Cloud computing a prywatność danych – jak to działa?
W tym artykule dowiesz się:
- Jak zadbać o prywatność danych w chmurze
- Jakie normy bezpieczeństwa muszą spełniać technologie chmurowe
- Jakie są modele dostępu do zasobów chmurowych
- Jak sprawdzić dostawcę chmury pod kątem bezpieczeństwa
Technologie chmurowe stają się coraz powszechniejsze, ale prywatność danych w cloud computing wciąż martwi wiele osób i organizacji. Czy jest czego się bać? Wiele wskazuje, że chmury zapewniają podobny, jeśli nie większy, poziom bezpieczeństwa co utrzymywanie własnej infrastruktury informatycznej.
Prywatność i bezpieczeństwo danych w chmurze obliczeniowej
Prywatność i bezpieczeństwo danych w chmurze obliczeniowej to nie tylko jedne z głównych czynników wyboru konkretnego rozwiązania, ale też jedno z największych wyzwań w rozwoju tej technologii. Szybki rozwój rozwiązań chmurowych i rosnąca rola cloud culture i migracji do chmury sprawiają, że dostawcy tworzą coraz to nowsze metody zabezpieczeń.
Rosną nie tylko wydatki na technologie chmurowe – według raportu Gartner w 2023 roku mają one wynieść prawie 592 miliardy dolarów – ale również zagrożenia, z którymi mierzyć się muszą zarówno dostawcy, jak i użytkownicy. Patrząc tylko na technologię multi cloud (której używa według badań Hashicorp 81% organizacji) można zauważyć skalę niebezpieczeństw – w raporcie Radware można znaleźć informację, że 69% firm miało do czynienia z naruszeniem danych w multi cloud.
Powyższe dane pokazują, że obok upowszechniania ekologicznych rozwiązań w postaci green cloud czy mirkoserwisów, zapewnienie odpowiedniego poziomu bezpieczeństwa danych i ochrona przed atakami będą jednymi z najważniejszych czynników wpływających na przyszłość technologii chmurowych. Użytkownikom na nic zda się zwiększanie mocy obliczeniowej czy oferowanie nowych usług, jeśli nie będą one spełniały najwyższych standardów bezpieczeństwa.
Rola standardów i certyfikacji w ochronie prywatności w chmurze
Jednym z najistotniejszych elementów zapewniania prywatności danych w cloud computingu, jak też poświadczeniem poziomu ochrony stosowanej technologii są standardy i certyfikaty. Dostawca, który może pochwalić się jednym z nich, gwarantuje, że oferowane przez niego rozwiązanie spełnia najwyższe normy bezpieczeństwa.
Dwie normy, które muszą spełniać wszystkie rozwiązania chmurowe, to normy ISO 27001 i ISO 27018. Pierwszą ogłoszono w 2005 roku; opisuje ona standardy bezpieczeństwa informacji, najważniejsze polityki, procedury i procesy związane z zapewnieniem odpowiedniego poziomu ochrony danych, zarządzania ryzykiem oraz metody zabezpieczeń przed różnymi zagrożeniami, np. atakami hakerskimi czy utratą danych.
Z kolei ISO 27018 jest bezpośrednio związana z prywatnością danych w chmurze. Norma ta opisuje standardy przetwarzania danych osobowych, jak również procesy kontroli dostępu czy szyfrowania danych. Można ją traktować jako uzupełnienie normy ISO 27001 – oba dokumenty są kluczowe w opracowywaniu i wdrażaniu środków bezpieczeństwa w platformach chmurowych.
Poza wymienionymi wyżej standardami równie ważne są ogólne przepisy prywatności i bezpieczeństwa danych. W przypadku państw Unii Europejskiej najważniejszym aktem prawnym jest RODO – ogólne rozporządzenie o ochronie danych. Równie istotne w tej materii są inicjatywy dostawców i użytkowników chmur, takie jak CSA STAR, które nie tylko zawiera standardy bezpieczeństwa, ale również oferuje certyfikaty dla dostawców spełniających normy.
Zarządzanie uprawnieniami i dostępem do danych w środowisku chmurowym
Jednym z największych zagrożeń prywatności w chmurze są naruszania uprawnień i dostępu do danych. Aby ich uniknąć, nie tylko warto opracować zrozumiałą dla wszystkich użytkowników politykę bezpieczeństwa, ale zastosować odpowiednie rozwiązania techniczne. Można postawić np. na zasadę najniższych uprawnień, w myśl której użytkownicy otrzymują dostęp do danych tylko na czas niezbędny do wykonania danego zadania.
