Adatbiztonsági kérdések és válaszok
2020.05.14.
tc2
Összegyűjtöttünk néhány kérdést az adatbiztonsággal kapcsolatban.
A nemzetközi adatvédelmi világnap alkalmával fontosnak tartottuk összegyűjteni azokat az IT biztonsági kérdéseket, melyek a felhőalapú rendszereknél felmerülhetnek.
1. Miért biztonságosabb a cloud a hagyományos IT rendszereknél?
Egy felhő szolgáltatónak alapvető érdeke, hogy a legmagasabb biztonsági szintet nyújtsa, hiszen üzleti modelljének ez az egyik alapja. Egy felhő szolgáltatónál rengeteg szakember áll rendelkezésre ahhoz, hogy mindig a legújabb biztonsági megoldásokhoz szállítsanak tudást, a shared modell pedig lehetővé teszi azt is, hogy nagyszerű megoldásokat implementáljanak, melyek viszont sok esetben igen drágák lennének a hagyományos IT rendszereket üzemeltető cégek számára.
Az automatizált rendszerek kevesebb humán-erőforrást is igényelnek, és nagyobb transzparenciát adhatnak.
2. Tanúsítja-e valaki biztonsági szempontból a felhőszolgáltatókat?
A felhőszolgáltatók a nemzetközi elvárásokat magas szinten teljesítik. Adott esetben rendelkeznek a régiók és az országok egyedi biztonsági tanúsítványával, vagy speciális iparági, ágazati előírásokkal is, például PCI DSS vagy HIPAA.
3. Mit jelent a Shadow IT? Milyen biztonsági vonatkozása van?
Egy vállalaton belül a felhő technológia használata kétfajta úton történhet:
- hivatalos formában, jóváhagyással, az IT és security területek bevonásával,
- a céges beszerzést és a szervezeti/biztonsági jóváhagyási folyamatokat megkerülve az egyén vagy csoport közvetlenül – többnyire ingyenesen – használ cloud technológiát.
Ennek biztonsági kockázata abban állhat, hogy a technológia nincsen összehangolva a vállalati IT folyamatokkal, nincs bevonva a működésbe az informatikai és biztonsági terület, így sérül az átláthatóság és a kontroll funkciója.
4. A hibrid felhőnél az IT biztonság hogyan jelenik meg?
Az on prem security hagyományos megoldásai, megközelítései gyakran nem használhatók, vagy nem célszerű használni azokat az újonnan kialakított felhős környezetekben – miközben célszerű a biztonsági megoldásokat is federáltan, a két területre egységesen használni. Ilyenkor a két terület biztonsági kérdéseit ugyanúgy össze kell hangolni, integrálni kell, mint az informatika egyéb területeit, az architektúrát, az operációt, a licensz gazdálkodást és még számos területet.
5. Milyen biztonsági részekért felel a szolgáltató és miért az ügyfél?
A felhő technológia úgynevezett megosztott biztonsági modellel működik. Ez azt jelenti, hogy a felelősséggel nem egyedül a felhő szolgáltató tartozik, hanem az ügyfélnek is be kell tartania bizonyos követelményeket.
Az alábbi felosztást használják arra, hogy elkülönítsék az egyes felelősségi köröket:
Of the cloud: a felhő szolgáltatóhoz tartozik a terület, többek között érinti a fizikai biztonságot, hálózatot, árambetáplálást, a hardvert és a szofvtert.
In the cloud: IT biztonsági szempontból az ügyfél felel ezért a területért, minden olyan tevékenység ide tartozik, ami a virtuális gépen belül történik: például patchelés, titkosítások használata, a szolgáltató által adott eszközök megfelelő konfigurálása, ügyféladatok kezelése.
6. Az ügyfélnek milyen lehetőségei vannak arra, hogy növelje a biztonságot azokon a területeken, amelyekért ő felel?
A szolgáltatók számos biztonsági terméket és szolgáltatást hoztak létre, fontos kérdés azonban, hogy ezeket egyáltalán használjuk, vagy, ha használjuk, jól használjuk. Ez az ügyfél felelőssége.
