Šī jautājuma nozīme palielinās ar katru dienu, jo uzņēmumiem (tai skaitā privātpersonām) gribās samazināt savas izmaksas tai pašā laikā iegūstot papildu funkcionalitāti un viens no veidiem kā to izdarīt ir tieši mākoņi (e-pasti, projektu vadības rīki, datu glabāšanas, CRM, apstrādes jaudas, utml).
No paša sākuma ir jāatzīmē, ka nav viennozīmīgas un universālas atbildes vai mākoņpakalpojumi ir droši vai nē. Tas ir tāpēc, ka visu izsaka konkrētā ražotāja/uzturētāja pakalpojuma kvalitāte, iebūvētie aizsardzības risinājumi un attieksme. Savādāk tas būtu tas pats kā pateikt vai pārvietošanās ar mašīnu ir droša vai nē neiedziļinoties ar kādu marku, kādu tipu, ko plānots pārvadāt (sprādzienbīstama gāze vai ūdens) un par kurieni (Eiropu vai Sīriju) plānots braukt.
Tāpēc katrs konkrētais izmantošanas gadījums jāvērtē atsevišķi.
Lai šāds izvērtējums būtu vienkāršāks uzskaitīšu galvenās lietas, kuras jāņem vērā:
- Jāizpēta sistēmas lietošanas noteikumi un jānoskaidro kam piederēs informācija/dati. Sliktākais, kas var notikt ir, kad augšupielādējot datus par datu īpašnieku kļūst sistēmas turētājs (no šādām vietām vajadzētu turēties tālāk).
- Vai ir pieejams neatkarīgs novērtējums par sistēmas darbību (piemēram, uzņēmums ir sertificēts atbilstoši ISO kvalitātes un/vai drošības standartam, veikti risinājuma drošības testi). Ņemot vērā to, ka sertifikācija nav lēts pasākums daudzi to nedara. Šādā gadījumā ir vērts paskatīties uz esošiem klientiem un lielākajiem no tiem palūgt atsauksmes.
Jebkurš uzņēmums mārketinga nolūkos raksta, ka viņu sistēma ir pati drošākā, darbinieki paši lojālākie un nekad nekļūdās, tomēr kā rāda prakse šādi apgalvojumi izrādās maldīgi. Neatkarīgas puses novērtējums var mazināt šādas šaubas.
Drošības pārvaldības aspekti:
- Vai ir pieejama centralizēta pieejas tiesību pārvaldība- tā ir nepieciešama, ja uzņēmumā ir stingra kārtība kādā tiek definētas pieejas tiesības un tās anulētas.
- Vai ir pieejami auditācijas pieraksti par sistēmas lietošanu- tie ir vitāli nepieciešami, kad rodas šaubas par kāda darbinieka lojalitāti un/vai jāizmeklē datu noplūšanas incidenti.
- Vai pieejami pastiprinoši pieejas tiesību kontroles mehānismi, piemēram limitēt no kādām IP adresēm var pieslēgties un vai arī pieejami papildus autentifikācijas mehānismi (piem. kodu karte).
- Vai tiek veiktas rezerves kopijas (to glabāšanas ilgums, veidošanas biežums), kur tās tiek glabātas un kāda ir procedūra datu atjaunošanā.
Šai sakarā ir slikta pieredze. Problēma bija tajā, ka rezerves kopijas tika glabātas klientam pieejamā vietā speciālā mapē (tipiski mākoņpakalpojumiem) un urķis/negodīgs darbinieks piekļūstot datiem izdzēsa ne tikai visus datus, bet arī visas rezerves kopijas. Tāpēc pārliecināmies, ka tāda iespēja ir novērsta.
Risinājuma uzbūve.
Šādi riski ir vienādi gan mākoņpakalpojumam, gan pašu uzturētām sistēmā. Atšķirība ir tikai uzskatā (un bieži maldīgā), ka paši varam izdarīt labāk:
- Cik kvalitatīvi ir uzbūvēta programma un vai tajā nav drošības caurumi.
- Kādā veidā notiek uzturēšana, sistēmas atjaunināšana un izmaiņu vadība.
- Kādā veidā notiek datu pārsūtīšana (vai izmantojot drošus savienojumus un nav iespējama to pārtveršana (gan datu, gan paroļu)) un uzglabāšana (vai 3 pusēm nav fiziska piekļuve sistēmai, vai dati ir loģiski nodalīti no citiem klientiem un kāda klienta kļūda nevar izraisīt arī visu datu noplūdi).
- Kādi ir izveidoti interfeisi (API) sistēmas sadarbībai ar citām sistēmām un to darbība.
Šajā sakarā ir jāpiemin un jāizvērtē arī datu atrašanās +/– no ģeogrāfiskā viedokļa.
- Ja dati tiek uzturēti lokāli, tad tos var nozagt konkurentu pierunāti administratori. Glabājot datus tālā mākonī citā kontinentā šāds risks ir daudz mazāks.
