Twoja przeglądarka nie obsługuje JavaScript.
Nie uzyskasz więc dostępu do niektórych jej funkcjonalności.
Aby w pełni cieszyć się używaniem strony Intratel
włącz obsługę JavaScript w swojej przeglądarce.
 
 
 
 

Podstawy bezpieczeństwa w chmurach

Czołowy analityk gartner.com – Jay Heiser pisze, że jesteśmy na początku fascynującej drogi cloud computing, która prowadzi do wielu udogodnień i wymiernych korzyści dla firm, ale która jest bardzo trudna z punktu widzenia bezpieczeństwa.Dostawcy usług outsourcingowych w USA powinni posiadać certyfikaty bezpieczeństwa, ale jak nadmienia

Heiser nie są one wystarczające przy nowych technologiach cloud computing.

Chcąc uporządkować kwestie bezpieczeństwa w chmurze, firmy specjalizujące się w tym temacie stworzyły podsumowanie strategicznych i taktycznych słabych punktów bezpieczeństwa w środowisku cloudowym wraz z zaleceniami odnośnie ich adresacji. Lista tych punktów została podzielona na dwie kategorie:

1. Administracja

Administracja i zarządzanie środowiskiem zasobów, wyszukiwanie danych, zgodność i audyt, zarządzanie cyklem życia informacji, możliwość przenoszenia i interoperacyjność;

2. Operacje

Bezpieczeństwo w tradycyjnej formie, ciągłość funkcjonowania firmy i odzyskiwanie danych na wypadek katastrofy, operacje w centrach danych, przypadkowa zgodność, powiadomienie i naprawa, bezpieczeństwo aplikacji, szyfrowanie i zarządzanie na poziomie użytkownika, zarządzanie tożsamością i dostępem, wirtualizacja.

Powstała także lista głównych zagrożeń, związanych z cloud computing i sposobami radzenia z nimi. Zbiór kategorii narzędzi, które mogą pomóc w adresacji tych zagrożeń obejmuje XML, SOA i zabezpieczenia aplikacji; narzędzia szyfrujące dla danych w ruchu i w spoczynku, zarządzanie smart key, zarządzanie operacjami przetwarzania, tożsamością i dostępem, wirtualne zapory i inne narzędzia zarządzania wirtualizacją, zapobieganie utracie danych i inne.
Przy zabezpieczeniu zasobów w nowych technologiach należy „przełożyć” istniejącą architekturę zabezpieczeń na jej „wersję” cloudową. Na przykład narzędzia skanujące zabezpieczające przed włamaniem będzie musiało szukać zwłaszcza prób przedostania się na platformę wirtualną, systemy zarządzania tożsamością będą musiały przeprowadzić autentykację nie tylko użytkownika ale również komputerów i aplikacji a system zarządzania informacjami o zabezpieczeniach (SIM) będzie musiał przetworzyć miliardy zdarzeń i analiz.

Gartner stworzył nawet listę pytań, które klient powinien zadać dostawcy, którego usługami jest zainteresowany odnośnie zabezpieczeń i prywatności, zgodności i innych kwestii prawno – umownych (Bezpieczeństwo według CA i Gartnera oraz Bezpieczeństwo użytkowania cloud computing).

Eksperci zaznaczają, że poziom bezpieczeństwa jest różny dla różnych modeli cloud computing. Co prawda wymagania odnośnie bezpieczeństwa są jednakowe, to przemieszczając się z SaaS do PaaS i IaaS poziom kontroli użytkownika nad zabezpieczeniami zmienia się. Z logicznego punktu widzenia, tak naprawdę nic się nie zmienia, ale sposób w jaki jest to fizycznie zrobione zmienia się znacznie.

SaaS

W przypadku SaaS aplikacje dostarczane przez dostawcę działają na infrastrukturze cloudowej i są dostępne poprzez przeglądarkę. Konsument nie zarządza i nie kontroluje sieci, serwerów, systemów operacyjnych, przechowywania danych lub nawet możliwości aplikacji indywidualnych.
Z tego powodu model SaaS oferuje najwięcej funkcjonalności, nie wymagając dostosowywania się od strony klienta a odpowiedzialność za bezpieczeństwo leży niemalże w całości po stronie dostawcy.

PaaS

Z usługą PaaS klienci tworzą aplikacje używając języków programistycznych i narzędzi wspieranych przez dostawcę, a następnie implementują je do infrastruktury cloudowej. Tak jak w SaaS klienci nie zarządzają i nie kontrolują infrastruktury – sieci, serwerów, systemów operacyjnych lub przechowywania danych – ale mają kontrolę nad wdrożonymi aplikacjami i zazwyczaj też nad konfiguracją środowiska hostowego aplikacji.
W PaaS jest mniej gotowych dla klienta lub „wbudowanych” rodzajów zabezpieczeń niż w SaaS, a te które są – są mniej kompleksowe ale dają więcej elastyczności w warstwie zabezpieczeń dodatkowych. To oznacza potrzebę dodatkowego zabezpieczenia aplikacji jak również zabezpieczeń wokół zarządzania API, takich jak autentykacja, autoryzacja i kontrola.

IaaS

W usłudze IaaS klienci otrzymują procesy, przechowywanie danych, sieci i inne niezbędne zasoby informatyczne jak również wdrażają i trzymają w niej system operacyjne i aplikacje.
Podczas gdy użytkownicy nie zarządzają i nie kontrolują cloudowej infrastruktury bazowej, to mają kontrolę nad systemami operacyjnymi, przechowywanymi danymi i wdrożonymi aplikacjami oraz pewien poziom kontroli nad wyborem komponentów infrastruktury sieciowej, takich jak firewalle hostowe.
IaaS daje kilka możliwości zabezpieczeń zintegrowanych poza ochroną samej infrastruktury.

Na podstawie:
Brandel M., Cloud security: The basics, http://www.networkworld.com/news/2010/061510-cloud-security-the.html, 2010.06.15