V kontextu ochrany dat je zapotřebí uvědomit si a posuzovat zejména:

• Míru možnosti oddělení (izolace) dat při jejich uložení (úložiště), zpracování a transportu (komunikace).
• Míru možnosti řízení přístupu k datům.

U obou těchto parametrů existuje celá škála stupňů podle toho, na jaké úrovni jsou data oddělena a kdo a kdy k nim má přístup. Z těchto hledisek je na tom nejhůř veřejný cloud, který nabízí služby od IaaS až po SaaS včetně abstraktních aplikačních služeb jako úložiště, mailové nebo sociálně-komunikační služby koncovým zákazníkům. Veřejné cloudy jsou většinou poskytovány velkými nadnárodními giganty a otázky přístupu třetích stran k datům jsou značně nejisté. Jako příklad si uveďme masový odposlouchávací program PRISM, provozovaný ze strany NSA od r. 2007, nebo zákon FISA (Foreign Intelligence Surveillance Act), který má de facto extrateritoriální záběr. V Evropě existují velké kontroverze ohledně přístupu státních struktur k datům soukromých osob, institucí a organizací.

Ještě větší kontroverze samozřejmě vznikají kolem otázky exteritoriálního a zákony neřízeného způsobu přístupu k datům. Pro příklady nemusíme chodit daleko. Požadavky na přístup k informacím ze strany států mají stoupající tendenci. V září letošního roku Dropbox oznámil, že v první polovině r. 2014 obdržel v USA 264 oficiálních požadavků na přístup k informacím ze strany státu. V první polovině roku 2012 Google obdržel přes dvacet tisíc požadavků, z kterých vyhověl 89%. Microsoft reagoval kladně jen na 79 % požadavků, ale na druhé straně tyto požadavky pocházely ve vyšší míře od zahraničních úřadů.

Tyto otázky nejsou nové a netýkají se výlučně cloudů. Data mohou již dnes být odposlouchávána zejména po čas jejich přenosu komunikačními trasami. Takovému porušení důvěrnosti ale lze účinně bránit prostředky kryptografie, tj. pomocí šifrování (vytvářením tzv. VPN – Virtual Private Networks). Data, která jsou uložena a data právě zpracovávaná, jsou v tradičním (necloudovém) řešení chráněna lépe, a to pomocí tzv. suverénního řízení fyzického a datového přístupu. Jedná se o to, že pokud se výpočetní a úložné kapacity (typicky servery a datová úložiště) fyzicky nacházejí pod kontrolou vlastníka dat, může tento vlastník vynucovat přístup k nim všemi prostředky, které mu dovoluje právní vztah vlastnictví k těmto prostředkům. V případě tzv. housingu se servery vlastníka nacházejí v pronajaté části datacentra s konektivitou a dodávkou elektrické energie. V těchto případech má sice zákazník zpravidla výhradní přístup k vlastním prostředkům, ale jistota, že poskytovatel housingu nebo třetí strana se fyzicky k těmto prostředkům bez vědomí vlastníka nemůže dostat, je z principu nižší. Taková jistota se ještě snižuje, pokud se jedná o dedikovaný hosting, tj. pronajmutí výpočetních a úložních prostředků. Ještě nižší je samozřejmě u tzv. manažovaného hostingu, při kterém je poskytovateli svěřena i správa hardware a často i operačního systému. Odsud je plynulý přechod k poslednímu kroku, pronajmutí běžící aplikace (např. webserveru), vývojového prostředí nebo přímo aplikační služby (např. elektronický obchod, DMS apod.). Všimněme si silnou analogii s principy cloudových služeb, jak byly popsány v prvním dílu tohoto seriálu a dopřejme si trochu teorie.

Teoretická specifika bezpečnosti dat v cloudu

Podstatná odlišnost housingových či hostingových služeb a služeb cloudových je, že cloudové služby jsou vždy virtualizovány, což je základem primárních vlastností cloudu – abstrakce, dynamičnosti a elasticity služeb (viz první díl tohoto seriálu). Vlastnost abstrakce (spojování zdrojů do virtuálních celků) tak teprve umožňuje dynamičnost a elasticitu.

Virtualizace tedy nad původními zdroji vytváří další nadřazenou a skrytou vrstvu, která je z podstaty svého fungování schopna skrytého přístupu k podřízeným zdrojům (právě za účelem dynamického a elastického přidělování zdrojů). Takový přístup je možný ze strany poskytovatele virtualizační vrstvy, tj. poskytovatele cloudu, který, pokud není totožný s vlastníkem dat v případě privátního cloudu, hraje roli tzv. insidera. Toto je první podstatou zvýšené úrovně rizika cloudu. I v případě, že vlastník dat bude používat šifrování jak při jejich ukládání (na různých úrovních – např. na úrovni média, oddílu, souborového systému, souborů) tak při komunikaci, tj. přenosu dat (rovněž na různých úrovních, resp. síťových vrstvách – od IPSec VPN přes SSL VPN až po šifrování zpráv na aplikační úrovni), data se na určitou dobu vždy vyskytují v nešifrované podobě, a to při jejich zpracování (nejčastěji se nacházejí v registrech procesorů a v operační paměti, procesorové cache, ale i v paměti vstupně/výstupných systémů a v tzv. postranních kanálech). To ale znamená, že insider v případě zlého úmyslu či z donucení (míra legality nehraje roli) může k datům skrytě přistupovat, kopírovat je nebo měnit, čímž je porušena jejich důvěrnost, resp. integrita. Rovněž pro outsidery, tj. třetí strany (vyjma poskytovatele), se pomocí virtualizace otvírá nová potenciální brána k datům pomocí známých i neznámých zranitelností samotné virtualizační vrstvy. Je sice pravda, že pomocí virtualizace je možné riziko velmi účinně snižovat cestou centralizace protiopatření, na druhé straně je však virtualizační vrstva v případě prolomení její bezpečnosti centrální bránou pro přístup ke všem podřízeným zdrojům a tím i k datům.

Bohužel, abstrakce neznamená pouze spojování zdrojů, ale i jejich sdílení. Abstrakce skrývá původní konkrétní zdroje (dělá je transparentními, neviditelnými pro uživatele zdroje) a emuluje nový, virtuální zdroj, z kterého je čerpáno. Jinými slovy, uživatel neví (myšleno samozřejmě z hlediska funkčního) o tom, že jeho zdroj je sdílen i jinými uživateli. To má sice výhodu z funkčního hlediska, protože to umožňuje samotnou virtualizaci, ale z hlediska bezpečnosti to vytváří potřebu řízené („umělé“) izolace původních zdrojů i jednotlivě přidělovaných částí nového virtuálního zdroje pomocí prostředků řízení přístupu, a to i v případě privátního cloudu. Taková izolace musí být samozřejmě řízena samotnou softwarovou virtualizační vrstvou, což ale přináší nová rizika spojená s úmyslnými nebo neúmyslnými chybami izolace. Toto je druhou podstatou zvýšené úrovně rizika cloudu.

Teoreticky je možné oba problémy vyřešit pouze šifrováním dat end-to-end, tj. že data jsou šifrována jejich tvůrcem a dešifrována jejich uživatelem. Pokud není prolomena šifra, nemůže dojít ke ztrátě důvěrnosti nebo integrity, protože k nešifrovaným datům tak mají přístup pouze oprávnění uživatelé. Takové šifrování se samozřejmě běžně používá (šifrátory, VPN apod.). Problém je ale v tom, že ho lze použít pouze pro komunikaci (samozřejmě i v kombinaci se šifrovaným úložištěm dat pro ukládání), ale ne pro výpočetní zpracování dat. Při výpočtu totiž musí aplikace a procesor datům „rozumět“, musí se tudíž nacházet v dešifrovaném stavu. Budoucnost nám v tomto směru slibuje řešení – tzv. homomorfní šifrování, při kterém se využívá určitých vlastností abstraktní algebry (homomorfismu grup). Zjednodušeně jde o ekvivalenci dvou matematických struktur z hlediska prováděných operací, tj. pokud se povede vytvoření zašifrovaného ekvivalentu nešifrovaných dat tak, aby aritmeticko-logické operace jak nad nešifrovanými, tak nad šifrovanými daty dávaly stejný výsledek, nemusí aplikace a procesor při své práci datům „rozumět“ – zdroj data zašifruje, data se přenáší, ukládají i „počítají“ zašifrovaně a cíl si data dešifruje. Teoreticky vše funguje, problém je zatím v enormní výpočetní náročnosti.

Pokud se vrátíme k praktickým otázkám, které z teorie vyplývají, musí si každý manažer IT, resp. CISO, který chce využívat cloud, klást množství otázek. Právní aspekty jsme se pokusili vysvětlit v první části tohoto seriálu, na technicko-organizační aspekty se zaměříme ve třetím díle.

Milan Balážik Autor pracuje jako architekt technických řešení ve společnosti Corpus Solutions.