Pięć najpoważniejszych błędów związanych z wdrażaniem chmur obliczeniowych

Przetwarzanie w chmurze w szybkim tempie nabiera znaczenia w biznesie. Dyrektorzy ds. informatyki są przekonani, że prawidłowe wdrożenie chmur obliczeniowych umożliwi znaczne zwiększenie elastyczności i wydajności działania przedsiębiorstw przy jednoczesnym obniżeniu kosztów infrastruktury. W związku z tym w ciągu najbliższych lat wiele małych i dużych firm przeniesie do tego rodzaju środowiska znaczną część prowadzonej działalności.

Należy jednak pamiętać, że o ile każde przedsiębiorstwo chce skorzystać z dobrodziejstw chmury, o tyle nie każde uzyskuje w praktyce pożądane rezultaty. Poniżej opisano pięć najpoważniejszych błędów, których należy unikać:

1. Wybór niewłaściwego modelu przetwarzania w chmurze

Przedsiębiorstwa decydujące się na korzystanie z chmur obliczeniowych mają do wyboru chmury publiczne, prywatne, społecznościowe i hybrydowe. Chmura publiczna stanowi własność usługodawcy i jest udostępniana wielu klientom za opłatą naliczaną na podstawie faktycznego wykorzystania zasobów. Chmura prywatna stanowi własność przedsiębiorstwa lub instytucji i jest wdrażana przez danego odbiorcę do użytku wewnętrznego. Chmura społecznościowa jest współużytkowana przez grupę klientów reprezentujących często tę samą branżę.

Chmura hybrydowa łączy wyżej wymienione modele wdrażania, a tym samym umożliwia sprawne przenoszenie aplikacji i danych między poszczególnymi typami chmur.
Każdy rodzaj chmury obliczeniowej ma swoje zalety. Przed dokonaniem wyboru należy wziąć pod uwagę znaczenie aplikacji, które firma chce przenieść do chmury, a także wymagania dotyczące zgodności z przepisami, niezbędne poziomy usług, sposób wykorzystania zasobów do celu realizacji poszczególnych zadań oraz wymagany stopień integracji przenoszonych aplikacji z innymi obszarami działania przedsiębiorstwa.

2. Nieuwzględnienie problematyki bezpieczeństwa pracy w chmurze w korporacyjnej strategii bezpieczeństwa

Zasady bezpieczeństwa dotyczące pracy w chmurze powinny być integralnym elementem korporacyjnej strategii bezpieczeństwa. Nie oznacza to jednak konieczności tworzenia nowych zasad – zamiast tego można rozszerzyć dotychczasowe w celu uwzględnienia specyfiki nowej platformy. Przy modyfikowaniu zasad na potrzeby chmur obliczeniowych należy wziąć pod uwagę podobne elementy: miejsce przechowywania danych, sposób ochrony danych, osoby mające dostęp do danych, wymagania wynikające z przepisów oraz zobowiązania dotyczące poziomu usług. Właściwie przeprowadzone wdrożenie modelu przetwarzania w chmurze może stać się okazją do udoskonalenia zasad bezpieczeństwa i podniesienia ogólnego poziomu bezpieczeństwa.

3. Nadmierne zaufanie do zabezpieczeń oferowanych przez dostawcę usług przetwarzania w chmurze

Nie wolno zakładać, że korzystanie z usług wyspecjalizowanego dostawcy jest gwarancją bezpieczeństwa danych. Firma musi wnikliwie przyjrzeć się rozwiązaniom technicznym i procesom bezpieczeństwa stosowanym przez dostawcę oraz sprawdzić, w jaki sposób chroni on powierzone mu dane i własną infrastrukturę. W szczególności należy zwrócić uwagę na następujące kwestie:

- Możliwość przenoszenia aplikacji i danych. Czy dostawca umożliwia wyeksportowanie dotychczasowych aplikacji, danych i procesów do chmury obliczeniowej? Czy można je równie łatwo zaimportować z powrotem do systemów firmy?

