[vc_row][vc_column width=”2/3″][vc_wp_text]

[xyz-ips snippet=”metadatatitle”]

 

[/vc_wp_text][/vc_column][vc_column width=”1/3″][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]

A vállalatok nem kis részben azért vesznek igénybe felhőszolgáltatásokat, mert adott feladathoz nincs meg házon belül a szakértelmük. Ilyenkor viszont mi alapján ítélik meg a szolgáltató felkészültségét, például a biztonság terén?

Bármennyire is elismerik az informatikusok, sőt, egyre inkább a pénzügyi-üzleti vezetők is a felhőszolgáltatások előnyeit, a bevezetés egyik legnagyobb akadályát továbbra is a biztonsági aggodalmak jelentik. Hiába hangoztatja minden szolgáltató, hogy nála aztán minden adat biztonságban van, egyetlen cég sem adja oda szívesen bizalmas, feladatkritikus vagy csak egyszerűen fontos(nak tartott) adatait egy külső szolgáltatónak, amely aztán egy ki tudja hol lévő adatközpontban, ki tudja milyen körülmények között tárolja azokat.

Hol az igazság?

A helyzet valóban ellentmondásos. Egyfelől igaz, hogy a felhőszolgáltatásokat kínáló vállalatok többsége komolyan veszi a biztonság minden aspektusát. Mivel pedig ebből élnek és hatalmas adatközpontokat üzemeltetnek, elemi érdekük, hogy a létező legjobb fizikai és informatikai védelmi rendszereket alkalmazzák.

Ennek megfelelően védelmi intézkedéseik és biztonsági szakembereik felkészültsége messze meghaladja azt, amit ügyfeleik többsége valaha is megengedhetne magának. Másfelől viszont azt sem lehet tagadni, hogy nem minden szolgáltató egyforma, mint ahogy azt sem, hogy előfordultak már adatvesztések, szolgáltatáskimaradások.

Egy-egy nagyobb port felverő biztonsági incidens könnyen elbátortalaníthatja a potenciális ügyfeleket.

Ahogy a hagyományos informatikában, a felhőszolgáltatások esetében is a technológia, a folyamatok és az emberek hármasán múlik a biztonság. A kérdés csak az, hogy a felhasználó miként tud meggyőződni választott szolgáltatója biztonsági felkészültségéről. Ebben segíthetnek a már alakulóban lévő iparági ajánlások, mint például a CSA Guidance, de van néhány kérdés, amelyeket érdemes lehet feltenni a potenciális felhőszolgáltatónak. A válaszokból már elég jól fel lehet mérni, mennyire is veszi komolyan az információbiztonságot a vállalat.

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/checklist_1.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/checklist_1.jpg” align=”center”/]
1. Mi a véleménye a titkosításról?

Ha a szolgáltató úgy véli, hogy az illetéktelen hozzáférés elől elég jelszóval védeni az állományokat, vagy hogy csak a mozgásban lévő adatokat kell titkosítani, tárolás közben pedig felesleges – akkor érdemes máshova fordulni. A mindenre kiterjedő védelem egyik talpköve, hogy az adatot mindenkor és mindenhol (a tárolás helyén, átvitel közben és lehetőleg a felhasználó eszközén is) titkosítani kell. A titkosítatlan adatok elvesztése komoly jogi szankciókkal is járhat. Ha pedig már titkosítás, nincs értelme alább adni a 256 bites AES technológiánál, de igény szerint ennél erősebb kulcsok is elérhetők.

2. Hogyan kezeli a titkosító kulcsokat?

A titkosítás nehézsége nem is annyira az adatok kódolásában rejlik, mint inkább a titkosító kulcsok kezelésében. A kulcsokat nemcsak logikailag, hanem fizikailag is el kell választani a velük titkosított adatoktól – az a legjobb, ha egy egészen másik adatközpontban tárolják őket, így nincs egyetlen gyenge pont.

Arra sem árt figyelni, hogy ugyanannak az alkalmazottnak ne legyen hozzáférése mind a kulcsokhoz, mind a titkosított adatokhoz.

