O chmurze

Chmura to termin określający szereg usług zdalnego dostępu obecnych w Internecie. Usługi z których korzystasz, lub informacje, które przechowujesz w chmurze, nie znajdują się na Twoim osobistym urządzeniu (np. na dysku twardym w laptopie, w telefonie lub na dyskach zewnętrznych), ale na komputerze należącym do kogoś innego i znajdującym się w innej lokalizacji. Komputery używane do świadczenia usług w chmurze są zwykle umieszczone w wielkich centrach przetwarzania danych i mogą znajdować się w dowolnym miejscu na świecie.

Gdzie jest chmura?

Większość komputerów wykorzystywanych do świadczenia usług w chmurze należy do prywatnych organizacji, przechowują one ogromne ilości danych, które są udostępniane użytkownikom przez Internet. Największe na świecie serwery do przechowywania danych znajdują się w Chinach, USA i Indiach, niektóre z nich znajdują się nawet na dnie oceanu. Lokalizacja komputerów znajdujących się „w chmurze” jest bardzo ważna ze względu na to, że jest to związane z aspektem prawnym dotyczącym lokalizacji danych. W przypadku „danych osobowych” może się okazać, że przedsiębiorca łamie prawo, jeżeli przechowuje dane poza Polską czy Unią Europejską. Istotne jest również posiadanie informacji o przedsiębiorstwie, które świadczy usługę w chmurze oraz zarządza systemami komputerowymi, na których przechowywane są Twoje dane. Wiele centrów danych jest aktualizowanych i bezpiecznych, ale niektóre nie są odpowiednio utrzymywane i mogą narażać Twoje dane na ryzyko.

Model chmury obliczeniowej „jako usługi”

Oprogramowanie biurowe i aplikacje internetowe, to szeroko stosowane usługi chmurowe. Określa się je jako „oprogramowanie jako usługa” (Software as a service – SaaS). Przykładem SaaS jest Office 365, który umożliwia zalogowanie się na swoje konto Microsoft na dowolnym urządzeniu i uzyskanie dostępu do aplikacji, takich jak Microsoft Word, Excel i PowerPoint. Logując się użytkownik uzyskuje również dostęp do swoich plików. Wszystkie dostępne w ten sposób aplikacje internetowe i pliki są przechowywane na komputerze w centrum przetwarzania danych (w chmurze), dzięki czemu można się do nich dostać zdalnie z dowolnego komputera, o ile nawiązane jest połączenie z Internetem.
Oprócz SaaS klienci mogą samodzielnie wynajmować jeden z komputerów i systemów operacyjnych w centrum przetwarzania danych, co znane jest jako „platforma jako usługa” (Platform as a Service – PaaS). Dzięki PaaS konsumenci nie ponoszą odpowiedzialności za zarządzanie, aktualizację i utrzymanie komputera i systemu operacyjnego, który jest gospodarzem aplikacji, a zatem mogą bardziej skupić się na rozwoju oprogramowania lub świadczeniu innych usług dla swoich klientów.
Infrastruktura jako usługa (Infrastructure as a Service – IaaS) idzie jeszcze o krok dalej. Dostawca usług w chmurze jest właścicielem elementów infrastruktury, które tradycyjnie znajdowały się w posiadaniu większych firm, w tym serwerów, pamięci masowej i sieci. W tym przypadku klient jest odpowiedzialny za zarządzanie i aktualizację systemów na tej zdalnej infrastrukturze, nawet jeśli znajduje się ona w centrum przetwarzania danych, często w innym kraju.