- Bezpieczeństwo fizyczne centrum przetwarzania danych. W jaki sposób usługodawca chroni fizyczne centra przetwarzania danych? Czy korzysta z ośrodków zgodnych z wymogami audytu SAS 70 typu II? Jakie przeszkolenie przeszli operatorzy centrum przetwarzania danych i jakie są ich kwalifikacje? Bezpieczeństwo dostępu i obsługi. W jaki sposób dostawca kontroluje dostęp do urządzeń fizycznych? Kto ma dostęp do tych urządzeń i w jaki sposób odbywa się zarządzanie nimi?

- Bezpieczeństwo wirtualnego centrum przetwarzania danych. Architektura chmury obliczeniowej ma zasadnicze znaczenie dla jej efektywności. W związku z tym należy zorientować się, jaka jest architektura poszczególnych elementów, takich jak węzły obliczeniowe, węzły sieci i węzły pamięci masowej, a także w jaki sposób są one zintegrowane i chronione. Bezpieczeństwo aplikacji i danych. Aby można było wprowadzić w życie zasady obowiązujące w przedsiębiorstwie, rozwiązanie do przetwarzania w chmurze musi umożliwiać definiowanie grup i ról, precyzyjną kontrolę dostępu na podstawie ról oraz stosowanie właściwych zasad dotyczących haseł i mechanizmów szyfrowania danych (podczas przesyłania i przechowywania).

4. Zaniedbanie obowiązku ochrony danych

Nie do przyjęcia jest założenie, że outsourcing aplikacji lub systemów zwalnia firmę z odpowiedzialności za naruszenie integralności danych. Wśród małych i średnich przedsiębiorstw funkcjonuje niekiedy tego rodzaju błędne przekonanie, ale należy zdać sobie sprawę z faktu, że w praktyce to firma ponosi wobec klientów i innych jednostek związanych z firmą ostateczną odpowiedzialność za nienaruszalność danych. Innymi słowy, za niedopełnienie obowiązków ukarany zostanie szef firmy zlecającej przetwarzanie danych, nie zaś dyrektor firmy świadczącej usługi przetwarzania w chmurze.

5. Brak jednoznacznego określenia obowiązujących przepisów

Dane uznawane w jednym kraju za bezpieczne mogą nie spełniać wymogów bezpieczeństwa obowiązujących poza jego granicami, a użytkownicy usług przetwarzania w chmurze często nie wiedzą, gdzie są przechowywane należące do nich informacje. Unia Europejska, która podejmuje obecnie działania na rzecz harmonizacji przepisów o ochronie danych obowiązujących w poszczególnych państwach członkowskich, skłania się ku bardzo ścisłej ochronie prywatności. Z kolei w Ameryce obowiązują przepisy (takie jak amerykańska ustawa antyterrorystyczna Patriot Act), które dają władzom i innym organom praktycznie nieograniczony wgląd w informacje należące do przedsiębiorstw.

W związku z powyższym użytkownik powinien w każdym przypadku wiedzieć, gdzie są przechowywane jego dane. Jeśli jest to konieczne, dane należy przechowywać w kilku miejscach. Zaleca się przy tym wybór kraju, w którym obowiązują przepisy gwarantujące firmie dostęp do danych, nawet w przypadku niespodziewanego rozwiązania umowy z dostawcą usług przetwarzania w chmurze. Ponadto dostawca powinien umożliwić wybór miejsca, w którym mają znajdować się dane. Podsumowując, firma decydująca się na korzystanie z technologii przetwarzania w chmurze musi podjąć określone działania w celu zminimalizowali ryzyka. Aby uzyskać maksymalny zwrot z inwestycji przetwarzania w chmurze, należy zaplanować takie działania z wyprzedzeniem i od samego początku realizować je w sposób konsekwentny.

Autorem jest Grzegorz Ciołek,inżynier systemowy Fortinet


Tekst pochodzi z magazynu DLP expert 3/2013 (6) - który bezpłatnie można pobrać tutaj: https://www.dlp-expert.pl/magazine

Źródło: Redakcja