Szukasz bezpieczeństwa – ukryj się w chmurze!

Koszty związane z zapewnieniem bezpieczeństwa infrastruktury informatycznej od lat pozostają na czele listy wydatków na IT w większości firm i instytucji. I nic w tym dziwnego – odpowiednia ochrona zasobów zawsze była kluczową kwestią, a w ostatnich latach, wraz z rosnącą aktywnością cyberprzestępców, hakerów i złośliwego oprogramowania (w tym ransomware), sprawa ta stała się jeszcze bardziej paląca. Problem polega na tym, że do zapewnienia bezpieczeństwa IT często nie wystarczy gruby portfel i dobre chęci – wyzwaniem bywa choćby również pozyskanie specjalistów o odpowiednich kompetencjach. Na szczęście istnieje prosty sposób na „ogarnięcie” tego problemu – przesiadka na chmurowy model korzystania z nowych technologii, w którym za bezpieczeństwo całego systemu odpowiada nie jego użytkownik, lecz zewnętrzny, odpowiednio przygotowany do tej roli, dostawca…

W tradycyjnym modelu budowania ekosystemu IT po stronie użytkownika (firmy, instytucji, organizacji) pozostaje nie tylko wybranie odpowiedniego sprzętu i oprogramowania, zakupienie go, wdrożenie, skonfigurowanie, utrzymywanie i dbanie, by pozostawał w dobrej kondycji – ale również zaimplementowanie odpowiednich rozwiązań z dziedziny bezpieczeństwa, które chronić będą system przed awariami, atakami hakerów, złośliwym oprogramowaniem i innymi zagrożeniami tego typu.

Taka operacja jest nie tylko skomplikowana i trudna w realizacji, ale też po prostu droga – wiąże się z koniecznością zakupu całego zestawu sprzętu i oprogramowania zabezpieczającego. Oczywiście, skala wydatków będzie tu zależała od potrzeb danej firmy – ale nawet w najmniejszej niezbędne będzie zaopatrzenie się w zestaw oprogramowania antywirusowego, firewall, system backupu czy odtwarzania danych po awarii (disaster recovery).

Bezpieczeństwo, czyli złożony system

W każdej firmie większej niż kilkunastoosobowa do zapewniania bezpieczeństwa kluczowe będzie dodatkowo wdrożenie rozwiązań z zakresu ochrony informacji, zabezpieczania przed wyciekiem danych, rozbudowanych systemów wykrywania włamań, a także zatrudnienie pracownika (czy nawet całego zespołu), której zadaniem będzie dbanie o utrzymanie wysokiego poziomu bezpieczeństwa – warto bowiem pamiętać, że jest to proces ciągły, wymagający stałego wdrażania nowych zabezpieczeń, aktualizowania oprogramowania, reagowania na nowe zagrożenia, edukowania personelu itp. Czy dla powyższego scenariusza istnieje alternatywa? Tak naprawdę… to nie. Wszystkie wspomniane wyżej zabezpieczenia muszą być wdrożone, by o danym systemie móc powiedzieć, że jest odpowiednio zabezpieczony.

Na szczęście można to jednak zrobić inaczej niż na własną rękę – decydując się na korzystanie z usług i aplikacji dostarczanych z chmury, bowiem w tym modelu za ich zabezpieczenie odpowiedzialny jest nie użytkownik, lecz dostawca. To rozwiązanie zdecydowanie jest godne polecenia, ponieważ bezpieczeństwo usług chmurowych jest jednym z najważniejszych czynników decydujących o wyborze tej czy innej oferty – dlatego ich dostawcy prześcigają się w zapewnianiu możliwe najwyższego poziomu ochrony przed wszelkimi zagrożeniami informatycznymi.

Chmura, czyli bezpieczeństwo?

Wysoki poziom wyspecjalizowania takich firm oraz kompetencji ich pracowników sprawia, że centrum hostingowe dostawców usług chmurowych są zabezpieczone przed atakami w stopniu, który dla przeciętnej firmy jest niemożliwy do osiągnięcia. Co za tym idzie, również skutecznie chronione są systemy, aplikacje i dane ich klientów.

