Chmura obliczeniowa to obecnie jeden z najważniejszych trendów w informatyce. Oferowane w tym zakresie rozwiązania coraz częściej wypierają tradycyjne systemy i zastępują sprzęt komputerowy usługami świadczonymi za pośrednictwem sieci.
Jednocześnie grono przeciwników usług chmurowych trzyma się mocno, szczególnie w Polsce. Głównym argumentem sceptyków ma być kwestia bezpieczeństwa informacji oraz utrata możliwości kontroli nad nimi.
Paradoksalnie to właśnie kwestia bezpieczeństwa jest jednym z głównych argumentów przemawiających za wykorzystaniem chmury obliczeniowej.
W praktyce większość z nas, a zwłaszcza ci, którzy reprezentują niewielkie biznesy, nie ma innej opcji niż korzystanie z chmury.
Przeczytaj, a zrozumiesz lepiej:
- czym jest chmura obliczeniowa,
- jakie są główne argumenty za i przeciw temu rozwiązaniu,
- jakie czynniki pozwalają na bezpieczne korzystanie z chmury i dlaczego najważniejszym z nich wcale nie są kwestie techniczne,
- jak wybrać dostawcę rozwiązań chmurowych, żeby nie martwić się o bezpieczeństwo danych.
Co to jest chmura obliczeniowa?
Dla krótkiego przypomnienia – chmura obliczeniowa to specyficzna forma outsourcingu usług informatycznych.
Zamiast kupować własne komputery do obsługi zasobów informatycznych (stron www, katalogów sieciowych i zlokalizowanych na nich plików) lub instalować na nich własne aplikacje (pocztę elektroniczną, system księgowy czy system obsługi zamówień) kupujemy je jako usługę od dostawcy.
Nie musimy interesować się tym, jakie (i gdzie zlokalizowane) komputery służą do realizacji oferowanych nam usług. Z naszej perspektywy są one dostępne wyłącznie za pośrednictwem sieci, czyli właśnie w bliżej nieokreślonej chmurze obliczeniowej.
Jeśli przeanalizujemy wykorzystywane przez nas rozwiązania informatyczne, szybko zauważymy, że w typowej małej lub średniej firmie większość eksploatowanych systemów, to właśnie rozwiązania chmurowe:
- poczta elektroniczna od co najmniej 5-7 lat jest dostarczana jako usługa praktycznie wyłącznie w modelu chmury,
- firmowe strony www są obsługiwane z serwerów zewnętrznych usługodawcy i tylko posługują się naszym adresem internetowym,
- systemy księgowe dla małych firm coraz częściej są dostarczane jako usługa abonamentowa, a nie jako pakiet dysków do instalacji na serwerze,
- podstawowe rozwiązania biurowe (korespondencja, arkusze kalkulacyjne, prezentacje) oferują możliwość automatycznego zapisywania plików w chmurze oraz współdzielenia ich między użytkownikami i różnymi urządzeniami (nawet jeżeli odpowiedni program uruchamiamy na komputerze osobistym),
- programy wspierające pracę zdalną i telekonferencje, które były hitem w trakcie pandemii COVID-19, to także typowe usługi chmurowe.
Jakie są zalety chmury?
- Najczęściej podkreślaną zaletą rozwiązań chmurowych jest ich elastyczność.
W klasycznym modelu eksploatacji, gdy dojdziemy do granicy możliwości urządzenia technicznego, czyli wykorzystamy cały dysk, pamięć lub moc obliczeniową procesora, musimy kupić nowy sprzęt i przenieść na niego stary system. Wiąże się to z mnóstwem dodatkowych problemów operacyjnych.
W chmurze, system (lub usługa) jest zlokalizowana na wirtualnym urządzeniu, którego parametry techniczne możemy zwiększać na bieżąco w miarę potrzeb. Urządzenie wirtualne „rośnie” z naszym biznesem i nie musimy kupować go na zapas. Co ważne, szczególnie dla nowych firm, płacimy za jego wykorzystanie także na bieżąco, bez konieczności początkowego inwestowania kapitału.
- Kolejny duży atut rozwiązań chmurowych to fakt, że są one one oferowane w pakiecie z usługami utrzymania systemów.
Kupując tradycyjny serwer, musimy podłączyć go do internetu (jeżeli umiemy), zadbać o jego bezpieczną konfigurację (tzw. hardening) i zainstalować na nim odpowiednie oprogramowanie.
Stale musimy też pamiętać o kopiach zapasowych, aktualizacjach do nowej wersji i analizowaniu pracy systemu. Wymaga to odpowiednich kompetencji, które obecnie nie są ani tanie, ani łatwe do zdobycia.
Duża firma – bank czy międzynarodowa korporacja – mogą sobie pozwolić na odpowiedni zespół fachowców, którzy zadbają o utrzymanie infrastruktury, choć te firmy także przenoszą się do chmury. Mniejsi gracze często nie mają wyboru.
W usłudze chmurowej wszystkie elementy bezpiecznej eksploatacji może wykonywać za nas dostawca. To on odpowiada za kwalifikacje merytoryczne i narzędzia do zapewnienia bezpieczeństwa infrastruktury, a także jego bieżące monitorowanie (24 godziny, 7 dni w tygodniu).
- Chmura zabezpiecza nas przed awarią sprzętu.
Podczas gdy usterka jedynego serwera w naszej firmie oznacza przestój i problemy operacyjne, w chmurze awaria jednego komputera będzie niezauważalna. Pozostałe urządzenia są w stanie automatycznie przejąć pracę uszkodzonego sprzętu.
Chmura ochroni nas przed utratą danych na komputerze lub listy kontaktów z telefonu w przypadku kradzieży urządzenia, o ile dobrze skonfigurujemy usługę.
Każdy, kto choć raz znalazł się w takiej sytuacji, z pewnością doceni, że nowe, podłączone do chmury urządzenie automatycznie odzyska dostęp do utraconych informacji.
Dajmy głos sceptykom – czy rozwiązania chmurowe mają jakieś wady?
- Klasyczny argument przeciwko chmurze obliczeniowej to utrata kontroli nad zakresem i sposobem przetwarzania firmowych danych.
Typowy przykład przytaczany na poparcie tej tezy to nielegalny dostęp do naszych danych ze strony operatora usługi chmurowej lub jeszcze gorzej – innego klienta, który może być naszym konkurentem biznesowym.
Rzeczywiście, korzystając z chmury, nie możemy wykluczyć, że nasze dane są współdzielone przez te same urządzenia, z których korzysta konkurencja. Błąd w konfiguracji usługi chmurowej mógłby spowodować ujawnienie naszych informacji, ale:
- tego typu usterka jest mniej prawdopodobna niż podobny w skutkach błąd administratora zarządzającego naszą infrastrukturą, zlokalizowaną w naszej siedzibie. On także może omyłkowo udostępnić chronione dane w internecie;
- poufność informacji (jak pisałem w poprzednim artykule) jest przeceniana w stosunku do pozostałych atrybutów bezpieczeństwa. Chmura zawsze wygrywa, jeśli chodzi o dostępność;
- jeżeli naprawdę boimy się o poufność informacji, to wiodące rozwiązania chmurowe oferują możliwość szyfrowania danych w taki sposób, aby były one bezużyteczne dla osób postronnych.
- Drugi argument przeciw chmurze to kwestia lokalizacji danych.
Międzynarodowi operatorzy chmury świadczą usługi w modelu transgranicznym, przesyłając informacje pomiędzy centrami danych w różnych krajach. Nie możemy wykluczyć, że nasze dane (automatycznie, bez ingerencji administratorów) znajdą się na serwerach zlokalizowanych w innych krajach (poza Polską lub Unią Europejską), gdzie system prawny nie będzie gwarantował im takiej ochrony, jaką mają w kraju.
Argument jest rzeczowy – nie chcemy, aby korzystanie z chmury narażało nas na ryzyko prawne. Właśnie dlatego operatorzy usług chmurowych wychodzą mu naprzeciw.
Coraz częściej są oni w stanie ograniczyć przetwarzanie danych tylko do konkretnych lokalizacji. Jeżeli problem lokalizacji danych spędza nam sen z powiek zawsze możemy też skorzystać z usług podmiotu krajowego albo (podobnie jak w kwestii zapewnienia poufności) po prostu wdrożyć szyfrowanie.