7. A TC2 security szempontból hogyan ellenőrzi a felhő rendszereket?
AWS Advanced Partnerként különböző sztenderdeket követünk, illetve belső best practice-ek állnak rendelkezésre ahhoz, hogy a legmagasabb szakmai felkészültséggel támogassuk a biztonsági folyamatokat. Ehhez általában javasoljuk implementálni az előbb említett termékek és szolgáltatások adott esetben releváns elemeit, vagy a teljes megoldást Managed Services formájában biztosítjuk.
8. A mai felhős, mikroszervíz környezetekben akár naponta jelenik meg több release, amit security szempontból is ellenőrizni kell. Ezzel mi a teendő?
A legnagyobb biztonsági kihívások egyike a konténeres környezet, erre vannak nemzetközi megoldások, termékek, amelyeket alkalmazni lehet. Ilyenek a TC2 ajánlatai között is megtalálhatók.
9. A felhőben tárolt adatok biztonsági mentése kinek a feladata (AWS, ügyfél, partner)?
Amennyiben nem managed szervízről van szó, úgy az ügyfél vagy partner felelős az architektúra, így a mentési megoldások kialakításáért is. Természetesen a fizikai környezeten tárolt adatok megléte az AWS dolga, saját belső megoldásaival a vállalt megőrzési garanciát igyekszik biztosítani.
10. A biztonság mellett jelent-e gazdasági előnyt a cloud alkalmazása?
A felhő nem csak egy technológiai platform, hanem egyben üzleti modell alapjává is válhat a vállalatoknál.
A gazdasági előny sokrétű lehet: a felhő rendszerekkel hatékonyabb lehet a humán-erőforrás kihasználása, rengeteg egyszerű, rutinszerű, alacsony kvalifikációt igénylő feladat csökkenhet, akár teljesen eltűnhet a szerver oldali infrastruktúra a cégeknél, megspórolva minden ezzel kapcsolatos feladatot és költséget.
Gazdasági előny szerezhető azzal, hogy a cégek és vállalatok gyorsan és hatékonyan vezethetnek be újabb vállalati tevékenységeket, folyamatokat, ezzel pedig a szolgáltatások, termékek minőségét növelhetik látványosan.
A felhő skálázható, vagyis azért fizetünk, amit használunk, méretgazdaságos árazási modellje pedig minden vállalatméret számára lehetővé teszi az optimális költségen megvalósítható informatikai szolgáltatást. A rugalmas működési modellel a felhőinformatika rugalmasan követi az üzleti tevékenységet, azaz mindig annyit lehet igénybe venni, amit az adott pillanatban az üzleti tevékenység igényel.
A gazdasági előnyhöz lehet sorolni továbbá, hogy a cloud segítségével egy adott vállalkozás, szervezet hatékonyan és gyorsan bevezethető új megoldásokkal, teljesen új minőségben tudja kiszolgálni az ügyfeleit, ezáltal pedig nagyobb bevételre tehet szert. Jó példa erre a német fociválogatott, a Bundesliga AWS platform használata, vagy a Forma 1-es adatok felhőbe költözése. Előbbi új minőségben tudja valós időben bemutatni a focimeccsek során keletkezett adatokat, új insightokat adhat a nézőknek. A Forma 1 is a felhasználói élmény-növelésben tudott szintet lépni a cloud platform alkalmazásával.
11. A TC2 számára mit jelent az IT biztonság?
Fontos számunkra, hogy biztonságban legyenek a rendszerek, az ügyfeleink adatai. AWS Advanced Partneri ranggal, és az ISO 27001 minősítéssel is elköteleztük magunkat arra, hogy magas szakmai sztenderdeknek, illetve azok IT biztonsági követelményeinek is megfeleljünk.
A TC2 biztonsági törekvései az AWS termékeivel összhangban vannak és kollégáink tudását is folyamatosan fejlesztjük, hogy mindig a legújabb megoldásokat tudjuk biztosítani.
