2009-ben az ENISA (European Network and Information Security Agency) részletes elemzést adott ki a cloud computing előnyeiről és kockázatairól, ugyanakkor ajánlásokat is fogalmazott meg a kockázatok kezelésére. Egyik fő észrevétele a tanulmánynak az volt, hogy a cloud computing terjedésével a munkavállalók – akár hozzátartozik a munkakörükhöz vagy nem – úgyis használni fognak felhő alapú szolgáltatásokat, amikre egy szervezetnek fel kell készülnie. Ez a feltevés, ahogy egyre haladunk előrébb az időben fokozatosan bebizonyosodik a vállalatoknál.
Ugyanakkor a PwC 2012-es globális információbiztonsági felméréséből kiderül, hogy az esetek 54 százalékában a válaszadók úgy ítélték meg, hogy a felhő bevezetése után a cégüknél javult az információbiztonság, és csak 23,5 százalék állította azt, hogy romlott.
Azt is fontos látni, hogy mivel a biztonság sok szervezet számára nagyon magas prioritást jelent, ezért sokuk ez alapján fog beruházási döntéseket hozni. Értelemszerűen ez elég motivációt jelent egy felhőszolgáltató számára, hogy egyre jobban megfeleljen a biztonsági követelményeknek. Ez egyben meg is különböztethet a piacon, ezáltal jelentős előny kovácsolható belőle. Auditori szemmel nézve a dolgot szintén kínál előnyöket a mérethatékonyság. A szinte kötelező virtualizáció eredményeképpen a bizonyosságok begyűjtéséhez külön erre a feladatra dedikált rendszerképeket lehet használni, illetve a naplók költséghatékony tárolásából fakadóan sokkal teljesebb adatokat lehet összegyűjteni és elemezni, mindezt úgy, hogy nem okozunk jelentős teljesítmény kiesést. A biztonsági patchek, frissítések is sokkal gyorsabban jelennek meg az ügyfeleknél a homogén környezetnek köszönhetően. És habár az erőforrások koncentrációjának kétségtelenül vannak biztonsági hátrányai, mégis egyszerűsíti a fizikális védelem megerősítését, illetve sok biztonsághoz kapcsolható folyamatnak az alkalmazását.
Ha biztonsági szempontból mégis ennyi előnye van a cloud computing-nak, akkor végülis mik azok a kockázatok, amikről folyton beszélnek? Az ENISA négy kategóriába sorolja a felsorolt kockázatokat: szabályozási és szervezeti kockázatok, technikai kockázatok, jogi kockázatok, és olyan kockázatok, amelyek nem specifikusak a cloud-ra nézve. Ezekből ismertetek egyet-egyet.
Szabályozási és szervezeti kockázatok ■ A legtipikusabb szervezeti kockázatot az úgynevezett lock-in kockázat jelenti. Egy szolgáltató kiválasztásakor egyáltalán nem biztos ugyanis, hogy a legmegfelelőbbet választja a cég, és ha ez mégis így volna, akkor is elég gyakori, hogy a szervezet fejlődéséből fakadóan később szolgáltatót kell váltani. Amennyiben az alkalmazott technológia, eszközök, adatformátumok nem sztenderdek, akkor a szolgáltatás és az adatok nehézkesen migrálhatóak át az egyik szolgáltatótól a másikhoz. Ehhez még az is hozzájárul, hogy a felhőszolgáltatóknak nem feltétlenül áll érdekükben, hogy biztosítsák a portabilitást.
Technikai kockázatok ■ Az izoláció hibájának a kockázata az egyik legjelentősebb a nyilvános felhőszolgáltatók esetében. A publikus cloud ugyanis szinte csak több-bérlős modellben és elosztott erőforrásokkal létezik. Ebből fakadóan tehát, fennáll a lehetősége annak, hogy ha nem tökéletes az izoláció a közös erőforrásokat használó vállalatok között, akkor az egyik megtámadásával könnyen sérülhetnek a többiek is. Gondoljunk csak bele, hogy mekkora kárt okozhat egy elosztott adatbázis, amelyen úgynevezett SQL injection támadást hajtanak végre. Ekkor ugyanis az összes táblát letörölhetik, és így az összes vállalat (felhőfelhasználó) adata elveszhet.