Profil ryzyka dla chmury
Chmura jest bezpieczniejsza od tradycyjnych systemów, ale nie oznacza to, że powinniśmy korzystać z niej bezkrytycznie.
Niektóre tradycyjne zagrożenia, takie jak:
- atak na serwer www,
- unieruchomienie usługi (denial of service),
- przejęcie kontroli nad serwerem sieci wewnętrznej czy serwerem poczty,
- złośliwe skasowanie danych…
…są w modelu chmurowym znacznie mniej prawdopodobne.
Rośnie za to znaczenie innych zagrożeń. Warto zwrócić uwagę na dwa z nich:
1. Zarządzanie identyfikatorami i hasłami użytkowników (i tak stanowiące „miękkie podbrzusze” bezpieczeństwa informatycznego) ma kluczowe znaczenie w przypadku rozwiązań chmurowych.
Tradycyjny model, w którym użytkownik łączył się do firmowego serwera zawsze z tego samego, stojącego na jego biurku komputera, dawał szansę na łatwe wykrycie anomalii w pracy sieci oraz obecności hakera.
Korzystając z chmury, użytkownicy mają możliwość łączenia się, na przykład do poczty elektronicznej, z kilku różnych urządzeń: komputera, tabletu, telefonu i z dowolnych lokalizacji. Zapewnia to możliwość pracy zdalnej, która tak przydała się podczas pandemii, ale także ułatwia hakerom podszywanie się pod pracowników.
To dlatego dostawcy usług coraz częściej wymagają od użytkowników stosowania wieloskładnikowego uwierzytelnienia i dodatkowego potwierdzania tożsamości urządzeń, z których po raz pierwszy korzystamy z danej usługi.
Nie jest to zbyt przyjazne w obsłudze, ale stanowi konieczny kompromis, dzięki któremu możemy bezpiecznie korzystać z chmury.
2. Najważniejszym czynnikiem, który wpływa na nasze bezpieczeństwo nie są wcale kwestie techniczne, ale wiarygodność dostawcy rozwiązań chmurowych.
Znane są już niestety incydenty, kiedy kontrahent zniknął z rynku ze względu na problemy operacyjne lub finansowe i pozostawił klientów w trudnej sytuacji.
Jak się uchronić przed taką sytuacją i wybrać godnego zaufania dostawcę?
- Sprawdź historię i doświadczenie potencjalnych kontrahentów.
- Przeprowadź klasyfikację i ocenę ryzyka, podobnie jak w przypadku innych aktywów informatycznych.
- Jeśli szukasz łatwych do zastąpienia usług (np. telekonferencji), możesz postawić na tańsze, a nawet darmowe rozwiązania. Jeżeli jednak potrzebujesz systemu poczty lub rachunkowości, zdecyduj się na opcję z wyższej półki.
- Pamiętaj, że wiodący (krajowi i międzynarodowi) dostawcy usług chmurowych mają w swojej ofercie także pakiety przystosowane do potrzeb małych firm. Często są one połączone z poradami dotyczącymi korzystania z usług w bezpieczny sposób.
Rozpocznij quiz
„Darmowy przegląd Twojej firmy”
I wywołaj w swojej firmie lawinę pozytywnych zmian
A zacznij od...
- usunięcia śmiertelnego grzechu małych firm. Znasz go?
- sprawdzenia, co TERAZ da Twojej firmie najwięcej gotówki. To nie zawsze klienci.
- wykorzystania ukrytego potencjału, który JUŻ w Twojej firmie JEST!
Mogę cofnąć zgodę w każdej chwili. Dane będą przetwarzane do czasu cofnięcia zgody.
Jakub Bojanowski
Doświadczony menedżer i doradca, od ponad 20 lat zajmujący się tematyką bezpieczeństwa teleinformatycznego. 9 września na rynku ukaże się jego książka pt. Zdążyć przed hakerem. Jak przygotować firmę na cyberatak, której celem jest przybliżenie tematyki cyberbezpieczeństwa menedżerom na co dzień niespecjalizującym się w zagadnieniach technologicznych.