φτάσουν στην αγορά, λέει ο Penn, και καθώς η αγορά θα ωριμάζει, οι εταιρείες θα αξιώνουν αυτά τα πράγματα ενσωματωμένα στην υπηρεσία που αγοράζουν. «Αυτό θα αποτελέσει μία μάλλον δραστική αλλαγή και αναταραχή», προσθέτει.

Ανησυχίες και προβληματισμοί
Οι ανησυχίες για την ασφάλεια και την ιδιωτικότητα, λοιπόν, υψώνουν ένα σημαντικό εμπόδιο. Σε μια εποχή που οι συνέπειες και τα πιθανά κόστη από λάθη αυξάνονται με γεωμετρική πρόοδο για τις εταιρείες που διαχειρίζονται εμπιστευτικά και ιδιωτικά δεδομένα, οι εταιρείες και ειδικά τα τμήματα Πληροφορικής πρέπει να αναπτύξουν καλύτερους τρόπους για την αξιολόγηση των πρακτικών ασφάλειας και μυστικότητας στις υπηρεσίες cloud computing. Σε αντιδιαστολή με το παραδοσιακό outsourcing, που εξακολουθεί να βασίζεται κυρίως σε αυτόνομο computing, το cloud διαχωρίζει τα δεδομένα από την υποδομή και «κρύβει» χαμηλού επιπέδου λειτουργικές λεπτομέρειες, όπως το πού βρίσκονται τα δεδομένα σας και πώς γίνονται replicated.

Το multitenancy, παρόλο που σπανίως χρησιμοποιείται στο παραδοσιακό IT outsourcing, είναι σχεδόν δεδομένο στις υπηρεσίες cloud computing. Αυτές οι διαφορές δίνουν ώθηση σε μία σειρά μοναδικών θεμάτων ασφάλειας και ιδιωτικότητας που επηρεάζουν τις πρακτικές διαχείρισης κινδύνου της εταιρείας, αλλά επίσης προκαλούν μία καινούργια θεώρηση νομικών ζητημάτων σε περιοχές όπως η συμμόρφωση, το auditing κ.ά.

Μέσα από μία σειρά συνεντεύξεων και συζητήσεων τόσο με παρόχους όσο και με χρήστες Πληροφορικής σχετικά με τα ζητήματα ασφάλειας γύρω από τις υπηρεσίες cloud computing, η Forrester κατέληξε σε τρεις βασικές περιοχές τις οποίες πρέπει να λάβουν υπόψη τους οι εταιρείες:

1. Ασφάλεια και μυστικότητα (privacy). Ανησυχίες όπως η προστασία των δεδομένων, η λειτουργική ακεραιότητα, η διαχείριση τρωτότητας, το business continuity (BC), το disaster recovery (DR) και το identity management (ΙΑΜ) είναι τα πρώτα στη λίστα των ζητημάτων ασφάλειας του cloud computing. Η μυστικότητα είναι άλλη μία βασική ανησυχία – τα δεδομένα που μια υπηρεσία συγκεντρώνει σχετικά με το χρήστη δίνουν στον πάροχο σημαντικές πληροφορίες marketing, ενώ μπορεί επίσης να οδηγήσει και σε κακή χρήση ή παραβίαση της ιδιωτικότητας. Ενας τρόπος που οι εταιρείες μπορούν να αξιολογήσουν τις πρακτικές ασφάλειας και μυστικότητας του παρόχου cloud υπηρεσιών είναι μέσω του auditing, το οποίο μπορεί να βοηθήσει στην απόκτηση κάποιας ορατότητας στις εσωτερικές λειτουργίες του παρόχου.

Ωστόσο, το auditing αντιτάσσεται στο βασικό χαρακτηριστικό του cloud computing, που είναι η παράβλεψη των λειτουργικών λεπτομερειών και η παροχή εύκολων στη χρήση interfaces και APIs. Ενας πάροχος cloud υπηρεσιών μπορεί να μην επιτρέψει εσωτερικούς ελέγχους (internal audits), αλλά θα πρέπει να προσφέρει provisions για κάποια μορφή εξωτερικών ελέγχων για την υποδομή τους και το δίκτυό τους.

