Oldalunkon sütiket (cookie) használunk, amelyekről adatkezelési tájékoztatónkban olvashat.
Részletek Rendben
     
    A felhőben ki szavatol a lady biztonságáért?
    Dervenkár István2021.10.25.Cloud & big data
    Meddig terjed a szolgáltató és meddig az ügyfél felelőssége? Biztonsági alapkérdések felhőbe költözőknek.

    Lekerült-e a napirendről a felhős biztonság? Bár a felmérések szerint a visszatartó tényezők között háttérbe szorult, a válasz továbbra is egyértelműen nem! Ha egy vállalat a felhőbe költözik, mind a mai napig kulcskérdés, hogy milyen módon változik az IT-biztonsági megközelítés a vállalaton belül.

    Egyértelműen csökkentek azok a (részben indokolatlan) félelmek, melyek többnyire a kontroll elvesztésével, például az IT-biztonság fölötti fennhatóság csökkenésével függtek össze. Ebben kétségtelenül nagy szerepe volt a felhőszolgáltatók (a továbbiakban CSP – Cloud Service Provider) edukációs tevékenységének, illetve azoknak a szolgáltatási modelleknek (pl. hibrid felhő), melyek bizonyos kritikus adatokat védő biztonsági rendszerek fölött meghagyták a teljes felhasználói kontrollt.

    Mindezzel együtt azonban bonyolódott is a helyzet. Nehezebbé vált ugyanis meghatározni, hogy ki a felel a felhőbiztonságért: a szolgáltató vagy az ügyfél? Pontosabban: meddig terjed a CSP és meddig az ügyfél felelőssége?

    Körvonalazódnak a szabványok és gyűlnek a jó gyakorlatok

    Az összes jelentős felhőszolgáltatót tömörítő Cloud Security Alliance (CSA) oldalán olvasható: a felhőplatform biztonsága szempontjából az összes érdekelt fél együttműködése kritikus fontosságú. Csakhogy sem az érintettek tudása, sem a kérdésről kialakított véleménye nem egységes. Hiányoznak azok az iránymutatások, amelyek pontosan elmagyaráznák a feleknek, hogy a különböző felhős modelleknél (ezekről összeállításunk első részében írtunk) mi a CSP és mi az ügyfél kompetenciája. (Utóbbiak sokszor arról is túl kevés információval, tudással bírnak, hogy melyik felhős modellnél milyen eszközökkel és folyamatokkal növelhetik a biztonságot.)

    Az okok csak részben kereshetjük az ügyfelek tájékozatlanságában, ugyanis – mint azt a CSA is megállapítja – a szolgáltatók között sem alakult ki teljes közmegegyezés arról, hogyan kell megvalósítani a megosztott felelősségre épülő biztonsági modellt. Pedig magára a modellre mint közismert fogalomra hivatkozik szinte mindenki. Csak egészen mást jelent például a Google-nél, az AWS-nél és egy regionális szolgáltatónál. A Cloud Security Alliance épp azért jött létre, hogy elindulhasson a szabványosítási folyamat. Létrehoztak többek között egy a szolgáltatók és ügyfeleik által is használható biztonsági keretrendszert, a Cloud Controls Matrixot, amely segít a felelősségi körök pontos meghatározásában.

    Sík mezőben hármas út, jobbra, balra szertefut, a középső célra jut

    Térjünk vissza az alapkérdéshez: kinek mi a teendője, hogy biztonságos legyen a felhő? Három lehetőség van: 1. elsősorban a CSP dolga a biztonság; 2. elsősorban az ügyfél felel a biztonságért; 3. a felelősség megoszlik a CSP és ügyfelei között. Bár sok ügyfél még mindig abban a tévhitben költözik felhőbe, hogy onnantól a biztonság teljes mértékben a CSP felelőssége, modelltől függően több kevesebb területen továbbra is az ügyfél vállára nehezednek bizonyos (és nagyon fontos) teendők. Ezt írja le az elosztott felelősségi modell, amely egyre általánosabban elfogadottá válik, ha pontos tartalma szolgáltatónként változik is.

    Az alap durva megközelítésben az, hogy a CSP felel az infrastruktúráért, beleértve a szoftvert, a hardvert, a hálózatot és a létesítményeket (adatközpontok fizikai védelme illetéktelen behatolástól, természeti katasztrófától stb.). Az ügyfél pedig felel a tartalomért, konfigurálja és menedzseli a vendég operációs rendszer biztonságát (frissítések, biztonsági javítások telepítése stb.), az általa telepített alkalmazásokat, segédprogramokat, valamint a felhőszolgáltató által biztosított hálózatbiztonsági felügyeleti eszközöket. Az AWS megközelítőleg ezt követi: szolgáltatói kompetenciája az infrastuktúra szoftveres rétegéig terjed, onnantól pedig minden az ügyfél felelőssége az adatok kliensoldali és szerveroldali titkosításától és integritásellenőrzésétől a hálózati adatforgalom védelmén és a platformok, alkalmazások stb. menedzselésén át az ügyféladatokig. De az AWS külön felhívja a figyelmet, hogy a felelősség szolgáltatásonként változhat.
     