Korzyści z usług w chmurze

Gdy firma wykupi usługi u dostawcy usług w chmurze (Cloud Solution Provider – CSP), w pierwszej kolejności musi przenieść swoje dane biznesowe na komputery w chmurze znajdujące się w centrach przetwarzania danych. Właściciel danych nie będzie musiał osobiście doglądać serwerów (dotyczy to również ich regularnej aktualizacji), ponieważ to centrum przetwarzania danych jest za to odpowiedzialne. Korzystanie z usług CSP nie tylko umożliwia przedsiębiorstwu dostęp do najnowszych technologii, ale także daje mu elastyczność, dzięki możliwości wypróbowania aplikacji oferowanych przez CSP. W centrum przetwarzania danych najnowsze aplikacje są już zakupione i zainstalowane, co zapewnia przedsiębiorstwu możliwość przetestowania ich bez konieczności inwestowania w te rozwiązania z góry. Dzięki modelowi pay as you go, klient może po prostu zrezygnować z korzystania z aplikacji w chmurze, jeśli nie spełnią one jego oczekiwań.
Kolejną zaletą modelu „as a service” jest wysoki poziom wsparcia i utrzymania Twoich technologii, zarządzanych przez profesjonalną firmę. Dzięki temu większą część swojego budżetu i czasu możesz poświęcić na strategię biznesową, a mniejszą na IT i bezpieczeństwo. Usługi w chmurze zapewniają dostęp do automatycznych aktualizacji, które mogą być wliczone w cenę usługi.
Jeżeli wybierzesz renomowanego CSP, istnieje duże prawdopodobieństwo, że wiedza i inwestycje w obszarze cyberbezpieczeństwa Twojego dostawcy, będą na znacznie wyższym poziomie niż jakiekolwiek inne rozwiązanie, na które mógłbyś sobie pozwolić. Co za tym idzie, dane w centrach przetwarzania danych w chmurze są zwykle bezpieczniejsze niż na komputerach małych firm. Przechowywanie danych w chmurze może pomóc w zachowaniu ciągłości biznesowej, ponieważ kopie zapasowe systemu i infrastruktury zapobiegają utracie danych w wyniku klęsk żywiołowych, awarii zasilania i innych kryzysów.
Twoja firma może skalować w górę lub w dół swoje operacje i systemy IT, aby dopasować się do aktualnej sytuacji, co pozwala na większą elastyczność w miarę zmieniających się potrzeb. Możesz zacząć od zakupu dość małej ilości usług w chmurze i po prostu zwiększyć ją w miarę rozwoju firmy, bez konieczności zmiany i inwestowania we własną infrastrukturę IT.

Zagrożenia bezpieczeństwa związane z chmurą

Choć wizja spokojnej głowy w nadziei, że Twój CSP zarządza wszystkimi zagrożeniami bezpieczeństwa, jest kusząca, nie zawsze musi to być zgodne z prawdą. Istotne jest, aby organizacje korzystające z technologii chmurowych oraz wybierające usługi i aplikacje w chmurze były na bieżąco w kwestii stale zmieniających się zagrożeń, ryzyka i podatności związanych z chmurą. Istotne jest również, aby odpowiednio zweryfikować swojego CSP i upewnić się, że polityka bezpieczeństwa dostawcy w zadowalającym stopniu odzwierciedla wymagania firmy.
Środowisko chmurowe narażone jest na te same zagrożenia, co tradycyjne firmy. Cyberprzestępcy nieustannie będą próbowali wykorzystać luki, które można znaleźć w każdym oprogramowaniu, niezależnie od tego, gdzie jest ono uruchamiane. W chmurze obliczeniowej odpowiedzialność za ograniczanie tych zagrożeń bezpieczeństwa jest dzielona między CPS i klientem chmury.

Minimalizacja ryzyka

Używaj uwierzytelniania dwu- lub wieloskładnikowego. Jeśli możesz uzyskać zdalny dostęp do swoich danych, mogą to zrobić również cyberprzestępcy. Uwierzytelnianie wieloskładnikowe (MFA) zapewnia istotną warstwę dodatkowego zabezpieczenia podczas logowania się do kont w chmurze. Poza wprowadzeniem samego hasła, MFA prosi użytkownika o podanie innej formy uwierzytelnienia. Może to być hasło plus kod otrzymany w wiadomości SMS lub skan odcisku palca.

Ważne!

  • Ograniczaj i monitoruj dostęp swoich użytkowników. Ograniczenie dostępu może zmniejszyć negatywne skutki w przypadku kradzieży informacji o koncie, takich jak nazwy użytkowników i hasła, lub gdy niezadowolony pracownik chce wyrządzić szkodę firmie (patrz O kontach).
  • Stosuj szyfrowanie danych – szyfrowanie to proces kodowania informacji w taki sposób, że tylko osoby mające dostęp do tajnego klucza mogą je zrozumieć. Pomaga to zapewnić bezpieczeństwo danych.
  • Zapewnij szkolenia z zakresu cyberbezpieczeństwa i przeciwdziałania phishingowi. Ważne jest, aby osoby korzystające z systemu były edukowane na temat najlepszych praktyk bezpiecznego korzystania z IT oraz taktyki stosowanej przez osoby wysyłające e-maile phishingowe. Ataki phishingowe są powszechnym sposobem, w jaki cyberprzestępcy uzyskują dostęp do nawet najbardziej zabezpieczonych baz danych w chmurze.
  • Klientom chmury zaleca się dokładne zrozumienie kupowanych usług i korzystanie z narzędzi bezpieczeństwa dostarczanych przez CSP. Jeśli nie czujesz się pewnie w tym obszarze, warto poprosić konsultanta IT o pomoc w sprawdzeniu polityki bezpieczeństwa wybranego CSP.
  • Większość CSP daje znaczące gwarancje na utratę danych, jednak żaden system nie jest doskonały. Zdarzało się, że główni dostawcy usług w chmurze przypadkowo utracili dane klientów. Upewnij się, że wybrany przez Ciebie CSP posiada procesy tworzenia kopii zapasowych i odzyskiwania danych, które spełniają potrzeby Twojej organizacji.