Na redakční otázky odpovídá Igor Čermák, Senior Consultant, Chief Information Security Officer, FUJITSU Technology Solutions

1) Technologicky je cloud computing revoluční. Mění se s tím i principy bezpečnosti, jak je známe dnes?

Základní principy bezpečnosti tak, jak je dnes známe a tak, jak jsou v různé míře uplatňovány při řízení, vývoji, provozu a správě informačních systémů, nejsou závislé na technologických změnách spojovaných s koncepcí cloud computingu. V tomto smyslu nelze očekávat, že by tyto bezpečnostní principy, například známé trio kritérií C.I.A. (Confidentiality, Integrity, Availability) měly být modifikovány, stejně jako další bezpečnostní principy jako je například princip nepopiratelnosti (například nepopiratelnosti transakce), určení zodpovědnosti apod. Na druhé straně je však třeba si uvědomit, že praktické naplňování uvedených bezpečnostních principů i požadavky na úroveň jejich plnění s nasazováním technologií cloud computingu získávají nový rozměr spojený se samotnými principy této technologie a jejích jednotlivých variant (privátní cloud, veřejný cloud,atd.). V tomto smyslu lze očekávat vývoj směrem k vyšším bezpečnostním požadavkům pro jednotlivá „cloudová“ řešení a služby poskytované na bázi této koncepce.

2) Kde vidíte největší bezpečnostní rizika virtualizace a cloud computingu?

Se zaváděním postupů virtualizace a cloud computingu se často diskutuje o nových bezpečnostních rizicích a bezpečnostních hrozbách.  V oblasti virtualizace  při všech změnách, které různé typy virtualizace  přinášejí, jde však v zásadě pouze o vytvoření další softwarové vrstvy umožňující jednotlivé virtualizační postupy. Samozřejmě s vytvořením takové vrstvy vzniká prostor pro výskyt nových zranitelností, přičemž uplatněním existujících hrozeb vznikají nová bezpečnostní rizika, jejich ž dopad může být při nevhodné implementaci, chybách vývojářů software apod. relativně vysoký vzhledem k funkcím virtualizační vrstvy (dopady na důvěrnost, dostupnost apod.). V principu se však nejedná o zásadně nový typ bezpečnostních rizik. Obvykle se u technologií virtualizace a cloud computingu zdůrazňují rizika spojená s přístupovými právy privilegovaných uživatelů, naplňování regulatorních požadavků, umístěním dat, kryptováním a obnovou dat, dlouhodobou dostupností k uloženým datům a se získáváním podkladů pro audit nebo vy

šetřování incidentů. Jako každá nová technologie i virtualizace a cloud computing vyvolávají v IT komunitě i v business sféře firem a institucí někdy určité obavy, které však nejsou zcela na místě za předpokladu dodržení zásad bezpečného vývoje software, zohlednění bezpečnostních požadavků při implementaci zvoleného řešení a jeho provozování, provedení analýzy rizik, zpracování plánů kontinuity činností a dalších kroků, které by měly dle dnešních standardů řízení IT a řízení IT bezpečnosti provázet každý projekt z oblasti zavádění, vývoje, provozu a rozvoje informačního systému podniků a institucí.

Největším bezpečnostním rizikem spojeným s implementací virtualizačních a „cloudových“ řešení je proto ignorování těchto postupů a  praxí prověřených metod.

3) Kdysi firmy s přechodem z papíru na počítače otálely. Jaká bude podle Vás situace u přechodu do cloudu a jaká bezpečnostní rizika s tím budou spojena?