Oprócz tego warto wdrożyć dostosowany do specyfiki organizacji model dostępu. Najczęściej stosuje się jedno z trzech rozwiązań:
- Uznaniowa kontrola dostępu (DAC) oznacza, że o dostępie do danych decyduje ich właściciel.
- Obowiązkowa kontrola dostępu (MAC) działa na podstawie wcześniej określonych przez administratora zasad, a użytkownicy nie mają możliwości ich modyfikacji.
- Zasada działania kontroli dostępu opartej na rolach (RBAC) ukryta jest w jej nazwie – dostęp do danych określają role poszczególnych członków organizacji, więc osoba z niższego szczebla będzie mieć mniejszy dostęp niż ta z wyższego poziomu w hierarchii.
Poza wymienionymi wyżej metodami zarządzanie uprawnieniami może też odbywać się przez różne mechanizmy uwierzytelniania – najczęściej stosuje się albo uwierzytelnianie dwu- albo wieloskładnikowe. Tego typu zabezpieczenia chronią użytkowników przed np. utratą hasła, a chmurę przed atakami phishingowymi. Równie ważne jest zarządzanie tożsamościami, ale warto też pamiętać, że nawet najlepsze technologie nie zastąpią świadomości zagrożeń, więc dobrze jest nieustannie dbać o wysoki poziom wiedzy użytkowników.
Jakie są główne zagrożenia dla prywatności danych w chmurze i jak ich unikać?
Zagrożeń dla prywatności danych w chmurze jest mnóstwo – niemal każdy jej element może paść ofiarą ataku. Nie zmienia to faktu, że największe niebezpieczeństwa czyhają nie w technologiach, a w ludziach – wiele naruszeń bezpieczeństwa chmury nie wynika ze złej woli, a z niedopatrzeń czy ludzkich błędów, więc najlepszym sposobem radzenia sobie z zagrożeniami jest dbałość o odpowiednie przygotowanie pracowników.
Skoro mowa o roli personelu, warto wspomnieć o zagrożeniach, takich jak słaba ochrona kont czy kiepskie zarządzanie przepływem danych. W pierwszym wypadku warto promować (a nawet wymuszać rozwiązaniami technicznymi) stosowanie silnych haseł, w drugim niezbędne będzie nieustanne kontrolowanie przepływu danych.
W przypadku technicznych zagrożeń na początku można wymienić nieautoryzowany dostęp – zabezpieczeniem przed tego typu problemami będzie wdrożenie silnego uwierzytelniania czy monitorowanie aktywności użytkowników. Powiązanym problemem jest nieprawidłowe zarządzanie dostępem – w tym wypadku dobrze jest stosować zasadę najniższych uprawnień.
Prywatność danych w cloud computing jest też narażona na ataki hackerskie, w tym ataki typu injection, w których hakerzy „wstrzykują” w oprogramowanie złośliwy kod. Sposobów ochrony przed tego typu zagrożeniami jest wiele – od uwrażliwiania pracowników przez regularne aktualizacje i stosowanie silnych mechanizmów szyfrujących po regularne przeglądy kodu.
Wybór odpowiedniego dostawcy chmury – czynniki wpływające na bezpieczeństwo danych
Wybór dostawcy chmury nie jest zadaniem łatwym, ale jest zadaniem ważnym, ponieważ od jego efektów może zależeć los nie tylko firmowych danych, ale, w ostateczności, także całej organizacji. Poszukując dopasowanego do specyfiki przedsiębiorstwa rozwiązania, warto przede wszystkim zwrócić uwagę na certyfikaty, którymi posługują się dostawcy. Dobrze jest też dopytać o stosowane metody szyfrowania danych czy kontroli dostępu.
Równie ważnym kryterium jest lokalizacja centrów danych – jest ona istotna, ponieważ może wpływać na stosowane przez dostawcę platformy technologie i standardy. Jednocześnie warto dopytać o używane zabezpieczenia fizyczne, ponieważ są one równie ważne jak software.
Poszukując dostawcy usług chmurowych, dobrze jest również sprawdzić, czy wybrana firma prowadzi regularne audyty bezpieczeństwa oraz zaznajomić się z jej politykami bezpieczeństwa. Te informacje dadzą wgląd w standardy chmury oferowanej przez daną organizację. Równocześnie wskazane jest badanie historii dostawcy ze szczególnym naciskiem na sprawdzenie, czy wcześniej zdarzało mu się mieć problemy z bezpieczeństwem.
Porozmawiajmy!
a my pomożemy Ci wdrożyć najnowsze rozwiązania!