A felhő kockázatai

[list bullet=”blue”]

A számítási felhőkkel kapcsolatban az alábbi kockázati tényezőket szokták a leggyakrabban emlegetni:– hálózati kapcsolat: ha az adatok bármilyen okból nem elérhetők, az üzletmenet leáll;– végpontok biztonsága: a felhő könnyen elérhető mobileszközökről is, amelyek biztonságára viszont korántsem fordítunk kellő figyelmet;

  • adatbiztonság: az adatoknak nemcsak folyamatosan elérhetőknek kell lenniük, hanem garantálni kell, hogy a szükséges ideig változatlan formában fenn is maradnak
  • adatvédelem: garantálni kell, hogy csak az férhet hozzá az adatokhoz, akinek erre jogosultsága van
  •  ellenőrzés: a felhasználói jogosultságkezelés, az eszközök beállításai, a szabályrendszerek kialakítása több odafigyelést igényel

[/list]

3. Mennyi adatreplikáció elég?

A felhasználók elvárása, hogy minden adatuk azonnal és hiba nélkül a rendelkezésükre álljon. A szokásos szolgáltatói vállalás (99,999 százalékos rendelkezésre állás) az elérhetőségre jó lehet, de az adatmegőrzésnél ennél többre lehet szükség. A szokásos adattükrözés (két merevlemezen tárolják az adatot) nagyjából 99,99 százalékos biztonságot nyújt: várhatóan minden 10 ezer állományból elvész egy. Ha tényleg nélkülözhetetlen adatokról van szó, ragaszkodjunk ahhoz, hogy adatainkat több, egymástól távol eső adatközpontban tárolják, mindenütt legalább három példányban, és ezek között azonnali és automatikus legyen a szinkronizáció.

4. Mekkora ellenőrzést kapunk az adatok felett?

Az ügyfélnek teljes kontrollt kell kapnia az adatai felett, legyen szó azok létrehozásáról, feltöltéséről, tárolásáról, megosztásáról és a végén a törléséről.

A szolgáltatónak garantálnia kell, hogy az ügyfél munkatársai képesek a távolból véglegesen törölni állományokat és mappákat a felhasználók eszközeiről, vagy megszüntetni egy-egy felhasználó hozzáférését az adatokhoz. A szolgáltatóval együtt fel kell készülni azokra az eshetőségekre is, amikor az adat illetéktelen kezekbe kerül.

5. Hogyan kezeljük a jelszavakat?

A gyenge, átlagos, könnyen kitalálható jelszavak minden informatikai rendszer Achilles-sarkát jelentik. Ha a felhasználóknak újabb név–jelszó párost kell megtanulniuk a felhőszolgáltatások igénybevételéhez, valószínűleg a legkisebb ellenállást választják. Akkor már jobb, ha a szolgáltatást a meglévő – és például az Active Directoryban tárolt – jelszavakkal lehet igénybe venni. Ha a felhő integrálható a már kialakított jelszó- és felhasználóazonosítási eljárásrenddel, a kockázat csökkenthető.

6. Hogyan választják el az adatokat?

Úgy tudják hatékonyan kihasználni erőforrásaikat a felhőszolgáltatók, hogy egy fizikai szerveren több virtuális gépet alakítanak ki, és azzal több ügyfelet is kiszolgálnak. A virtuális szerverek, valamint a rajtuk futó alkalmazások és adatok csak logikailag vannak szétválasztva, ezért aztán rendkívül fontos, hogy a szolgáltató hogyan menedzseli a virtuális erőforrásokat. Senki nem szeretné, ha ügyféladatai egy másik cég dolgozói számára lennének elérhetők.

7. Hogyan naplózzák a tevékenységet?

A szolgáltatónak teljes naplózást kell folytatnia minden, az ügyfelet érintő változásról, hogy a változások nyomon követhetők legyenek.

8. Együtt tud nőni az igényekkel, méretezhető-e?

A felhő egyik nagy előnye, hogy a szolgáltatási kapacitást az igényeknek megfelelően lehet alakítani. Ha az ügyfél a terhelés gyors növekedésére számít (akár új felhasználók, akár még több adat miatt), győződjön meg arról, hogy a szolgáltató később is képes lesz kielégíteni igényeit.

Forrás:

Biztonsagportal.hu

[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_wp_text][xyz-ips snippet=”metadatatime”]

[/vc_wp_text][/vc_column][/vc_row]

Pin It on Pinterest