Strona Główna / Blog

Czy Chmura Jest Bezpieczna (Czyli Kto Się Boi Chmury, Dlaczego Się Boi i Jak Się Broni)

Mirek Burnejko

Mirek Burnejko

Rozmawiam w języku Amazon Web Services, Microsoft Azure i Google Cloud Platform. Skontaktuj się z nim pisząc na ten adres.

Czy Chmura Jest Bezpieczna

Czy chmura jest bezpieczna?
O co boisz się najbardziej?
Czy Twoje dane wyparują?
Jakie usługi przenosimy do chmury?
Jak się chronić przed otaczającymi wrogami naszej organizacji?o
A może wrogowie są wewnątrz?
Czy odchodzący administrator usunie wszystkie serwery jednym klikiem?

Dużo jest obaw związanych z chmurą publiczną. Trafiłem na bardzo ciekawy dokument – 2015 Cloud Security Report zrobiony przez Bitglass.

W badaniu udział wzięło 1010 specjalistów. Pojawiły się firmy powyżej 10,000 pracowników (18%), pojawili się właściciele/CEO (16%), pojawili się ludzie z działów bezpieczeństwa (38%). Cały przekrój. Ale to dobrze. Łatwiej określa panujący trend, który za kilka chwil przyjdzie z USA do Polski.

Jakie Usługi Wdrażamy w Chmurze

  • Aplikacje webowe – 43%
  • Aplikacje do komunikacji i współpracy – 39%
  • Aplikacje sprzedażowe i marketingowe – 30%
  • Produktywność – 29%
  • Aplikacje IT – 26%
  • Test i Development – 24%
  • Disaster Recovery, przestrzeń dyskowa i archiwizacja – 23%
  • HR – 22%
  • Business intelligence i analityka – 20%
  • Blog i inne formy treści – 18%
  • Niestandardowe aplikacje biznesowe – 18%
  • Finanse i księgowość – 18%

Komentarz

Dane te bardzo odpowiadają polskiemu rynkowi. Nie ilością, ale rozłożeniem aplikacji. Większość firm, z którymi współpracują przenoszą swoje aplikacje www do chmury. Dlaczego? Skalowanie, elastyczność przy dużym ruchu, bezpieczeństwo, zarządzane bazy danych… no i oczywiście Opex, a nie Capex. Jest to genialny model, dla firm, które chcą wystartować z aplikacją małym kosztem i rozwijać ją tylko wtedy, gdy pojawi się zainteresowanie = duży ruch.

Co czwarta firma przenosi swoje usługi Test i Development do chmury. Po co płacić za serwery/kolokację przez 24 godziny, kiedy możemy mieć środowisko, za które płacimy tylko przez czas testu/uruchomienia aplikacji.

Również co czwarta firma korzysta z usługi Distaster Recovery i archiwizacji. Przestajemy się martwić o sprzęt, zarządzanie macierzami, sieciami SAN. Otrzymujemy przestrzeń dyskową, IOPS i płacimy jedynie za użyte zasoby. W wielu przypadkach maszyny nie są nawet uruchamiane w chmurze, jedynie czekają w formie szabolonu na awarię w głównym Data Center. Olbrzymie zyski finansowe, w porównaniu z budową własnego DRC w kolokacji.

Mam nadzieję, że takie liczby zobaczymy w Polsce na przełomie 2016/2017 roku.

Które Aplikacje w Chmurze Wdrażamy

Raport podaje kilka aplikacji. Warto jednak skupić się na trzech.

  • Microsoft Office 365
  • Google Apps
  • Dropbox

Procent firm, które wdrożyły te aplikacje:

  • Microsoft Office 365 – 16%
  • Google Apps – 16%
  • Dropbox – 16%

Procent firm, które planują wdrożyć te aplikacje:

  • Microsoft Office 365 – 29%
  • Google Apps – 13%
  • Dropbox – 4%

Komentarz

Ciekawe liczby dotyczące Office 365, którym się nie dziwię. Sam używam Google Apps, jednak widzę jak bardzo rozwija się Office 365. Jak bardzo angażowani są developerzy. Widać też, że klienci wolą bardziej zintegrowane rozwiązania niż Dropbox, na rzeczy rozwiązań ala pakiet Office 365. Polecam też bardzo fajne porównanie Google Apps i Office 365 z punktu widzenia organizacji.