2. Συμμόρφωση. Οι εταιρείες που πρέπει να ανταποκριθούν σε απαιτήσεις συμμόρφωσης θα πρέπει να κατανοήσουν πού και πώς η χρήση υπηρεσιών cloud computing μπορεί να επηρεάσει τους στόχους συμμόρφωσής τους. Η μυστικότητα των δεδομένων και η επιχειρησιακή συνέχεια είναι δύο μεγάλα κομμάτια της συμμόρφωσης. Ενας μεγάλος αριθμός νόμων και κανονιστικών πλαισίων εγείρουν συγκεκριμένες απαιτήσεις ως προς τη διαχείριση δεδομένων και τον σχεδιασμό business continuity.

Για παράδειγμα, ρυθμιστικά πλαίσια της Ευρωπαϊκής Ενωσης (και της Ιαπωνίας) ορίζουν ότι η αποθήκευση και διαχείριση προσωπικών δεδομένων -το email είναι μια μορφή προσωπικών δεδομένων αναγνωρισμένη από την ΕΕ- πρέπει να γίνεται σε data centers που βρίσκονται στην Ευρωπαϊκή Ενωση (ή στην Ιαπωνία, αντίστοιχα).

3. Νομικά και συμβατικά ζητήματα. Η ευθύνη και η πνευματική ιδιοκτησία είναι δύο μόνο από τα νομικά ζητήματα που πρέπει να λάβει υπόψη μια εταιρεία. Η ευθύνη δεν είναι πάντα ξεκάθαρη όταν πρόκειται για υπηρεσίες cloud. Το ίδιο ισχύει και για την πνευματική ιδιοκτησία. Για κάποιες υπηρεσίες, το ζήτημα της πνευματικής ιδιοκτησίας είναι ξεκάθαρο – ο πάροχος cloud υπηρεσιών είναι ο ιδιοκτήτης της υποδομής και των εφαρμογών, ενώ η εταιρεία-χρήστης είναι ιδιοκτήτης των δεδομένων και των υπολογιστικών αποτελεσμάτων.

Σε άλλες περιπτώσεις, όμως, ο διαχωρισμός δεν είναι τόσο ξεκάθαρος. Μερικές φορές, όπως για παράδειγμα στο software components-as-a-service, είναι δύσκολο να περιγραφεί ποιος κατέχει τι και ποια δικαιώματα έχει ο πελάτης πάνω στον πάροχο. Είναι λοιπόν απαραίτητο να ρυθμιστεί η ευθύνη και τα ζητήματα πνευματικής ιδιοκτησίας πριν ξεκινήσει η υπηρεσία. Αλλα συμβατικά ζητήματα περιλαμβάνουν την end-of-service υποστήριξη – όταν τελειώσει η σχέση παρόχου-πελάτη, τα δεδομένα του πελάτη και οι εφαρμογές πρέπει να «πακεταριστούν» και να παραδοθούν στον πελάτη, και όποια εναπομείναντα αντίγραφα των δεδομένων του πελάτη πρέπει να διαγραφούν από τις υποδομές του παρόχου.

Ταυτόχρονα, οργανισμοί όπως το Cloud Security Alliance (CSA) εργάζονται προκειμένου να θέσουν ένα πλαίσιο γύρω από τα ζητήματα ασφάλειας και τους τρόπους για την αντιμετώπισή τους. Μέσα στο 2010, το CSA κυκλοφόρησε μία περίληψη των στρατηγικών και τακτικών σημείων αυτών ασφάλειας που… «πονάνε», καθώς και συστάσεις για την αντιμετώπισή τους. Ο οργανισμός χώρισε τις περιοχές αυτές σε δύο ευρείες κατηγορίες: διακυβέρνηση (governance) και λειτουργίες (operations).

Οι περιοχές που τοποθετούνται κάτω από την κατηγορία διακυβέρνηση περιλαμβάνουν:
• Διακυβέρνηση και ERM
• Συμμόρφωση και έλεγχοι
• Νομικό και ηλεκτρονικό discovery
• Information lifecycle management
• Μεταφερσιμότητα και διαλειτουργικότητα.