- Tomēr profesionālu urķu uzbrukums lielam mākoņpakalpojumu sniedzējam un datu nopludināšana ir lielāks nekā vienam uzņēmumam. Tas ir tāpēc, ja tiek ievēroti visi drošības standarti/procedūras uzurķēt vai uzhakerēt sistēmu nav vienkāršs uzdevums, kas prasa lielus naudas līdzekļus un ieguldītu laiku. Lokālie konkurenti visdrīzāk nevarēs atļauties noalgot urķus, kuri būs spējīgi mērķtiecīgi piekļūt datiem. Piemērs šim ir vīrus Stuxnet, kurš spēja iekļūt ļoti aizsargātā vidē, tomēr tā izstrādei iztērētie līdzekļi tiek lēsti kā vismaz viens miljons dolāru un daži izstrādes gadi.
Izvērtējot mākoņpakalpošanas + un – izņemot drošību ir jāatceras arī par:
- Datu importu/ eksportu un vai tas vispār ir iespējams. Problēma šajā kontekstā ir tāda, ka dati tiek savadīti sistēmās, bet kad rodas nepieciešamība datus izmantot citās sistēmās vai nomainīt pakalpojumu sniedzēju izrādās, ka to izdarīt nav iespējams vai arī piedāvātais formāts kā tas tiek nodrošināts to liedz.
- Sistēmas pieejamība- jāatceras, ka interneta apstāšanās gadījumā piekļūt sistēmai nebūs iespējams.
- Sistēmas veiktspēja- lokāli uzturētai sistēmai var veiktspēju palielināt (novērst cēloni, palielināt servera jaudu), tomēr mākoņpakalpojumi (CRM, DWH) pretēji reklamētajam bieži nenodrošina jaudas palielināšanu (nejaukt ar diska vietu, runa iet par procesora jaudu). Ir zināms reāls piemērs.
- Sistēmas uzturēšanas/ apkalpošanas nosacījumi.
Personīgi saskāros ar šādu problēmu, kad izmantoju serveru izvietošanas pakalpojumu ASV. Problēma bija tajā, ka uzturēšanas darbi tika veikti naktī (kas ir loģiski), ar mazu niansi- kad ASV ir nakts mums ir diena. Kā rezultātā mans serveris regulāri pa dienu pazuda no pieejamības.
Mākoņpakalpojumu sniedzējiem, kur koncentrējas tikai vienā pakalpojumā ir arī sava priekšrocība salīdzinot ar lokālo sistēmu- visa uzmanība veltīta viena produkta attīstībai un uzturēšanai, līdz ar ko servisam un aizsardzības līmenim vismaz teorētiski vajadzētu būt labākam.
Pats galvenais neaizmirstam par lietotāju, kas drošības jomā (sistēma, process, lietotājs) ir pats vājākais punkts un, lai cik drošu sistēmu neizvēlētos, ja datiem piekļūs negodīgs darbinieks ar atbilstošām pieejas tiesībām dati noplūdīs neatkarīgi vai tiks izmantots mākoņpakalpojums vai pašu uzturēta sistēma.
Ko uzticēt mākoņiem?
Ieteiktu katram izvērtēt datu svarīgumu- ja ir iekšēji dokumenti (piemēram projekta plāni, procesi, utml), kas ir nepieciešami uzņēmuma procesu nodrošināšanā, bet nav tik kritiski, ka to nokļūšana publiski pilnībā iznīcinātu uzņēmumu vai iedotu konkurentiem būtisku priekšrocību (slepeni projekti, ilgstošas izpētes augļi, atklājumi) vai nepārkāpj kādu likumu (piem. personas datu apstrādi) tad tādu informāciju var izvietot mākoņpakalpojumos.
Ja ir informācija par kuru ļoti uztraucamies (nekādā gadījumā nevar tik publiskota un kuras aizsardzībai esam gatavi ieguldīt naudas līdzekļus), tad pagaidām vēl neieteiktu steigties ar tās izvietošanu mākoņpakalpojumos.
Piezīme- ja uzskatām kādus datus par kritiskiem, bet neesam gatavi ieguldīt papildus laiku un līdzekļus to aizsardzībai (šifrēt datus portatīvajos datoros, nemētāt apkārt, kontrolēt lietotāju un administratoru piekļuvi, šifrēt datus sistēmā, utml), tad tādus arī varam izvietot mākonī. Jo tikai nosaucot datus par kritiskiem, bet neko papildus nedarot to drošības līmenis neuzlabojas un mākoņpakalpojumi to noteikti nepasliktinās.
Pēdējā lieta- padomājam arī kam mēs nododam datus- vai tie nav mūsu konkurenti citos jautājumos un vai viņiem nebūs vēlme apskatīties datus, jo atsekot ko dara sistēmas uzturētājs ir ļoti grūti (bieži praktiski pat neiespējami). Noslēgtais NDA ir vairāk formalitāte juristiem.
Rezumējot visu- mākoņdatošanas pakalpojumi noteikti ienāks katra uzņēmumu ikdienā, jautājums ir tikai cik ātri tas notiks un cik lielā mērā. Līdzīgi kā ar internetbankām- kad tās parādījās tika uzskatītas, ka tas ir liels risks un tikai drosmīgākie tās izmantoja, toties tagad visi tās lieto.
PS. Universālas atbildes nav, galvenais domājam ar galvu pirms ko darām.