Jakie Dane Korporacyjne Trzymamy w Chmurze

  • Email – 45%
  • Dane sprzedażowe i marketingowe – 42%
  • Wartość intelektualna firmy – 38%
  • Dane klientów – 31%
  • Wrażliwe dane finansowe – 19%
  • Dane zdrowotne pracowników – 8%

Komentarz

BARDZO dużo firm boi się (o czym za chwilę) chmur. Tym samym informacja o tym, że można tam przenieść dane finansowe lub dane zdrowotne pracowników, budzi niepokój… Nic bardziej mulnego. Duzi gracze wykładają setki milionów dolarów na najlepsze zabezpieczenia danych oraz zgodności z normami. W 2015, szybciej umieściłbym najważniejsze mi dane w chmurze Amazon, Google lub Microsoft, niż we własnym Data Center. Po prostu WIEM, że moje dane będą tam bezpieczeniejsze, niż w rozwiązaniu, które mogę zbudować we własnym DC.

Jakie Plusy Ma Wdrożenie w Chmurze

  • Zysk na bardziej elastycznych zasobach i skalowalności – 51%
  • Zwiększona dostępność – 50%
  • Redukcja kosztów – 48%
  • Zwiększona ciągłość działania – 46%
  • Zwiększona zwinność – 45%
  • Zwiększona efektywność – 41%
  • Przeniesienie wydatków z CAPEX (zakup) na OPEX (abonament) – 38%
  • Przyśpieszone wdrożenie i obsługa administracyjna – 38%
  • Zwiększona produktywność – 31%
  • Zwiększony zasięg geograficzny – 28%
  • Zmniejszony czas wejścia na rynek – 28%
  • Zmiejszenie skomplikowania – 27%
  • Zwiększona wydajność – 27%
  • Zwiększone bezpieczeństwo – 22%
  • Lepsza zgodność z normami – 9%

Komentarz

Zwrócę tu uwagę na trzy elementy:

Redukcja kosztów – 48%. TAK. W końcu. Ciągle jednak widzę problem związany z porównaniem chmury do kolokacji lub dobieranie 1:1. Dostawcy usług cloud, tacy jak Amazon Web Services, oferują 40+ usług, które przy dobrej architekturze i długoterminowym myśleniu, obniżają koszty drastycznie. Nie porównujmy 1:1. Skupmy się na problemie biznesowym i spędźmy czas z partnerem, który pracował przy wielu projektach w danej chmurze. Ważne jest też wprowadzenie zmiennej biznesowej. Np. X = koszt usług cloud dla danej usługi / ilość użytkowników. Na początku ta wartość może być duża. Ekonomia skali, nauka i optymalizacja środowiska będzie zmniejszała tą liczbę. Biznes będzie zadowolony widząc zmniejszające się koszta per użytkownik. Świat będzie lepszy.

Zmiejszenie skomplikowania – 27%. Zamiast konfigurować macierzy (potrzebny admin macierzy), konfigurować sieć SAN (potrzebny admin SAN), konfigurować wirtualizację (potrzebny admin wirtualizacji), etc., wystarczy parę klików i mamy gotowy serwer, do którego podłączony jest dysk 1TB (3000 IOPS). Możemy skupić się na optymalizacji, architekturze aplikacji, współpracy z biznesem.

Zwiększona dostępność – 50%. Zanim zaczniesz mi opowiadać, że chmury padają, posłuchaj. Dostawcy posiadający kilkadziesiąt Data Center i tysiące/miliony serwerów, nauczyli się popełniać jak najmniej błędów. Słynne są historię, gdy na dywanik jest wzywany wice prezes, gdy ilość awarii dysków wzrosła o 1%. Dodatkowo, dostawcy oferują Ci możliwość budowania biznesu w wielu Data Center, wielu regionach świata. W końcu dochodzimy do czasów, gdzie tylko od Twojej architektury zależy, czy i jak aplikacja będzie dostępna. Sieć, storage, wirtualizacja, przestają być wymówkami.

Niepokój Związany z Bezpieczeństwem Chmury

  • Duże zaniepokojone – 47%
  • Średne zaniepokojone – 43%
  • Brak zaniepokojenia – 5%

Komentarz

To, że jesteśmy zaniepokojeni to dobry znak. Szczególnie przy ilości ataków, które spotykamy zarówno w Data Center, jak i w chmurze. Jest jednak fakt, o którym zapominamy. Jeszcze „kilka” lat temu baliśmy się, że gdzieś jest koniec naszej, płaskiej Ziemi. Dochodząc do granic spadniemy. Czuliśmy niepokój. W końcu ktoś powiedział, że Ziemia jest okrągła. Czuliśmy większy niepokój. Zaczęliśmy jednak poznawać fakty i dziś okrągłość Ziemi nie wywołuje już takiego niepokoju…

Dziesiątki lat uczyliśmy się tego, że wszystko działa w naszym lokalnym Data Center. Uczyliśmy się, że będąc firmą sprzedającą jajka musimy być również firmą, która buduje Data Center, buduje własne serwery pocztowe, buduje własne redundantne serwery i macierze. „Przyszła chmura” i powiedziała, że możesz zapomnieć o pierdołach i skupić się na biznesie.

Mamy obawy… Mamy obawy, bo brakuje nam wiedzy. Boimy się, szczególnie o swoje kariery. Pojawiają się pierwsze duże firmy, które przestają się bać i ruszają w nieznane. Uczą się, że nie jest to takie straszne, a wręcz przeciwnie. Jest to bardziej bezpieczne (technologicznie, operacyjnie i finansowo) niż to co znaliśmy do dzisiaj.

Potrzeba trochę czasu oraz odrobinkę wiedzy… każdego dnia odrobinkę nowej wiedzy.

Co Zatrzymuje Adaptację Chmury w Twojej Organizacji

    Obawy o bezpieczeństwo – 45%
    Ryzyka utraty lub wypływu danych – 41%
    Utrata kontroli – 31%
    Aspekty prawne i regulacyjne – 29%
    Integracja z obecnym środowiskiem IT – 29%
    Brak dojrzałości modelu usługowego chmury – 21%
    Wewnętrzny opór i bezwładność – 19%
    Brak transparentności dostawcy – 19%
    Strach przez zamknięciem się na jednego dostawcę – 19%
    Brak zasobów i ekspertyzy – 16%
    Koszta / Brak ROI – 14%
    Skomplikowane zarządzanie – 13%
    Wydajność aplikacji w chmurze – 13%
    Dostępność – 9%
    Brak wsparcia dostawców chmury – 8%

Komentarz

Tu mam żal do dostawców i partnerów. Zamiast skupić się na porównaniu z innymi usługami, powinni spędzać każdą wolną sekundę na uświadamianiu, że bezpieczeństwo w chmurze jest na wysokim poziomie. Poświęcie chwilę swojego cennego czasu i pokażcie (wpis, video, prezentacja), jak zapewniacie bezpieczeństwo w swojej chmurze. Co druga osoba ma z tym problem. To jest wasz obowiązek.

Cieszy mnie natomiast mała ilość osób, które widzą problem z brakiem ROI, skomplikowanym zarządzaniem, wydajnością aplikacji w chmurze oraz dostępnością. Widać, że tutaj wszystko idzie w dobrym kierunku.

Jakie Są Największe Zagrożenia Bezpieczeństwa w Chmurach Publicznych

  • Nieupoważniony dostęp – 63%
  • Przechwytywanie kont, usług oraz ruchu – 61%
  • Złośliwi pracownicy dostwcy – 43%
  • Niebezpieczny intefejs/API – 41%
  • Ataki DDoS – 39%
  • Ataki typu „shared memory” – 24%
  • Kradzież serwisów – 23%

Komentarz

Są to bardzo ważne aspekty usług w chmurze… ale również usług w lokalnym Data Center/kolokacji. Dostawcy usług oferują wiele opcji związanych ze zniwelowaniem tego typu scenariuszy. Jest to np. używanie podwójnej autoryzacji, brak haseł SSH (tylko korzystanie z infrastruktury kluczy publicznych), zaawansowane mechanizmy DDoS.

Pamiętaj, że usługodawcy chmury stosują granicę zaufania i nadzoru. Zapewniają bezpieczeństwo do pewnego poziomu. Ochrona systemów, wykorzystanie firewalli aplikacyjnych, filtrowanie ruchu nadal leży po Twojej stronie, brak dostępu do środowisk klientów przez pracowników dostawcy.

Czy Aplikacje ala Salesforce i Office 365 Są Bezpieczniejsze W Chmurze

  • Mniej bezpieczne w chmurze – 36%
  • Tak samo – 28%
  • Bardziej bezpieczne w chmurze – 12%

Komentarz

Mając rozwiązanie we własnym Data Center czujemy się pewniejsi tego rozwiązania. Mimo, że jest to najczęściej pozór. Kto nigdy nie stracił ważnych danych w swoim Data Center, niech pierwszy zostawi komentarz pod tym artykułem.