Οι περιοχές που τοποθετούνται κάτω από την κατηγορία operations περιλαμβάνουν:
• Παραδοσιακή ασφάλεια, business continuity και disaster recovery
• Data center operations
• Ασφάλεια εφαρμογών
• Incident response, notification & remediation
• Κρυπτογράφηση και key management
• Identity & access management
• Virtualization.

Οι security experts λένε…
Ποια αναμένουν οι Chief Security Officers και οι υπόλοιποι ΙΤ Security experts να είναι τα πρώτα ζητήματα ασφάλειας στο cloud computing για τη χρονιά που διανύουμε; Το csoonline.com αναφέρει τα παρακάτω πέντε ζητήματα που χρήζουν προσοχής τους επόμενους μήνες, σταχυολογώντας τις απόψεις έμπειρων στελεχών της αγοράς:
1. Τα smartphones και …το πάρε-δώσε δεδομένων. Ολοένα και περισσότεροι χρήστες θα έχουν πρόσβαση σε μεγάλους όγκους δεδομένων μέσα από συσκευές της επιλογής τους, λέει ο Randy Barr, Chief Security Officer στην Qualys Inc. και μέλος του Cloud Security Alliance.

«Και αυτό συνοδεύεται από πολλά μη αντιμετωπιζόμενα ζητήματα ασφάλειας», υποστηρίζει ο ίδιος. «Αναμένουμε νέες λύσεις για την κάλυψη των αναγκών των κινητών συσκευών, αλλά είναι πιθανό να βιώσουμε μεγάλες παραβιάσεις που θα αναδεικνύουν το ζήτημα του mobile security, πριν δούμε μια λύση». Ανάμεσα στα πιθανά σενάρια, πάντα σύμφωνα με τον Barr, είναι το μη ασφαλές cloud-based back-up και τα άκρως εμπιστευτικά δεδομένα στις κινητές συσκευές.

«Υπάρχουν κάποιες ενδιαφέρουσες αλληλο-εξαρτήσεις όταν χρησιμοποιούνται πολλαπλές cloud υπηρεσίες σε κινητές συσκευές, με συχνά διαφορετικά μοντέλα ασφάλειας», επισημαίνει. Και συνεχίζει «Ενας «hacked» πάροχος cloud μπορεί, άθελά του, να παράσχει μαζική πρόσβαση σε εμπιστευτικά δεδομένα κινητών συσκευών, όταν οι mobile χρήστες χρησιμοποιούν cloud-based υποστήριξη στις συσκευές τους».

Επιπλέον, η κλοπή ή η απώλεια των συσκευών ενέχει τον κίνδυνο κακόβουλης πρόσβασης σε cloud υπηρεσίες και δεδομένα. «Οι mobile εφαρμογές συχνά παρέχουν απευθείας και αυτοματοποιημένη πρόσβαση σε υπηρεσίες cloud και δεδομένα».

2. Ανάγκη για καλύτερο έλεγχο πρόσβασης και διαχείριση ταυτότητας. «Το cloud από τη φύση του είναι άκρως virtualized και federated, και για αυτό οι εταιρείες χρειάζονται μία προσέγγιση που θα καθιερώνει τον έλεγχο και τη διαχείριση των ταυτοτήτων (identity management) για όλο το cloud, καθώς και για τα… σύννεφα των άλλων», υποστηρίζει ο Alan Boehme, Senior Vice President για την ΙΤ στρατηγική και αρχιτεκτονική στην ING. «Υπάρχουν φυσικά λύσεις και υπηρεσίες τρίτων εταιρειών που ανταποκρίνονται σε αυτά τα ζητήματα, αλλά αυτά μπορεί να μην είναι αρκετά για μεγάλες εταιρείες που διαθέτουν ένα μίγμα από legacy και από cloud components».

3. Συνεχείς ανησυχίες για θέματα συμμόρφωσης. «Πιστεύω ότι η συμμόρφωση, θα εξακολουθήσει να αποτελεί ζήτημα ασφάλειας», υποστηρίζει ο Andy Ellis, CSO, Akamai.

