budynki firmy w chmurze

Firma w chmurze, czyli jak bezpiecznie przeprowadzić biznes do świata cyfrowego

 

Choć popularność chmury w Polsce rośnie, to przeprowadzka do niej nadal stanowi wyzwanie dla wielu polskich przedsiębiorców. Ten przewodnik jest dla tych, którzy jeszcze się wahają, zastanawiają się, czy warto i nie wiedzą jak się do tego przygotować.

Chmura – rozwiązanie na miarę XXI wieku

Chmura to środowisko będące odpowiedzią na potrzeby elastycznego wsparcia biznesu przez współczesne IT. Stanowi konfigurowalny zasób, udostępniany różnym jednostkom w celu uruchamiania przeznaczonych dla nich informatycznych rozwiązań biznesowych, odseparowanych od innych użytkowników chmury. Usługi chmury mogą być dostarczane w różnych modelach a najbardziej popularne to: IaaS: Infrastructure as a service, PaaS: Platform as a service, SaaS: Software as service. Pozostałe dwa mniej popularne to: MBaaS: Mobile „backend” as a service i FaaS: Function as a service.

Obecnie utarło się utożsamianie chmury z rozwiązaniami publicznymi, gdzie wiele firm współdzieli zasób z dostępem przez Internet i na tym rozwiązaniu skoncentrujemy się w dalszej części artykułu. Należy jednak pamiętać, że istnieją jeszcze rozwiązania prywatne oraz hybrydowe.

Z roku na rok coraz więcej polskich firm decyduje się na korzystanie z różnych wariantów usług chmurowych. Do takich rozwiązań przekonuje przede wszystkim brak konieczności inwestowania we własną infrastrukturę, możliwość łatwego skalowania i elastyczność w wykorzystywaniu chmury. Cena usług chmurowych coraz rzadziej stanowi barierę przy podejmowaniu decyzji o przejściu.

Główną przeszkodą dla nieprzekonanych pozostaje obawa o bezpieczeństwo, a w szczególności o utratę lub wyciek danych. Paradoksalnie jednak, zwłaszcza w przypadku małych i średnich przedsiębiorstw, migracja do chmury może być bezpieczniejsza niż rozwiązania instalowane w lokalnych serwerowniach.

Obawy są mocno przesadzone

Dobra chmura to m.in. lokalizacja zabezpieczona przed nieautoryzowanym dostępem, całodobowy monitoring infrastruktury, ochrona przed atakami typu DDoS, aktualizacje środowiska, kopie zapasowe, zespół wykwalifikowanych specjalistów itd.

Należy jednak pamiętać, że przejście do chmury nie jest równoznaczne z przeniesieniem odpowiedzialności za bezpieczeństwo na dostawcę.

Korzystanie z chmury nie zwalnia nas z tej odpowiedzialności, ale pozwala przenieść część zadań związanych z zapewnieniem bezpieczeństwa na dostawcę. Ważne, aby mieć pełną świadomość, do czego zobowiązał się dostawca, tak by po swojej stronie zapewnić realizacje pozostałych zadań. Pozwoli to uniknąć tzw. szarej strefy, o którą nikt nie dba, przez co staje się ona najsłabszym ogniwem mogącym zagrozić bezpieczeństwu.

Diabeł tkwi w szczegółach

Podział zadań i obowiązków zależy przede wszystkim od tego, z jakich usług skorzystamy. Standardowy podział odpowiedzialności, w zależności od wykorzystywanych usług, pokazuje poniższy rysunek.

Przygotowany na podstawie materiałów ENISA

Gdy do chmury przenosimy zawartość serwerów z naszej serwerowni (usługa IaaS), to za ochronę fizyczną, zasilanie, klimatyzację czy sieć odpowiada dostawca. Nadal jednak odpowiedzialność za bezpieczeństwo szeregu komponentów składających się na nasze rozwiązanie, takich jak np. system operacyjny, baza danych, aplikacja, dane czy dostęp do rozwiązania, pozostaje po naszej stronie. Gdy zamiast przenosić do chmury nasze rozwiązanie CRM, decydujemy się na korzystanie z CRM jako usługi SaaS, nasza odpowiedzialność ogranicza się do zarządzania dostępem do aplikacji. Wraz ze zmniejszaniem się naszej odpowiedzialności rośnie liczba zadań, które przechodzą z nas na dostawcę, co pokazuje rysunek poniżej.

firma w chmurze schemat

Przygotowany na podstawie materiałów ENISA

W każdym przypadku niezależnie od rodzaju wykorzystywanych usług i podziału obowiązków, bezpieczeństwo przede wszystkim oznacza: zapewnienie dostępności, poufności i integralności danych, gdzie:

  • dostępność oznacza możliwość korzystania z zasobów firmowych na ustalonych zasadach z zachowaniem ciągłości działania;
  • poufność – uniemożliwienie dostępu nieuprawionym osobom czy systemom;
  • integralność – pewność, że dane nie zostały zmienione w sposób nieuprawniony.

Jeśli potrzebujesz audytu bezpieczeństwa skontaktuj się z naszym ekspertem.

Podejmij świadomą decyzję

Przed podjęciem decyzji o skorzystaniu z chmury:

  1. Przeanalizuj, jak dzisiaj wygląda infrastruktura firmy, jakie dane są przechowywane i przetwarzane, czy nie ma ograniczeń (np. wynikających z RODO).
    Warto określić, czy chcemy przenieść całość środowiska IT, czy jednak zdecydować się na rozwiązanie hybrydowe (przeniesienie części zasobów).
    Dobrze jest też zidentyfikować osoby posiadające dostęp do zasobów, zweryfikować aktualność ich danych i obecne uprawnienia. Wiele firm nadaje uprawnienia niezbędne pracownikom, ale już rzadko dba o ich odbieranie, gdy przestają być potrzebne. Minimalne i niezbędne uprawnienia to jedna z kluczowych zasad bezpieczeństwa.
  2. Ustal jakich usług (IaaS, PaaS, SaaS) potrzebujesz. Co będziesz musiał zbudować od nowa, a co da się zastąpić np. usługami typu SaaS (system CRM, obieg dokumentów, etc.);
  3. Zaplanuj mechanizmy bezpieczeństwa, w tym:
    • wspomnianą już zasadę minimalnych, niezbędnych uprawnień;
    • pracę opartą na rolach np. aby uniknąć nagminnej praktyki łączenia na jednym koncie uprawnień użytkownika i administratora;
    • wdrożenie MFA (ang. Multi-factor authentication), funkcjonalności wymuszający na użytkowniku, oprócz podania loginu i hasła, dodatkowego poświadczenia jego tożsamości. Może to być np. użycie dodatkowego klucza na USB albo przepisanie kodu wysłanego na telefon użytkownika.

Wszystkie te mechanizmy są znane i stosowane w infrastrukturze on-premises, gdzie dostęp do zasobów firmowych często jest możliwy wyłącznie z wewnątrz sieci. Tym ważniejsze jest, by pamiętać o nich w rozwiązaniach chmurowych, gdzie zazwyczaj dostęp jest możliwy z każdego miejsca z dostępem do Internetu.

Do ograniczenia szerokiego dostępu do usług warto też wdrożyć inne mechanizmy jak dozwolone urządzenia, lokalizacje czy godziny logowania i wiele innych.

Ponadto:

  • Zadbaj o odpowiednią ochronę danych w stanie spoczynku. Większość usługodawców przechowuje dane w formie rozproszonej i zaszyfrowanej przy użyciu własnych kluczy szyfrujących. Jeśli to za mało, sprawdź, czy możesz korzystać z własnych kluczy (wymaga to późniejszego zarządzania tymi kluczami), albo umieszczaj dane szczególnie wrażliwe w chmurze już w zaszyfrowanej postaci.
  • Dane przesyłane pomiędzy użytkownikami, partnerami biznesowymi powinny być przekazywane w postaci zaszyfrowanej, za pomocą wiadomości e-mail lub dedykowanych linków, gdzie zawartość jest dostępna po potwierdzeniu tożsamości odbiorcy.
  1. Określ, jakich i ile usług chmurowych potrzebujesz i listę usługodawców, którzy są je w stanie zapewnić.
  2. Wybierz dostawcę, sprawdź co najmniej:
    • Czy zapewnia wsparcie przy budowaniu rozwiązania i migracji?
    • Na jakich zasadach możesz zwiększać lub zmniejszać swoje zapotrzebowanie na zasoby? Jaki jest czas realizacji zmiany?
    • Gdzie będą przechowywane twoje dane? Informacja ta jest szczególnie ważna w kontekście RODO. Czasami, w zależności od usługi, ten sam dostawca przechowuje dane w różnych miejscach, w tym poza Unią Europejską.
    • W jaki sposób dostawca dba o bezpieczeństwo? Czy posiada opisaną politykę bezpieczeństwa, pozwala na przeprowadzenie zewnętrznych audytów, przedstawia raporty wykonane przez niezależnych audytorów? Czy posiada certyfikaty bezpieczeństwa wydane przez niezależne organizacje np. ISO/IEC 27017?
    • Czy i na jakim poziomie udostępnia możliwość monitoringu używanych usług?
    • Czy istnieje proces powiadamiania odbiorców usług o awariach i pracach planowych? Czy i w jakim zakresie możesz wpływać na czas wykonania prac planowych?
    • W jaki sposób możesz zgłaszać usterki i czy operator gwarantuje czasy podjęcie zgłoszenia i rozwiązania problemu (SLA)?
    • Jak często, w jaki sposób i w jakim zakresie wykonywany jest backup? Jak wygląda proces odtwarzania danych? W przypadku danych szczególnie wrażliwych lub istotnych ze względów biznesowych warto zweryfikować, czy jest możliwość ich eksportu do zewnętrznych systemów, np. u innego dostawcy chmury.
    • Niekiedy, z różnych względów: np. upadek usługodawcy, brak nowo wymaganych funkcjonalności czy ceny nieadekwatne do poziomu rynkowego, konieczne jest wyjście z używanej chmury. Na taką okoliczność należy zweryfikować, czy dostawca oferuje dostęp do danych za pomocą zestandaryzowanych interface’ów, przechowywanych w znanych formatach. Ewentualnie czy zapewnia narzędzia umożliwiające konwersje tych danych. Brak takich mechanizmów może spowodować tzw. Vendor Locking, który powoduje, że czas, wysiłek czy koszt konieczny do wyjścia jest większy niż korzyści z tego wyjścia płynące.
  3. Zastanów się, czy masz w organizacji wystarczające kompetencje do wyboru najlepszych do twoich potrzeb usług, zaplanowania architektury i przeprowadzenia migracji, a następnie bieżącego utrzymania. Jeśli nie, to zatrudnij lub odpowiednio przeszkól pracowników zaangażowanych w projekt lub znajdź wiarygodnego i doświadczonego partnera, który ci pomoże.
  4. Zaplanuj migrację. W jakiej kolejności i co powinno być przenoszone? Zacznij od zasobów najmniej krytycznych z biznesowego punktu widzenia. Rozłóż projekt w czasie, tak by na bieżąco monitorować postęp i korygować plan.
  5. Przygotuj komunikację wewnątrz firmy. W projekcie migracji do chmury bardzo często należy liczyć się nie tylko z wyzwaniami natury technologicznej czy operacyjnej, ale również z brakiem akceptacji czy negacji ze strony przyszłych odbiorców usług. Jest to naturalna reakcja na zachodzące zmiany. Aby zmitygować ryzyka z tego wynikające, należy:
    • Przygotować szczegółowy plan komunikacji obejmujący wszystkie objęte osoby i uwzględniający zbieranie informacji zwrotnej. Pozwoli to szybko reagować na pojawiające się problemy, dostosowywać działania do bieżącej sytuacji a dodatkowo zwiększy zaangażowanie i współodpowiedzialność za projekt wśród pracowników.
    • Przygotować plan przekazywania wiedzy o nowych rozwiązaniach dla przyszłych użytkowników oraz administratorów.
    • Zaplanować wsparcie dla użytkowników po uruchomieniu rozwiązania.
  6. Jeśli twoi użytkownicy będą pracować w dużych skupiskach (jednym miejscu), zadbaj o odpowiednio szybkie łącze dostępowe do Internetu, ponieważ po migracji dotychczas posiadane łącze często staje się wąskim gardłem.
  7. Oceń ryzyka. Przeniesienie do środowiska chmurowego może wprowadzić dodatkowe ryzyka, które dotychczas we własnej infrastrukturze nie występowały. Należy zatem przeprowadzić analizę nowych zagrożeń, sklasyfikować je pod kątem prawdopodobieństwa wystąpienia i ich wpływu na działalność biznesową, a następnie zaplanować i wdrożyć mechanizmy, które pozwolą na ich monitorowanie. Warto zapoznać się z ofertą dostawcy, który często dostarcza narzędzia wspierające ten proces.
  8. Zaktualizuj lub stwórz politykę bezpieczeństwa i upewnij się, że użytkownicy się z nią zapoznali i ją rozumieją.

Tylko tyle czy aż tyle

Zdefiniowany cel, dobry plan, ustalony podział obowiązków potem wykonanie i jesteśmy bezpieczni w chmurze. Wydaje się, że wreszcie można odpocząć. Otóż nie. Bezpieczeństwo nie jest stanem, który można raz osiągnąć i stale mieć. To ciągły proces: śledzenia zmian zachodzących w otoczeniu, monitorowania zagrożeń, przygotowań do obrony przed nimi, weryfikacji skuteczności ochrony, łatania podatności i znów śledzenia zmian w otoczeniu. Tak bez końca, niezależnie od tego, czy korzystamy z własnych zasobów, czy z chmury.

Więcej o naszej ofercie audytów i testów bezpieczeństwa.

 

Autorem tekstu jest Marcin Szydłowski, CITO, Soflab Technology

Fotografia Philipp Birmes / Pexels