Egyik legfontosabb oka az adatok és alkalmazások felhőbe költöztetésének a költségcsökkentés: a vállalatoknak csak azokért a szolgáltatásokért – számítási teljesítmény, tárkapacitás, hálózati sávszélesség – kell fizetniük, amelyeket ténylegesen használnak. Ez óriási megtakarítást eredményezhet a nem hatékonyan kihasználható állandó infrastruktúra kiépítésének és fenntartásának költségeihez képest. Azonban az erőforrások másokkal való megosztása növeli az adatok illetéktelen kezekbe kerülésének kockázatát, hívja fel a figyelmet a felhő használatának veszélyeire az integrált IT-megoldásokat szállító CDW tanulmánya.
A hackerek az egyik felhős alkalmazás sebezhetőségeinek a kihasználásával ellenőrzést szerezhetnek az ugyanazon a fizikai szerveren lévő többi alkalmazás felett, igaz, ehhez fel kell törniük a rendkívül biztonságos kialakítású mögöttes hypervisor infrastruktúrát, s erre van is esélyük, hiszen nem létezik sérülékenység nélküli szoftver. S mivel egy felhőkörnyezetben a szerverek többnyire ugyanazt a hypervisort használják, az ebben lévő sérülékenységek az egész felhőt veszélybe sodorhatják.
Cégen kívülre kerülnek az adatok
Ugyancsak biztonsági aggályokat vet fel az átláthatóság kérdése: ha egy vállalat a felhőbe költözteti alkalmazásait, azok biztonságát már nem tudja ugyanolyan mértékben felügyelni, mint amikor még a saját infrastruktúrájában futottak. Aztán itt van egy félreértés, mely szerint a felhőt használó cégek azt feltételezik, hogy a szolgáltató felelős teljes mértékben a biztonságért.
Gyakran azonban ez a felelősség csak a fizikai infrastruktúrára és a felhőt működtető szoftverekre (hypervisorok és kezelőszoftverek) terjed ki, az ügyfelek által használt operációs rendszerekre, alkalmazásokra, adatokra és a felhőben futó más, a megrendelők által felügyelt erőforrásokra nem. Vagyis végső soron a saját alkalmazásaikért, adataikért a felhőszolgáltatást igénybe vevő vállalatok nagymértékben felelősek, függetlenül attól, hogy azok milyen környezetben futnak. Ugyanakkor a szolgáltatók felelőssége természetesen részlegesen fennáll olyan biztonsági incidensek esetében, amikor nyilvánvalóan hanyag módon jártak el, például nem gondoskodtak megfelelően a hypervisorok védelméről. Azonban a felhőbe költöztetett alkalmazásaik és adataik megfelelő biztonsági felügyelete, karbantartása és az incidensekre való reagálás a megrendelő vállalatok feladata.
Sok cég ezért a saját maga által üzemeltetett privátfelhő használata mellett dönt, nem bízza értékes adatait egy külső szolgáltató infrastruktúrájára, függetlenül attól, hogy az nyilvános vagy privát. Ez a megoldás drágább, ugyanakkor teljes körű biztonsági felügyeletet tesz lehetővé és teljes átláthatóságot biztosít. Természetesen a saját privátfelhő melletti döntés meghozatalakor nem csupán a biztonsági megfontolások játszanak szerepet, olyan más lényeges tényezőket is figyelembe kell venni, mint a költségek, a rugalmasság, az agilitás és a törvényi szabályozásoknak való megfelelés.
Kockázatfelméréssel indul
A CDW tanulmánya szerint a felhő biztonsági kockázatainak értékelésekor először érdemes azt megvizsgálni, hogy a vállalat milyen módon használja majd a szolgáltatást. Tartalmaz-e a felhőben futtatni kívánt alkalmazás bizalmas adatokat, például pénzügyi információkat, betegadatokat vagy saját szellemi tulajdonra vonatkozó információkat, és ezekre milyen törvényi szabályozások vonatkoznak? A bizalmas adatok komolyabb védelmet igényelnek, mint a közönséges információk. Kik használják az alkalmazást: alkalmazottak, ügyfelek vagy üzleti partnerek? Ezek a felhasználók hol tartózkodnak: bárhol található internetezők, a cég telephelyein vagy egyes partnerek hálózatában? A széles körben használt alkalmazásokat érdemes a felhőbe költöztetni, a csak a munkavállalók által futtatottak pedig inkább privátfelhőbe valók. Szükség van-e az adatok mozgatására a felhő és a belső környezet között? Mivel ez nagymértékben bonyolítja a felhőhasználatot, különösen nagymennyiségű adatátvitel esetén, érdemes az ilyen alkalmazást a belső infrastruktúrában, például egy saját üzemeltetésű privátfelhőben tartani. Igényel-e az alkalmazás nagy rendelkezésre állást? Ha igen, egy nyilvános felhő kínálkozik a legjobb megoldásnak, mert a rendszer egy részének leállásakor az infrastruktúra egy másik földrajzi régióban lévő része zökkenőmentesen átveszi annak funkcióját.