4. Ο κίνδυνος των πολλαπλών «ενοίκων» του σύννεφου. Με δεδομένο ότι οι περισσότερες υπηρεσίες cloud αξιοποιούν σημαντικά τεχνολογίες virtualization, οι κίνδυνοι που σχετίζονται με τη φιλοξενία δεδομένων πολλών οργανισμών σε μία φυσική hypervisor πλατφόρμα υπάρχει, και θα εξακολουθήσουν να υπάρχουν μέχρι να θεσπιστούν μέτρα κατάτμησης, σύμφωνα με τον Dave Shacklefold, Επικεφαλής Security, Risk & Compliance στην Sword & Shield Enterprise Security.

5. Ανάδυση προτύπων και πιστοποιήσεων. Καθώς η ασφάλεια θα αποτελέσει κρίσιμο παράγοντα στην επιλογή cloud υπηρεσιών, τα πρότυπα και οι πιστοποιήσεις θα καταστούν εξαιρετικά σημαντικά στοιχεία τα οποία θα βοηθήσουν να εκτιμήσουν πόσο ασφαλή είναι τα δεδομένα τους. Προφανώς και οι εταιρείες που αξιοποιούν cloud υπηρεσίες θα εξακολουθήσουν να αξιοποιούν τις υπάρχουσες διαδικασίες για την αξιολόγηση της ασφάλειας που προσφέρουν οι πάροχοι cloud υπηρεσιών, αλλά θα επιζητούν και κάποια από τα πλέον δημοφιλή πρότυπα και best practices.

Αντί επιλόγου…
Παρόλο που το cloud computing μπορεί να προσδώσει πολλαπλά οφέλη, οι εταιρείες δεν πρέπει να βιαστούν να «ανέβουν στο βαγόνι» του cloud χωρίς επιτακτικούς επιχειρηματικούς λόγους και χωρίς σαφή κατανόηση των ζητημάτων ασφάλειας, μυστικότητας και συμμόρφωσης, καθώς και των νομικών συνεπειών. Μία αποτελεσματική στρατηγική που θα καλύπτει όλα αυτά τα ζητήματα θα βοηθήσει τις εταιρείες να κατακτήσουν τον απόλυτο στόχο: να κάνουν τις υπηρεσίες cloud να λειτουργούν όπως το δικό τους τμήμα ΙΤ security και να βρουν τρόπους να διασφαλίσουν και να μεγιστοποιήσουν τις επενδύσεις τους στο σύννεφο.

Η ασφάλεια και το νομικό τοπίο όσον αφορά το cloud computing είναι ακόμα γεμάτο με αστοχίες και αβεβαιότητες. Σε μακροπρόθεσμο ορίζοντα, ωστόσο, είναι σίγουρο ότι οι πάροχοι cloud υπηρεσιών θα εξακολουθούν να βρίσκουν οικονομίες κλίμακας, όχι μόνο για τις βασικές τους υπηρεσίες αλλά και για τη διαχείριση της ασφάλειας.

Προκειμένου να αξιοποιήσουν πλήρως τη δύναμη του cloud computing, οι εταιρείες πρέπει να επιτύχουν εγγυήσεις για τη διαχείριση της ασφάλειας, της μυστικότητας και των ζητημάτων συμμόρφωσης. Για το σκοπό αυτό χρειαζόμαστε, σύμφωνα με τη Forrester, μία αγορά με ανοιχτά standards, σαφέστερες ρυθμίσεις και community-driven διαλειτουργικότητα.

Μία προσέγγιση βάσει προτύπων θα καταστήσει ευκολότερη την υποστήριξη ευελιξίας από την πλευρά των παρόχων, καθώς και την παροχή διευρυμένων υπηρεσιών cloud, ενώ θα είναι πιο εύκολο για τις εταιρείες να αξιολογήσουν τους παρόχους και να εμπιστευτούν τις υποσχέσεις τους για ασφάλεια και μυστικότητα.