Pokud se blíže podíváme na bezpečnost cloudových služeb, zjistíme, že oproti tradičnímu on-premise řešení s sebou přináší mnoho specifik. Často se vyzdvihují především vyšší nebo jiná bezpečnostní rizika. Situace však není tak jednoduchá a mnoho implementací může mít na bezpečnost společnosti i pozitivní vliv.

Nezbytným krokem, který by měla každá společnost nebo uživatel před nasazením cloudových služeb vykonat, je identifikace typů dat, které budou v cloudovém prostředí zpracovány. V každém případě je vždy potřeba posoudit rizika před a po nasazení cloudového řešení a rozhodnutí o implementaci dodatečných bezpečnostních opatření opřít o výsledky této analýzy.

Přínosy

Cloudové prostředí přináší řadu prostředků, které mohou vylepšit stávající ochranu dat a systémů. V případě velkých cloudových poskytovatelů je dnes normou uchování dat ve více geograficky vzdálených datacentrech. Tato možnost je pro malé a střední společnosti prakticky nedosažitelná, takže přesunem do cloudu sníží riziko ztrát dat v případě živelné katastrofy v dané oblasti. Součástí distribuovaného řešení je vyrovnávání zátěže mezi jednotlivými lokalitami a použití technologií zajišťující vyšší spolehlivost služeb než v případě lokálního řešení.

Při využití cloudových služeb společnosti mnohdy mají data chráněna bezpečnostními mechanismy, které by si jinak hlavně z finančních důvodů nemohly dovolit. Poskytovatel služby zde těží z výnosů z rozsahu, a tak dokáže uživatelům nabídnout kvalitnější bezpečnostní prvky za nižší cenu, než za kterou by si společnosti tyto prvky pořizovaly. Navíc poskytovatelé mohou dočasně přerozdělit zdroje potřebné pro zajištění bezpečnosti např. v případě útoku.

Jelikož je bezpečnost aplikací a ochrana dat oblastí velice citlivou na jakékoliv úspěšně provedené útoky a úniky dat, cloudové služby se snaží nabízet vyšší úroveň zabezpečení. Pokud chtějí poskytovatelé uspět v konkurenčním boji, musí nabídnout řešení, které bude dostatečně chránit i data jejich zákazníků. Příklady bezpečnostních prvků, které jsou využívány v podobných službách, jsou zabezpečené API, DLP řešení, silné šifrování, časté a pravidelné aktualizace, patchování, logování a monitoring.

Provozovatel rozsáhlé cloudové infrastruktury má možnost vybudovat monitorovací systém a zlepšit odezvu na incidenty (od jejich detekce až po efektivní reakci na zjištěný incident). V neposlední řadě si může dovolit zaměstnat specialisty na konkrétní bezpečnostní hrozby.

Je zřejmé, že uvedené přínosy se spíš projeví u velkých poskytovatelů cloudových služeb. Jak to je v případě menších, lokálních dodavatelů? I v tomto případě je možné dosáhnout zlepšení, ale nezbývá než se ptát a požadovat detailní informace o veškerých využívaných technologiích a bezpečnostních procesech.

Rizika

Společnosti využívající cloudové služby se vystavují riziku výpadku služby, které může být způsobeno incidentem na straně poskytovatele nebo výpadkem síťového připojení. V případě, že se jedná o službu kritickou pro danou společnost, může docházet k finančním ztrátám.

Závažné riziko představuje ztráta manažerské kontroly nad zabezpečením systémů, infrastruktury dat a dalších prvků, které jsou součástí nabízených služeb. V tomto případě uživatel nemá možnost ovlivnit úroveň zabezpečení tak, jak byl zvyklý u interního řešení, a zejména v případě velkých poskytovatelů tahají zákazníci za kratší konec. Jistým řešením je vydávání certifikátů nebo využití nezávislých externích auditů, které osvědčují, že bezpečnost je řízena v souladu s dobrou praxí, případně je v souladu se zvoleným standardem. Další možností ověření úrovně zabezpečení jsou pak zákaznické audity, které někteří poskytovatelé umožňují.