Szakértők szerint az utóbbi időben jelentősen megváltozott a biztonsághoz való hozzáállás: a vállalatok a rendszerek védelméről az adatok védelmére helyezik a hangsúlyt. Számos adattitkosítási és adatvesztést megakadályozó technológia van használatban, amelyek elsődleges célja a kritikus információk védelme. Ugyancsak változtak az alkalmazásvédelmi megközelítések: egyre többen ismerik fel, hogy a gyengén megírt, sérülékenységekkel teli egyedi megrendelésre készült alkalmazások komoly veszélyeknek teszik ki az adatokat, és kidobott pénzzé változtatják az adatbiztonságra költött összegeket. Ily módon az alkalmazásvédelem immár az alkalmazás által kezelt adatok védelmére összpontosít.
Felhőbiztonság egyenlő adatbiztonság
Mivel a rendszerek meghatározása a felhőben meglehetősen képlékennyé vált, hiszen a felhős munkafolyamatok végrehajtása során az adatok és alkalmazások észrevétlenül vándorolnak egyik fizikai gépről a másikra, a felhő biztonsága voltaképpen az adatok biztonságát jelenti. A virtulizációs réteg, a hypervisor és az azon futó operációs rendszerek védelme mellett kiemelt fontosságú annak biztosítása, hogy az adatokhoz csak az arra jogosultak férhessenek hozzá.
Ennek érdekében gondoskodni kell arról, hogy minden egyes adatkészlet és a hozzá tartozó alkalmazás logikailag elkülönüljön a többi adatkészlettől és alkalmazástól. Ily módon egyetlen adatkészlet-alkalmazás páros sérülékenysége nem sodorhatja veszélybe a többit.
Ugyancsak elengedhetetlen annak biztosítása, hogy a munkafolyamatok egyik szerverről a másikra való áthelyezése esetén a munkafolyamathoz tartozó biztonsági előírások és felügyeleti lehetőségek érvényben maradjanak. Ha ugyanis az adatokat például tűzfallal vagy adattitkosítással védjük, ennek nem sok értelme van, ha a munkafolyamat migrációja során megszűnnek ezek a biztonsági funkciók. Mivel minden egyes felhőhasználat biztonsági szempontból is egyedi, óva inti a vállalatokat a CDW tanulmánya attól, hogy a kockázatok nem megfelelő értékelése miatt az alul- vagy túlbiztosítás hibájába essenek. Az előbbire az adatok elégtelen védelme, az utóbbira a felesleges pénzköltés és a munkafolyamatok hatékonyságának csökkenése a jellemző.
Ki a felelős a védelemért?
Ha külső cégtől veszik igénybe a nyilvános vagy privátfelhőt, ezek a szolgáltatók többnyire csak a fizikai infrastruktúra és a hypervisorok biztonságáért vállalnak felelősséget, a megrendelő feladata a felhőbe költöztetett adatok és alkalmazások, valamint az ezeket futtató operációs rendszerek védelme. Ennek keretében ugyanolyan biztonsági funkciókat és intézkedéseket kell bevezetni, mint a hagyományos vállalati adatközpontok esetében. Alapvető az ismert és ismeretlen programkártevők rendszerbe kerülését megakadályozó antivírus- és antimalware-programok használata. A behatolást észlelő és megakadályozó technológiák rosszindulatú folyamatok után kutatva elemzik a hálózati forgalmat, és blokkolják a a rosszindulatúnak minősített vagy gyanús tevékenységeket.
A fájlok integritásának figyelésére hivatott szoftverek észlelik és megakadályozzák a kritikus rendszerállományok megváltoztatásra tett kísérleteket. Az adatvesztés megakadályozására kifejlesztett megoldások a gazdagépen belüli olyan tevékenységeket figyelik, amelyek a kritikusnak minősített adatok jogosulatlan átmásolására vagy a hálózaton keresztüli elküldésére irányulnak. Mind a rosszindulatú programok, mind az alkalmazottak gondatlan vagy szándékos adatkiszivárogtatásai ellen védenek. Ugyancsak fontos biztonsági segédeszközök a javításkezelők, amelyek észlelik, ha az operációs rendszerben és a kritikusabb alkalmazásokban nem történt meg az összes frissítés telepítése, továbbá gondoskodnak a megjelenő javítófoltok időben történő letöltéséről és telepítéséről.
Az operációs rendszer, a biztonsági programok, a webböngészők, a levelezőprogramok megfelelő biztonsági beállításait végzik el a konfigurációkezelő szoftverek, míg a webes alkalmazások sérülékenységei után kutató szkennerprogramok a vállalatok weboldalának támadhatóságát csökkentik. A kommunikáció védelmére szolgálnak a forgalmat szűrő tűzfalak és az adatátvitelt egy biztonságos, titkosított csatornán keresztül lebonyolító virtuális magánhálózatok. Végezetül rengeteg kellemtelenségtől óvja meg a vállalatokat az adatok titkosítása, amely még az adatok ellopása esetén is megakadályozza a kritikus információkhoz való hozzáférést.
Mindezeken túlmenően a felhőt használó vállalatok kénytelenek a szolgáltató biztonsági intézkedéseire hagyatkozni adataik és alkalmazásaik védelmét illetően. Ha ezek kudarcot vallanak, még akkor is előfordulhatnak kellemetlen adatvesztési incidensek, ha egyébként a megrendelő saját erőből mindent megtett adatai védelme érdekében – ebben rejlik a felhő használatának kockázata.