    Biztonsági teendők felhőbe költözéskor

    A szolgáltató...

    1. Gondolja újra a kockázatokat az ügyfél nézőpontjából, és ellenőrizze, hogy működnek-e az adott kockázatokat csökkentő mechanizmusok.
    2. Dokumentálja az ügyfél számára a kockázatok kezelésére használt belső kontrollokat.
    3. Adjon pontos dokumentációt az ügyfélnek a rendelkezésre álló biztonsági funkciók használatához.
    4. Hozzon létre felelősségi mátrixot, amely megmutatja, hogy az ügyfelet hogyan segíti a szolgáltatás a különböző compliance előírások betartásában (ebben bátran lehet támaszkodni a Cloud Security Alliance eredményeire, melyek mindig tükrözik az aktuális szakmai közmegegyezést).

    Az ügyfél...

    1. Először határozza meg a biztonsági követelményeket, és csak utána válassza ki a felhőszolgáltatót, ellenkező esetben nehezebb lesz érvényesíteni a szervezet számára fontos biztonsági szempontokat.
    2. Egységesítse a hagyományos és a felhőalapú IT-ra vonatkozó vállalati governance programot. A felhőbe költöztetés ugyanis mindig házirend-módosításokkal jár.
    3. Rögzítse részletekbe menően szerződésben, hogy meddig terjed a CSP és a saját felelőssége.
    4. Hozzon létre felelősségi mátrixot, amely meghatározza a felek (köztük a CSP) biztonsági szerepkörét és felelősségét.


    A Microsoft is hasonló módon skálázza a felelősséget. Az Azure ide vonatkozó ismertetője hangsúlyozza: az adatok, a végpontok, a fiókok védelme és a jogosultságkezelés minden esetben az ügyfél kötelessége. A Microsoftnál szolgáltatástípusonként (IaaS, PaaS, SaaS...) is változik a felelősség. Például az infrastruktúraszolgáltatásnál csak a fizikai rétegért felel, azon túl minden az ügyfélre hárul. A platformszolgáltatásnál azonban közös felelősség terheli a Microsoftot és az ügyfelet a hálózatfelügyeletért és az alkalmazásokért, valamint az azonosságkezelésért és a directory infrastruktúráért.

    Ez azonban csak a váz. Az ördög pedig itt különösen jól el tud rejtőzni a részletekben, hiszen a felhő belépésével jellemzően még bonyolultabbá válik az IT-infrastruktúra. A bonyolultabb struktúra pedig bonyolultabbá teszi a megosztott felelősséget, mert könnyebb a másik felet hibáztatni, ha valami elromlik.

    A konklúzió tehát az, hogy bármennyire is nem tűnik adott pillanatban prioritásnak, a felhőbe költözésnél kiemelt figyelmet kell szentelni a compliance, a biztonság és az irányítás területének (lásd keretes írásunkat). Ha a felek hosszú távú együttműködésben gondolkodnak, az ügyfélnek és a CSP-nek is elemi érdeke, hogy a lehető legpontosabban lefektesse a felelősségi köröket. Itt is igaz ugyanis a régi mondás: a hosszú barátság (ügyfélkapcsolat) alapja a pontos elszámolás.

     

    Ennyi nem elég? Iratkozzon fel hírlevelünkre!
    Cloud & big data

    Nem tudjuk és nem is nagyon akarjuk használni az AI PC-t

    Mindez egy Intel által rendelt nemzetközi kutatás eredményeiből olvasható ki. Az eladásban érdekelt csipgyártó összefoglalója azért igyekezett a potenciális pozitívumokra koncentrálni.
     

    Újra elmondjuk, másként: az MI veszélyes és veszélyeztetett állat

    Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

    Régen minden jobb volt? A VMware licencelési változásai

    Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

    Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

    "EU-kapcsolatok nélkül nem tudom elképzelni a BME modellváltását"

    Az IT-projektmenedzsment új varázsszava: proof of concept

    Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

    Sok hazai cégnek kell szorosra zárni a kiberkaput

    Impresszum

    Médiaajánlat

    Adatkezelés
    Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
    © 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.