Jogi kockázatok ■ Az adatfeldolgozásból származó kockázat hatása jelentős lehet egy vállalat számára. Mivel a fogyasztó nehezen vagy egyáltalán nem tudja ellenőrizni, hogy a szolgáltató pontosan mit tesz az adataival, ezért nem is lehet biztos abban, hogy az adatokat a törvények által előírt módon kezelik. Az adatvédelmi törvényeknek történő nem megfelelés ugyanis súlyos szankciókat vonhat maga után.
Nem specifikus kockázatok ■ A nem felhőspecifikus kockázatok természetesen nem csak a felhőre vonatkoznak, ugyanakkor a környezetből fakadóan szintén ügyelni kell rájuk. Ilyen például a hálózati adatforgalom módosításának lehetőségéből fakadó kockázat. Erre tipikus példa, ha a webböngészőn keresztül elérhető szoftverszolgáltatás használata során keletkező adatforgalmat eltérítik és megváltoztatják, mielőtt az a felhőszolgáltatóhoz érne. Ugyanez a visszirányba is igaz lehet.
A fentebbi kockázatok lefedésére a megfelelő kontrollkörnyezet kialakítása elengedhetetlen. A felhő esetében a kontrollok egy része házon kívülre kerül, ugyanakkor nagyon fontos látni, hogy ennek a mértéke a szolgáltatási modelltől függően változhat, hiszen IaaS esetében például a megfelelő tűzfalbeállítások feladata lényegében a fogyasztóra hárul, míg egy SaaS megoldás esetében ez elképzelhetetlen. A kontrollokra számos ajánlás létezik. Figyelembe vehetjük akár a Cloud Security Alliance biztonsági útmutatóját [PDF], cloud kontrollmátrixát, az ISACA cloud computingra ajánlott IT kontrolljait, de akár az International Organization for Standardization (ISO) és az International Electrotechnical Commission (IEC) még kidolgozás alatt álló közös cloud computing kontrolljait is, bár ez utóbbi még fejlesztés alatt áll.
Tanusítványokban sincs hiány ■ A piacon megtaláljuk a ISAE 3402 / SSAE 16, PCI DSS, ISO 27001, Systrust, Webtrust vagy az EuroCloud SaaS Quality Seal tanúsítványokat és még persze sok minden mást is. Ezek közül mindegyik eltérő módon ad bizonyosságot arról, hogy a szolgáltató megfelelően megtervezett és működtetett kontrollokkal rendelkezik. A felhőszolgáltató alkalmazhatja őket egymás kiegészítéseként is, de természetesen az adott tanusítványra való igény mindig a piacról érkezik.
Így tehát visszakanyarodunk ahhoz, hogy habár a kontrollok egy része házon kívülre kerül, a felelősség egy része ugyanúgy megmarad a fogyasztónál. Felelős vezető ugyanis csak akkor veszi igénybe az adott cloud szolgáltatást ha teljes mértékben meggyőződik arról, hogy az adott szolgáltató által kínált biztonság összhangban van az ő kockázatérzékenységével. Így elsődleges feladat egy felhőben gondolkodó szervezetnél, hogy meghatározza azokat az adatokat, alkalmazásokat, folyamatokat, amelyeket felhőképesnek értékel kockázati szempontból, és azután jöhet a megfelelő felhőszolgáltató megkeresése. Itt sem szabad tehát fejjel menni a falnak. Mint az a cikksorozat előző cikkéből is kitűnt a felhő választása felelős döntést igényel. Érdemes tehát független tanácsadók segítségét kérni, az értékelés és az átállás minden fázisánál.
Abban azonban biztosak lehetünk, hogy a cloud computing egyre magasabbra szárnyal, és a megbízható szolgáltatók mindent megtesznek azért, hogy minél nagyobb piacot szerezzenek. Ez pedig az információbiztonság erősítésével kell, hogy járjon. Hasonló módon, mint a hitel- és pénzintézetek esetében, az emberek többsége ma már biztos abban, hogy egy bankban nem veszik el a pénze, az adatait pedig bizalmasan kezelik. Százötven évvel ezelőtt azonban a dunyha biztosabbnak tűnt. Valahogy így vagyunk most mi is a cloud computinggal.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak