Cloud Computing - czego wymaga od dostawcy usług w zakresie bezpieczestwa Telekomunikacja Polska S.A. Andrzej Karpiski Łukasz Pisarczyk 1
AGENDA Wprowadzenie Aspekty bezpieczestwa usługi Cloud Computing rozpatrujemy w zalenoci od rodzaju wiadczonych usług Taniej czy droej? realne nakłady na bezpieczestwo Podejcie rynku do usług Cloud Computing Wnioski Technologia czy sposób mylenia? Kwestie otwarte Aspekty prawne Podsumowanie - czynniki wyboru dostawcy usługi Cloud Computing 2
Wprowadzenie Cloud Computing to nie jest jedna konkretna technologia, która w jaki bardzo nowatorski sposób podchodzi do przetwarzania informacji To raczej wykorzystanie istniejcych technologii, rodowisk, do zbudowania pewnego modelu funkcjonowania IT, podobnie jak swego czasu traktowano np. outsourcing business application application infrastructure operating system servers & storage network data centre Network Service Platform IT 3
Aspekty bezpieczestwa usługi Cloud Computing rozpatrujemy w zalenoci od rodzaju wiadczonych usług Public clouds Internet Private clouds Enterprise SaaS Software as a Service Application Cloud PaaS Platform as a Service Middleware Cloud IaaS Infrastructure as a Service Hardware Cloud 4
Taniej czy droej? realne nakłady na bezpieczestwo Cel: Optymalizacja kosztów operacyjnych i moliwo wykorzystania wolnych zasobów Wyniesienie przetwarzania danych na zewntrz pozwalajce w okrelonych sytuacjach na obnienie kosztów funkcjonowania IT w organizacji Ale: Obnienie kosztów IT nie powoduje proporcjonalnego obnienia kosztów w zakresie bezpieczestwa Co wicej, koszty rosn, z uwagi na konieczno zapewnienia podstawowych aspektów bezpieczestwa na zewntrz, tak w zakresie samego przetwarzania, składowania informacji, jak i komunikacji z centrum przetwarzajcym dane oraz ochron przed dostpem przez pracowników instytucji trzecich 5
Podejcie rynku do usług Cloud Computing 90% ankietowanych uznało, e obawy dotyczce bezpieczestwa s główn przeszkod na drodze do wdroenia usług opartych o przetwarzanie w chmurze "New IDC IT Cloud Services Survey: Top Benefits and Challenges", 15 grudnia 2009 68% pracowników IT wskazało, e odpowiedzialno za ocen dostawców usług Cloud Computing spoczywa na uytkownikach i kadrze kierowniczej. 20% potwierdziło, e firmowe zespoły odpowiedzialne za bezpieczestwo danych regularnie bior udział w procesie podejmowania decyzji. 25% stwierdziła, e nigdy nie brała udziału w takich działaniach "Flying Blind in the Cloud: The State of Information Governance" Symantec, 2010 6
Podejcie rynku do usług Cloud Computing c.d. IT ocenia usługi Cloud Computing na podstawie zasłyszanych opinii (65 %) oraz umów i gwarancji producentów (odpowiednio 55% i 53%) 23% firm wymaga od dostawców potwierdze zgodnoci zabezpiecze z przepisami 18% polega na własnych ocenach zabezpiecze, a zaledwie 6% korzysta z ocen dokonywanych przez specjalistów lub audytorów 75% ankietowanych uwaa, e migracja do rozwiza w modelu Cloud Computing nie została zrealizowana optymalnie ze wzgldu na brak kontroli nad uytkownikami kocowymi Jako przyczyny takiej sytuacji wskazuje si brak zasobów niezbdnych do przeprowadzenia prawidłowej analizy, brak nadzoru nad całym procesem oraz niski priorytet procesu ewaluacji "New IDC IT Cloud Services Survey: Top Benefits and Challenges", 15 grudnia 2009 7
Technologia czy sposób mylenia? Problemem jest wyznaczenie granicy, gdzie delegujemy okrelone zadania na zewntrz i kompetencji które chcemy zachowa w naszych zespołach Wydaje si, e bezpieczestwo naley do zada, które kada organizacja powinna realizowa, przynajmniej w zakresie polityki i załoe samodzielnie Z analiz rynkowych wynika, e w rozwizaniach Cloud Computing zbyt mało rodków przeznacza si na bezpieczestwo, zupełnie nie uwzgldniajc uwarunkowa powyej (ródła: Globaldata, 2010) 8
Kwestie otwarte Czy mog przetwarza dane w tym samym centrum co moja konkurencja? Ochrona rodowisk przed sob tak w zakresie przypadkowego dostpu do nie swoich informacji, jak i celowego dostpu Zarzdzanie bezpieczestwem oddzielnie na kadym poziomie: Budynek/obsługa/pracownicy Infrastruktura sieciowa, sprztowa, dyskowa Transmisja System operacyjny/hypervisor czy pełna separacja? 9
Aspekty prawne Rónorodno aspektów prawnych w poszczególnych krajach ogranicza moliwoci przetwarzania wraliwych informacji Przykład: francuskie ograniczenia w zakresie szyfrowania Przykład: polskie przepisy o danych osobowych (jedne z najostrzejszych na wiecie) czy zlokalizowane np. w Niemczech centrum przetwarzania informacji spełnia polskie wymagania prawne? Przykład: co z odpowiedzialnoci na wypadek incydentu bezpieczestwa zupełnie róne ustawodawstwo karne, praktyki ledcze itd. 10
Wnioski Cloud Computing to bardzo młoda idea, jeszcze niedojrzała rynkowo, w zakresie szczegółowych aspektów technologicznych Zagadnienia do uwzgldnienia przy liczeniu kosztów: Wydzielenie czci rodowiska zwirtualizowanego w ramach skomplikowanej infrastruktury w przedsibiorstwie (czy wynie te na zewntrz WAN/LAN?) Jeli wiele instancji, to co z licencjami np. na OS/AV/Backup/FW/IPS, wydajnoci FW/IPS Jeli wiele VLAN to co z poziomem skomplikowania reguł na FW? Jeli technologie SAN over Ethernet czy over IP, to co z firewallowaniem takiego ruchu? Co z kosztami szyfrowania w przypadku duych transferów? Czy straty wynikajce z przykładów powyej nie oka si wiksze ni zyski z Cloud Computing? 11
Podsumowanie czynniki wyboru dostawcy usługi Cloud Computing Infrastruktura sieciowa (rozległo i dostpno infrastruktury) Wysokie SLA z dostawcami elementów składajcych si na Data Center Wysokie kompetencje w zakresie zarzdzania infrastruktur i bezpieczestwem (dedykowane departamenty) Zaplecze techniczne i finansowe w zakresie duych kontraktów Spełnienie uwarunkowa prawnych pozwalajcych na wiadczenie usług Cloud Computing w danym kraju Czytelna oferta ze szczegółami spełnienia w/w czynników 12
Dzikujemy Telekomunikacja Polska S.A. Andrzej Karpiski Łukasz Pisarczyk AndrzejPawel.Karpinski@telekomunikacja.pl Lukasz.Pisarczyk@telekomunikacja.pl 13