Přechod na cloudová řešení budou nepochybně ovlivněna zejména ekonomickými kritérii, především posouzením skutečných celkových nákladů na přechod na uvedené technologie (například pro interní podnikové cloudy) a přínosů zavedení takové technologie. Jistou brzdou budou pravděpodobně i nadále určité obavy z nové technologii, nicméně úspěšné implementace, publikované case study, rostoucí počet referencí a konkurenční boj dodavatelů nepochybně budou působit ve prospěch zavádění nových technologií, přičemž jako hybný moment budou zřejmě působit zejména ekonomické faktory jakým je účtování podle rozsahu odebraných služeb (a to i interní účtování v rámci firmy). Za hlavní bezpečnostní riziko lze považovat podcenění bezpečnostních aspektů při implementaci nových technologií spojené s podceněním nutnost a kvality provedení analýzy rizik, přípravy bezpečnostní studie při realizaci „cloudového“ řešení a dodržování požadavků informační bezpečnosti ve všech fázích životního cyklu informačního systému. Z hlavní rizika lze zřejmě označit rizika spojená s dodržením požadavků na důvěrnost (důvěrnost dat). Tato rizika jsou však standardně řešena moderním kryptografickými postupy, které při výkonnosti dnešních zařízení již nepředstavují takový problém, jako tomu bylo dříve.

4) Mnoho oblastí (DLP, zálohování,…) v kontextu cloud computingu získává nový rozměr. Bude podle Vás trh plně technologicky připraven na novou poptávku? Jaká je situace u Vás?

Metody ochrany dat proti ztrátě i zneužití s nasazováním „cloudových“ řešení skutečně dále nabývají na významu, v podstatě lze konstatovat, že jsou s rozvojem „cloudových“ řešení neoddělitelně spojeny. Nicméně s ohledem na dosavadní intenzivní rozvoj spojený se skutečností, že na rozdíl od vývoje ekonomiky v posledním období je dle dostupných statistik objem ukládaných dat stále dynamicky rostoucí veličinou, lze s důvěrou předpokládat, že trh bude zcela schopen uspokojit poptávku po technologiích spadajících do oblasti ochrany a práce s daty v obecném slova smyslu. Klíčový dodavatelé technologií z oblasti ukládání a zálohování dat, jejich archivace a ochrany, ke kterým patří i společnost Fujitsu, jsou na takový vývoj zcela připraveni, což dokumentují i nenovější produkty z oblasti storage, které jsou právě nyní uváděny na trh (řada Eternus DX aj.)

5) Jak přispívají k vyšší bezpečnosti v těchto nových technologiích Vaše produkty a řešení?

Společnost Fujitsu je význačným dodavatelem řešení ve všech oblastech virtualizace (serverová virtualizace, desktopová virtualizace aj.) a je rovněž implementátorem a systémovým integrátorem projektů postavených na existujících „cloudových“ technologiích. Kromě využití produktů vyráběných společností Fujitsu (servery, koncové stanice, storage napřiklad řady Eternus DX, CS aj) i produktů našich strategických partnerů (například EMC, NetApp) poskytujeme i konzultační a poradenské služby v této oblasti, služby řízení projektů a další servisní a poradenské služby. Ve společnosti Fujitsu jsou podle potřeb zákazníka připravena a poskytována jednotlivá řešení poskytování IT služeb z oblasti  IaaS (Infrastructure as a Service), PaaS (Platform as a Service) a SaaS (Software as a Service). Jsou poskytovány služby správy síťové infrastruktury zákazníka (Managed Infrastrucure) a správy storage (Managed Storage) včetně vybudování takové infrastruktury s využitím cloudových řešení. Společnost disponuje řadou referencí z oblasti virtualizace na bázi produktů VMware i Microsoftu.

Vlastnosti dodávaných produktů (například technologie používané ve storage řady Eternus) i používané postupy při implementaci projektů přispívají k naplnění bezpečnostních požadavků a zvýšení úrovně bezpečnosti cílového řešení. Důležitým aspektem naplňování bezpečnostních požadavků je rovněž zajištění monitoringu provozovaného (spravovaného) systému některým moderním komplexním monitorovacím nástrojem (například monitorovacími nástroji vyvíjenými společností CA) a použití nástrojů pro monitoring a správu ve virtuálním prostředí.

Cloud computing | Virtualizace