Z bezpečnostního hlediska je vhodné si zvolit služby, které deklarují šifrování již na úrovni lokálního počítače. Tento přístup ovšem nenabízí velké množství poskytovatelů. U některých služeb, zejména typu IaaS a PaaS, mají uživatelé možnost si data sami zašifrovat ještě před přenosem do cloudu.

Dalším rizikem je nesoulad s požadavky legislativy, případně dalšími oborovými regulacemi. Uživatelé cloudových služeb zodpovídají za zajištění souladu s legislativou i po přenesení dat do cloudových služeb. Pokud je to možné, je vhodné ukotvit do smlouvy všechny relevantní požadavky regulátora.

Při přenosu dat do cloudového prostředí nelze opomenout, že datová centra jsou často umístněná mimo Českou republiku, v některých případech i mimo Evropskou unii. Nejčastějším případem, který je zde potřeba řešit, je ochrana osobních údajů. Tato oblast je s trochou námahy většinou dobře řešitelná. Někteří velcí poskytovatelé dokonce mají k dispozici vyjádření lokálního Úřadu na ochranu osobních údajů, že zpracování je v souladu s požadavky regulátora. Dalším příkladem je přenos dat do datových center umístěných ve Spojených státech amerických, kde je z pohledu Evropské unie ochrana osobních údajů nedostatečná. Toto platí zejména v případě, že daný poskytovatel se nezapojil do programu Privacy Shield, který státům Evropské unie zaručuje zvýšenou ochranu osobních údajů na americkém území. Velcí poskytovatelé cloudových služeb, jako jsou Microsoft, Amazon a Google, vytvářejí svá datová centra i v Evropě, a umožňují svým uživatelům např. omezit pohyb dat pouze po území Evropské unie.

Významným rizikem je, že data nemusí být v některých případech úplně odstraněna z disků provozovatele, např. z důvodu držení více kopií. Toto riziko se zvyšuje v případě multitenantního přístupu, kdy jeden prostor sdílí více uživatelů.

Společnosti, které využívají cloudové služby, se potýkají také s rizikem uváznutí (tzv. vendor lock-in). Důvodem je často velice organizačně i časově náročná a v některých případech téměř nemožná migrace na jiné cloudové služby. Pokud společnost přejde na cloudové služby, tak návrat zpět na on-premise řešení je obvykle ještě náročnější než přechod na službu jiného poskytovatele. Součástí tohoto rizika je také problém, kdy některé služby nemají vhodné alternativy, a tak jsou společnosti v těchto případech nuceni zůstat u svého poskytovatele, který si tak do jisté míry může diktovat podmínky a poplatky.

Mezi zranitelná místa cloudových služeb patří jejich webové rozhraní, které umožňuje přístup ke zdrojům. Pokud není dostatečně zabezpečeno, útočníci mohou zneužít některé známé zranitelnosti k získání zdrojů a dat z datových center poskytovatele.

Závěrem

Řízení bezpečnosti v cloudovém prostředí, stejně jako u každé jiné technologie, nabízí uživatelům mnoho výhod, ovšem přináší s sebou také značná rizika, nad kterými je třeba se zamyslet. Cloudové služby se vyznačují kvalitními bezpečnostními mechanismy, které jsou pro menší a střední společnosti prakticky nedostupné. Zároveň ovšem nelze opomenout bezpečnostní rizika, především ztrátu manažerské kontroly, výpadek nebo nedostupnost dodavatele a některé problémy spojené se zajišťováním compliance.

Martin Zbořil Autor článku působí v cybersecurity týmu PwC ČR a je studentem doktorandského studia na Fakultě informatiky a statistiky Vysoké školy ekonomické v Praze.