Jakie rozwiązania z dziedziny bezpieczeństwa znajdziemy zatem w arsenale firm oferujących usługi chmurowe? Podstawą jest redundantność wszystkich kluczowych elementów systemu – właściwie każde urządzenie (od serwerów, przez sprzęt sieciowy, macierze storage itp.) jest co najmniej zdublowane, co oznacza, że awaria sprzętowa praktycznie nigdy nie powoduje przestojów, cały system działa płynnie i bez ryzyka utraty dostępy do usługi czy danych. Oczywiście, przestrzeń dyskowa przypisana do serwerów umieszczona jest na macierzach dyskowych z protekcją RAID, co sprawa, że dane są zamieszczone na fizycznie różnych dyskach całej macierzy i awaria pojedynczego nośnika nie wpływa na bezpieczeństwo systemu.

Dotyczy to oczywiście nie tylko sprzętu bezpośrednio odpowiedzialnego za funkcjonowanie usług, ale również rozwiązań towarzyszących, odpowiedzialnych właśnie za zapewnienie odpowiednio wysokiego poziomu bezpieczeństwa – czyli zasilaczy awaryjnych UPS, systemów backupu i archiwizacji odpowiedzialnych za wykonywanie i przywracanie kopii zapasowych danych oraz archiwizację, firewalli itp. Kluczem jest również zdywersyfikowanie „dostaw” Internetu – operatorzy usług chmurowych zwykle korzystają z łączy szkieletowych dostarczanych przez kilku operatorów, dzięki czemu awaria jednego z łączy nie zakłóci użytkownikom usług chmurowych dostępu do nich.

Serwerownia pod nadzorem

Uzupełnieniem tego wszystko są fizyczne systemy ochrony serwerowni, w skład których wchodzą choćby system antywłamaniowy, monitoringu oraz przeciwpożarowy, a także klimatyzacja (kosztowna i kłopotliwa w przypadku samodzielnego wdrożenia, lecz niezbędna do utrzymania sprzętu w odpowiedniej temperaturze i idealnych warunkach do stabilnego pracy). Oczywiście, podczas projektowania takich środków ochrony uwzględnia się również zawsze scenariusze „najczarniejsze z czarnych”, czyli np. katastrofę naturalną na ogromną skalę – dlatego niezależnie od wszystkich opisanych powyżej rozwiązań stosuje się również systemu backupu wszystkich kluczowych danych do zdalnej lokalizacji (np. drugiej serwerowni, zlokalizowanej w zupełnie innym regionie lub kraju).

Oczywiście, na zabezpieczeniach fizycznych się nie kończy – absolutnym standardem jest również zabezpieczanie wszystkich połączeń za pomocą odpowiednio bezpiecznych standardów szyfrowania (SSL/TLS), co uniemożliwia wszelkie próby podsłuchania, przechwycenia czy modyfikowania transmisji, a także stosowanie wielostopniowych mechanizmów uwierzytelniania dostępu do usług oraz danych. Podstawą jest oczywiście uwierzytelnienia z wykorzystaniem hasła i loginu, ale z uwagi na niedoskonałości tej metody stosuje się również klucze sprzętowe, certyfikaty VPN, rozwiązania biometryczne oraz system dwuskładniowego potwierdzania tożsamości (w którym oprócz loginu i hasła należy podać również dodatkowy kod – np. otrzymany SMS-em).

Bezpieczeństwo w pakiecie

W świetle powyższych przykładów widać wyraźnie, że korzystając z oferty dostawców usług chmurowych możemy liczyć na otrzymanie odpowiednio wysokiego poziomu bezpieczeństwa… w pakiecie. Warto bowiem zaznaczyć, że wszystkie te rozwiązania nie są jakimiś opcjami dodatkowymi, dodatkowo płatnymi – zapewnienie odpowiednio wysokiego poziomu bezpieczeństwa jest tu po prostu w dobrze rozumianym interesie dostawcy. W tym układzie spokój ducha i bezawaryjność klient dostaje więc w standardzie.