Czy Pracownicy Mają Dostęp do Prywatnych Dysków w Chmurze z Firmowej Sieci

  • Ilość firm, gdzie dochodzi do tego – 43%
  • Managerowie zaniepokojeni tym faktem – 80%

Komentarz

Pewnie znasz kogoś, kto powie: „Shadow IT – Zło – Pokonajmy to – zablokujmy wszystko”. Błąd. Model BYOD (Bring Your Own Device), gdy jest dobrze zrobiony, pozwala na pracę zarówno na danych firmowych oraz prywatnych na tym samym urządzeniu. Przy dobrym systemie: a) użytkownik jest zadowolony, bo korzysta z ulubionych aplikacji i rozwiązań. b) dział IT jest zadowolony, bo dane nie wyciekają do strefy prywatnej. Wszystko obija się o dobrze zaprojektowane rozwiązanie.

Moje ulubione części składowe do tego systemu?
Wirtualne Pulpity + Mobile Device Managent + Identity Management.

Np. Amazon Workspace + IBM MaaS360 + Cisco ISE. Tadaaaaa.

Przenosząc Się Do Chmury, Jak Planujesz Obsłużyć Potrzeby Bezpieczeństwa

  • Partnerstwo z managed services provider – 34%
  • Oprogramowanie bezpieczeństwa od niezależnego dostawcy – 33%
  • Dodanie pracowników, specjalizujących się na bezpieczeństwie w chmurze – 31%
  • Znalezienie dostawców security as a service, monitorujących systemy 24x7x365 – 27%

Komentarz

Bezpieczeństwa nigdy za wiele. Firmy, który posiadają największe prawdopodobieństwo ochrony przed atakami i wyciekami, to firmy, które skorzystały z kilku metod.

Znalezienie dobrego partnera, który przeniesie do Ciebie wiele dobrych praktyk, to jedno. Odpowiednie oprogramowanie i dedykowani pracownicy, to drugie. Odpowiednie monitorowanie to trzecie.

Bezpieczeństwa nigdy za wiele.

Jakie Technologie i Akcje Są Najbardziej Efektywne Przy Ochronie Danych w Chmurze

  • Szyfrowanie danych w spoczynku – 65%
  • Szyfrowanie danych w ruchu – 57%
  • Kontrola dostępu do danych – 48%
  • Systemy Intrusion Prevention (IPS) – 48%
  • Treningi bezpieczeństwa i świadomości – 45%
  • Systemy blokujące wycieki danych (DLP) – 41%
  • Firewall-e i systemy Network Access Controll (NAC) – 40%
  • Zarządzanie i analiza logów – 39%
  • Monitoring sieci – 36%
  • Kontrola bezpieczeństwa urządzeń końcowych – 36%
  • Antivirus/Antimalware – 36%
  • Autoryzacja SSO – 36%
  • Mobile Device Management (MDM) – 27%

Komentarz

Firewall-e, urządzenia NAC oraz filtrowanie ruchu tylko na brzegu sieci odchodzą do lamusa. W świecie, gdzie duża część ruchu odbywa się w zaszyfrowanej formie, potrzebujemy bardziej wyrafinowanych rozwiązań. Rozwiązań jak systemy IPS/DLP/WAF/Antimalware, pracującą na serwerach w modelu rozproszonym. Budowanie bezpieczeństwa na brzegu sieci to przeżytek, szczególnie w środowisku chmury publicznej. Idealną opcją jest proste zabezpieczenie ruchu na brzegu, piekielnie mocne zabezpieczenie ruchu na elementach końcowych, szyfrowanie wszystkiego jako standard, monitorowanie wszystkiego i ciągła analiza nowych zagrożeń oraz wdrożenie mechanizmów ochrony na urządzeniach pracowników (BYOD/VDI).

Bezpieczeństwa nigdy za wiele. Nie ważne, czy w lokalnym Data Center, czy w chmurze.

Nie zawsze chmura jest dobrym rozwiązaniem.
Nie zawsze lokalne Data Center jest bezpieczeniejsze od chmury.
Nie zawsze wyniki procentowe opisują Twoją firmę.
Myśl.
Ucz się.
Adaptuj siebie i swoje środowisko.

Dołącz do listy mailingowej!

Dołącz do naszego newslettera

Staramy się wysyłać tylko wartościowe informacje, np. co miesiąc dostaniesz spis najważniejszych nowości z chmur Azure, AWS i GCP, z krótkimi opisami i linkami.