Zabezpieczanie danych w chmurze jest sporym wyzwanie, ponieważ każda chmura jest nieco inna. Do tego dochodzą różne rodzaje danych i zasobów obliczeniowych. Można jednak wskazać kilka dobrych praktyk ułatwiających wdrożenie rozwiązań Backup as a Service.

Zacznijmy od rozwiania kilku mitów. Chmura publiczna jest bardzo bezpiecznym miejscem. Co więcej, dostawcy dysponują środkami, aby wdrożyć najbardziej skuteczne zabezpieczenia. Z drugiej strony nie można polegać wyłącznie na zabezpieczenia przez nich stosowanych. Trzeba też zadbać o integralności danych, co oznacza, że powinno się mieć więcej, niż jedną kopię zapasową. Co bowiem w sytuacji, kiedy dane, również w backupie, zostaną zainfekowane szkodliwym kodem, np. ransomware?

Odpowiedzialność za bezpieczeństwo

Zagrożenia związane ze współdzieleniem zasobów w chmurze publicznej zostały dawno wyeliminowane poprzez zmiany w procesorach i kodzie oprogramowania. Dlatego można przyjąć, że w tym środowisku zagrożenia są takie same, jak w lokalnym centrum danych. Jednocześnie nie można zakładać, że dostawca chmury jest w całości odpowiedzialny za bezpieczeństwo. Tak, jak w każdym centrum danych, należy uważnie przyjrzeć się zagrożeniom i ograniczyć płaszczyznę ataku.

Część problemu polega na zmienności środowiska chmurowego. Aplikacje są dynamicznie uruchamiane i kasowane. Śledzenie tych zmian wymaga zautomatyzowanych narzędzi monitorujących, które zidentyfikują próby nieupoważnionego dostępu przez innych użytkowników chmury do współdzielonych zasobów, wykryją zewnętrzne zagrożenia i nietypowe wzorce prób dostępu.

Szyfrowanie danych

Podstawowym wyzwaniem jest zabezpieczenie danych przed odczytaniem, modyfikacją i skasowaniem w sytuacji, gdy haker przebije się już przez zaporę sieciową. Oczywistym zabezpieczeniem jest szyfrowanie, ale jakie? Można chronić dane w ruchu lub spoczynku i stosować różne mechanizmy szyfrowania – programowe lub sprzętowe. Istotne jest też miejsce przechowywania kluczy. Najbezpieczniejszym rozwiązaniem jest szyfrowanie danych w źródłowej lokalizacji i samodzielne zarządzanie kluczami. Wprawdzie wymaga to pewnej dyscypliny, ale dobrze chroni przed atakami. Z uwagi na coraz popularniejsze rozwiązania SDN bardzo ważne staje się także chronienie danych w ruchu.

Strategie ochrony danych

Nawet zaszyfrowane dane są narażone na uszkodzenie lub skasowanie, np. z powodu awarii sprzętu czy wrogiego działania własnego pracownika. Jednym z rozwiązań jest regularnie tworzenie kopii zapasowych i migawek. W pierwszym przypadku są to kopie typu offline. Migawki zaś przechowują wszystkie dane i tylko aktualizują zmiany. Backup warto dodatkowo zabezpieczyć replikacją między dwoma lokalizacjami, aby nie trzymać wszystkich danych w jednym miejscu.

Zarządzanie danymi

Często w chmurze zarządzanie danymi jest niewystarczające – dane są rozproszone w różnych miejscach, a część z nich jest stara i już niepotrzebna. Ich przechowywanie rodzi problemy z wersjonowaniem plików oraz stwarza dodatkowe zagrożenia. Przykładowo, ważne dane mogą w natłoku plików trafić do gorzej chronionych obszarów. W tym kontekście podstawowym zabezpieczeniem jest deduplikacja, której celem zasadniczo jest ograniczenie przestrzeni dyskowej zajmowanej przez dane. Oczywiście deduplikacja nie usunie danych z miejsc, w których nie powinny się znajdować. To wymaga wykorzystania metadanych, w których można przechowywać różne informacje kontrolne.

Ochrona interfejsów API

Jeśli w chmurze systemy operacyjne i aplikacje nie są aktualizowane lub z jakiś innych względów ich wersje różnią się od tego, działającego lokalnie, mogą występować problemy powodujące błędy w danych. Przykładowo, operacje zapisu mogą nie być kompletne, edycja może objąć niewłaściwe dane, itp. Takie sytuacje pojawiają się, gdy kod oprogramowania jest niedbale aktualizowane i niektóre węzły korzystają ze starszych wersji. Oprócz możliwych błędów w danych w takiej sytuacji rośnie też ryzyko wykorzystania luk w niezałatanym oprogramowaniu. Rozwiązaniem jest wdrożenie systemu automatycznie aktualizującego oprogramowanie.

Bezpieczny dostęp

Poważnym zagrożeniem jest czynnik ludzki – stosowanie słaby haseł czy np. niezadowolony pracownik. Warto więc stosować co najmniej dwuskładnikowe uwierzytelnianie. Problemem są też błędy administratorów. Dlatego należy ograniczać uprawnienia osób mających dostęp do danych, np. administratorzy nie powinni mieć dostępu do systemów, które słabo znają.

Kontrola szarej strefy IT

Angielski termin Shadow IT określa działania użytkowników, które odbywają się poza kontrolą firmowych działów IT. Jest to poważna luka w bezpieczeństwie. Najlepszą odpowiedzią jest spełnienie wszystkich wymagań pracowników w zakresie potrzeb IT. W dużej mierze mogą to być usługi chmurowe, które są elastyczne i można dobrać odpowiedni model kosztowy do możliwości finansowych.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn