Choć popularność chmury w Polsce rośnie, to przeprowadzka do niej nadal stanowi wyzwanie dla wielu polskich przedsiębiorców. Poniższy przewodnik powstał z myślą o tych, którzy wahają się jeszcze, czy warto postawić na cloud computing lub nie wiedzą, jak się do tego przygotować.
Chmura – rozwiązanie na miarę XXI wieku
Chmura to środowisko będące odpowiedzią IT na potrzeby współczesnego biznesu, wymagającego elastyczności, innowacyjności, optymalizacji kosztów oraz zapewnienia bezpieczeństwa. Jest to rozległa sieć serwerów zdalnych znajdujących się w różnych miejscach na świecie, połączonych i działających jako jeden ekosystem. Stanowi konfigurowalny zasób mocy obliczeniowej, udostępniany różnym jednostkom w celu uruchamiania przeznaczonych dla nich informatycznych rozwiązań biznesowych, odseparowanych od innych użytkowników chmury. Usługi chmury mogą być dostarczane w różnych modelach, z których najbardziej popularne to: IaaS: Infrastructure as a service, PaaS: Platform as a service, SaaS: Software as service. Możliwe, choć rzadziej stosowane, są także opcje: MBaaS: Mobile „backend” as a service i FaaS: Function as a service.
Chmura często kojarzona jest z usługami publicznymi, w których wiele firm, łącząc się przez Internet, korzysta z tego samego zasobu mocy obliczeniowych – na tym właśnie typie chmury skoncentrujemy się w dalszej części artykułu. Należy jednak pamiętać, że istnieją inne jeszcze rodzaje tego rozwiązania: prywatne i hybrydowe.
Z roku na rok coraz więcej polskich firm decyduje się na korzystanie z różnych wariantów usług chmurowych. Tym, co przekonuje przedsiębiorców, jest przede wszystkim rozwiązanie problemu utrzymywania własnej infrastruktury, możliwość łatwego i elastycznego skalowania oraz koszty utrzymania uzależnione od rzeczywistego wykorzystania zasobów. Cena usług chmurowych coraz rzadziej stanowi barierę przy podejmowaniu decyzji.
Kto odpowiada za bezpieczeństwo danych
Dobra chmura to m.in. lokalizacja zabezpieczona przed nieautoryzowanym dostępem, całodobowy monitoring infrastruktury, ochrona przed atakami typu DDoS, aktualizacje środowiska, kopie zapasowe, zespół wykwalifikowanych specjalistów, itd.
Korzystanie z chmury nie zwalnia nas z tej odpowiedzialności, pozwala natomiast przenieść część zadań związanych z zapewnieniem bezpieczeństwa na dostawcę. Ważne, aby mieć świadomość, jaki zakres odpowiedzialności za zabezpieczenie naszych danych wziął na siebie usługodawca, a co leży już po naszej stronie. Pozwoli to uniknąć nieporozumień, prowadzących do powstania luk w systemie zabezpieczeń, które mogą stanowić potencjalne ryzyko dla danych przedsiębiorstwa. Podział zadań i obowiązków zależy przede wszystkim od tego, z jakich usług skorzystamy. Standardowy podział odpowiedzialności, w zależności od wykorzystywanych usług, pokazuje poniższy rysunek.

źródło: Rysunek przygotowany na podstawie materiałów ENISA
Jeśli do chmury przenosimy zawartość serwerów z naszej serwerowni (usługa IaaS), za ochronę fizyczną, zasilanie, klimatyzację czy sieć odpowiada dostawca. Nadal jednak odpowiedzialność za bezpieczeństwo szeregu komponentów składających się na nasze rozwiązanie, takich jak np. system operacyjny, baza danych, aplikacja, dane czy dostęp do rozwiązania, pozostaje po naszej stronie. Jeśli zamiast przenosić do chmury nasze rozwiązanie CRM, decydujemy się na korzystanie z CRM jako usługi SaaS, nasza odpowiedzialność ogranicza się do zarządzania dostępem do aplikacji. Wraz ze zmniejszaniem się naszej odpowiedzialności rośnie liczba zadań, które przechodzą na dostawcę usług, co pokazuje rysunek poniżej.

źródło: Rysunek Przygotowany na podstawie materiałów ENISA
W każdym przypadku niezależnie od rodzaju wykorzystywanych usług i podziału obowiązków, bezpieczeństwo przede wszystkim oznacza: zapewnienie dostępności, poufności i integralności danych, gdzie:
- dostępność – oznacza możliwość korzystania z zasobów firmowych na ustalonych zasadach z zachowaniem ciągłości działania;
- poufność – uniemożliwienie dostępu nieuprawionym osobom czy systemom;
- integralność – pewność, że dane nie zostały zmienione w sposób nieuprawniony.
Jeśli potrzebujesz audytu bezpieczeństwa skontaktuj się z naszym ekspertem.
Podejmij świadomą decyzję
Przed podjęciem decyzji o migracji do chmury:
1. Przeanalizuj, jak dzisiaj wygląda infrastruktura firmy, jakie dane są przechowywane i przetwarzane, czy nie ma ograniczeń (np. wynikających z RODO)
Warto określić, czy chcemy przenieść całość środowiska IT, czy jednak zdecydować się na rozwiązanie hybrydowe (przeniesienie części zasobów).
Dobrze jest też zaktualizować dane na temat pracowników posiadających dostęp do określonych zasobów firmy. Wiele firm nadaje konieczne uprawnienia, ale nie dba o ich odbieranie, gdy przestają być one potrzebne. Minimalne niezbędne uprawnienia to jedna z kluczowych zasad bezpieczeństwa.
2. Ustal, jakich usług (IaaS, PaaS, SaaS) potrzebujesz. Co będziesz musiał zbudować od nowa, a co da się zastąpić np. usługami typu SaaS (system CRM, obieg dokumentów, etc.).
3. Zaplanuj mechanizmy bezpieczeństwa, w tym:
- wspomnianą już zasadę minimalnych, niezbędnych uprawnień;
- ścisłe określenie ról, aby uniknąć niewłaściwych praktyk, na przykład łączenia na jednym koncie uprawnień użytkownika i administratora;
- wdrożenie MFA (ang. Multi-factor authentication) – funkcjonalności wymuszający na użytkowniku, oprócz podania loginu i hasła, dodatkowego poświadczenia jego tożsamości. Może to być np. użycie dodatkowego klucza na USB albo przepisanie kodu wysłanego na telefon użytkownika.
Wszystkie te mechanizmy są znane i stosowane w infrastrukturze on-premises, gdzie dostęp do zasobów firmowych często jest możliwy wyłącznie z wewnętrznej sieci. Tym ważniejsze jest, by pamiętać o nich wdrażając rozwiązania chmurowe, które zazwyczaj umożliwiają korzystanie z zasobów firmy przez Internet.
Aby ograniczyć ryzyko nieuprawnionego dostępu, warto też wdrożyć inne rodzaje zabezpieczeń, jak dozwolone urządzenia, lokalizacje czy godziny logowania i wiele innych.
Pamiętaj również, by:
- Zadbać o odpowiednią ochronę danych w stanie spoczynku. Większość usługodawców przechowuje dane w formie rozproszonej i zaszyfrowanej przy użyciu własnych kluczy szyfrujących. Jeśli to za mało, sprawdź, czy możesz korzystać z własnych kluczy (wymaga to późniejszego zarządzania tymi kluczami), albo umieszczaj dane szczególnie wrażliwe w chmurze już w zaszyfrowanej postaci.
- Dane przesyłane pomiędzy użytkownikami – partnerami biznesowymi powinny być przekazywane w postaci zaszyfrowanej, za pomocą wiadomości e-mail lub dedykowanych linków, których zawartość jest dostępna po potwierdzeniu tożsamości odbiorcy.
4. Określ rodzaj i zakres usług chmurowych, których potrzebujesz, a następnie sporządź listę firm, które mogą tych usług dostarczyć.
5. Wybierz dostawcę usług. Dokonując wyboru, sprawdź:
- Czy zapewnia wsparcie przy budowaniu rozwiązania i migracji danych do chmury?
- Na jakich zasadach możesz zwiększać lub zmniejszać swoje zapotrzebowanie na zasoby obliczeniowe? Jak szybko można dokonać zmiany?
- Gdzie będą przechowywane twoje dane? Informacja ta jest szczególnie ważna w kontekście RODO. Czasami, w zależności od usługi, ten sam dostawca przechowuje dane w różnych miejscach, w tym poza Unią Europejską.
- W jaki sposób dostawca dba o bezpieczeństwo? Czy opisał własną politykę bezpieczeństwa, czy pozwala na przeprowadzenie zewnętrznych audytów, przedstawia raporty wykonane przez niezależnych audytorów? Czy posiada certyfikaty bezpieczeństwa wydane przez niezależne organizacje, np. ISO/IEC 27017?
- Czy i na jakim poziomie udostępnia możliwość monitoringu używanych usług?
- Czy istnieje procedura powiadamiania odbiorców usług o awariach i pracach planowych? Czy i w jakim zakresie możesz wpływać na czas wykonania prac planowych?
- W jaki sposób możesz zgłaszać usterki i czy operator określa termin przyjęcia zgłoszenia i rozwiązania problemu (SLA)?
- Jak często, w jaki sposób i w jakim zakresie wykonywany jest backup? Jak wygląda proces odtwarzania danych? W przypadku danych szczególnie wrażliwych lub istotnych ze względów biznesowych warto upewnić się, czy jest możliwość ich eksportu do zewnętrznych systemów, np. u innego dostawcy chmury.
- W jaki sposób i na jakich zasadach można opuścić chmurę? Niekiedy, z różnych względów, takich jak upadek usługodawcy, brak nowych wymaganych funkcjonalności czy narzucenie cen nieadekwatnych do poziomu rynkowego, konieczna jest zmiana dostawcy usługi lub powrót do własnej infrastruktury. Należy więc na wszelki wypadek sprawdzić, czy dostawca oferuje dostęp do danych za pomocą zestandaryzowanych interface’ów oraz czy są one przechowywane w znanych formatach. A przynajmniej, czy zapewnia narzędzia umożliwiające konwersję tych danych. Brak tego typu mechanizmów może skutkować tzw. Vendor Lock-In – sytuacją swoistego uzależnienia od dostawcy, którego nie można zmienić bez poniesienia znaczących kosztów.
6. Zastanów się, czy masz wystarczające kompetencje, aby wybrać usługi odpowiednie dla Twoich potrzeb, zaplanować architekturę systemu i przeprowadzić migrację danych, a następnie na bieżąco utrzymywać system. Jeśli tak nie jest, zatrudnij lub zorganizuj odpowiednie szkolenia dla pracowników, bądź znajdź wiarygodnego i doświadczonego partnera, który Ci pomoże.
7. Zaplanuj migrację danych. W jakiej kolejności i co powinno być przenoszone? Zacznij od zasobów najmniej krytycznych z biznesowego punktu widzenia. Rozłóż projekt w czasie, tak by na bieżąco monitorować postęp i korygować plan.
8. Przygotuj komunikację wewnątrz firmy. W projekcie migracji do chmury bardzo często należy liczyć się nie tylko z wyzwaniami natury technologicznej czy operacyjnej, ale również z niezadowoleniem pracowników, którzy najbardziej odczują wprowadzone zmiany. Jest to naturalna reakcja, na którą można się przygotować. W tym celu należy:
- Opracować szczegółowy plan komunikacji obejmujący wszystkie zainteresowane osoby i uwzględniający zbieranie informacji zwrotnych. Pozwoli to szybko reagować na pojawiające się problemy, dostosowywać działania do bieżącej sytuacji, a dodatkowo zwiększyć zaangażowanie i współodpowiedzialność pracowników za powodzenie nowego systemu,
- Przygotować plan przekazywania informacji o nowym systemie dla przyszłych jego użytkowników oraz administratorów.
- Przewidzieć wsparcie techniczne dla użytkowników, z którego będą mogli korzystać po uruchomieniu systemu.
9. Zadbaj o odpowiednio szybkie łącze dostępowe do Internetu – często zdarza się, że parametry techniczne dotychczasowego łącza po migracji do chmury stają się niewystarczające.
10. Oceń ryzyka. Przeniesienie do środowiska chmurowego może pociągnąć za sobą dodatkowe wyzwania, z którymi wcześniej nie mieliśmy do czynienia. Należy zatem przeprowadzić analizę potencjalnych zagrożeń, sklasyfikować je pod kątem prawdopodobieństwa wystąpienia i ich wpływu na działalność biznesową, a następnie zaplanować i wdrożyć mechanizmy, które pozwolą na ich monitorowanie. Warto dokładnie zapoznać się z ofertą dostawcy – firmy wdrażające rozwiązania chmurowe dysponują często narzędziami do analizy i zarządzania ryzykiem.
11. Zaktualizuj lub stwórz politykę bezpieczeństwa i upewnij się, że zapoznali się z nią wszyscy użytkownicy nowego systemu.
I co dalej?
Bezpieczeństwo nie jest stanem, który można osiągnąć raz na zawsze. Zdefiniowany cel, dobry plan, ustalony podział obowiązków, następnie przeprowadzenie migracji do chmury – to elementy konieczne, ale niewystarczające. Zapewnianie bezpieczeństwa to ciągłe wyzwanie, wymagające śledzenia zmian zachodzących w otoczeniu, monitorowania zagrożeń, gotowości do obrony przed nimi, zmniejszania podatności i znów śledzenia zmian w otoczeniu…. Czynności te należy wykonywać stale, i to niezależnie od tego, czy korzystamy z własnej infrastruktury informatycznej, czy z dostarczanych z zewnątrz rozwiązań chmurowych.
Więcej o naszej ofercie audytów i testów bezpieczeństwa.
Autorem tekstu jest Marcin Szydłowski.