Artykuły

Jak przenieść się do chmury – bezpieczeństwo centrum danych

Na czym polegają standardy bezpieczeństwa centrów danych używane przez dostawców usług chmurowych? Jak rozumieć oznaczenia literowe, liczbowe, poziomy i czym różnią się poszczególne kategorie? Omawiamy i wyjaśniamy. Standardy i klasyfikacje Dzisiaj omówię podstawowe i najczęściej stosowane przez dostawców pojęcia w zakresie prezentowania bezpieczeństwa centrów danych i co one w praktyce oznaczają. Najbardziej rozpoznawalne są standardy dla centrów danych wypracowane przez Uptime Institute oraz Stowarzyszenie Przemysłu Telekomunikacyjnego (Telecommunications Industry Association, TIA) i właśnie na tych skoncentruję się w artykule. Dodatkowo omówię jeszcze inne standardy, na które powołują się dostawcy m.in. SSAE 16 (dawny SAS 70), ISAE 3402, SOC1 i SOC2. Klasyfikacja Czytaj dalej

Interoperacyjność i przenaszalność – jak uniezależnić się od dostawcy

Zgodnie z zasadą Pareto 80% dochodu generuje 20% klientów, stąd dla każdego z dostawców ich utrzymanie jest kluczową kwestią. Służą temu różne programy lojalnościowe, ciągłe doskonalenie usług czy produktów, przywiązanie do marki itd. Nie ma w tym nic złego, jeśli nie ogranicza swobody klienta. Często jednak spotykamy się z praktykami mającymi na celu uzależnienie od dostawcy i konieczności korzystania tylko z jego produktów lub usług. Mówimy wtedy o zjawisku vendor lock-in, występującym również w przypadku usług  chmurowych. W artykule opiszę kilka wskazówek, jak uniknąć zagrożeń i nie dać się złapać w pułapkę uzależnienia. Podstawowe pojęcia Vendor lock-in – uzależnienie od Czytaj dalej

Jak bezpiecznie przenieść się do chmury – szyfrowanie danych

Jedną z najczęściej przez nas spotykanych obaw przed migracją do chmury jest troska o poufność przechowywanych tam informacji. Na szczęście jest to problem, który pomaga rozwiązać odpowiednio użyta kryptografia. Mechanizmy kryptografii stanowią bardzo uniwersalne narzędzie osiągania poufności (ochrona przed nieautoryzowanym dostępem), integralności (spójności – ochrona przed nieautoryzowanymi zmianami), uwierzytelnienia (potwierdzenie zadeklarowanej tożsamości) czy niezaprzeczalności (ochrona przed zaprzeczeniem wykonania operacji). O ich wykorzystaniu w procesie uwierzytelnienia wspomniałem w jednym z poprzednich odcinkówcyklu.  W tym skupię się na zastosowaniu ich do ochrony danych przechowywanych (data at rest)  i w trakcie przesyłu (data in transit) w chmurze.   Podstawowe definicje Szyfrowanie – metoda Czytaj dalej

Jak przenieść się do chmury – bezpieczeństwo środowiska wirtualnego

Przeniesienie się do chmury w wielu przypadkach oznacza wykorzystanie w znaczącym stopniu mechanizmów wirtualizacji. Warto znać ich charakterystykę oraz możliwe zagrożenia z nimi związane, by odpowiednio obronić swoje zasoby. Koncepcja wirtualizacji miała swój początek w 1960 roku wraz z rozwojem IBM System/360 model 67. W ostatniej dekadzie stała się fundamentem w rozwoju usług chmurowych. Oprócz niewątpliwych korzyści generuje też ryzyka, jak każda technologia. W dzisiejszym artykule omówimy, jakie są zagrożenia i najlepsze praktyki w kontekście bezpieczeństwa środowiska wirtualnego w chmurze. Zaczniemy od zagrożeń – a na końcu znajdziecie przegląd technik zabezpieczeń. Warto jednocześnie zauważyć, że dbanie o bezpieczeństwo środowisk wirtualizacyjnych Czytaj dalej

Jak bezpiecznie przenieść się do chmury – przygotowanie na wielką awarię

W nowym odcinku z cyklu “Jak bezpiecznie przenieść się do chmury” omówimy sytuację, której nie życzymy ani dostawcom usług chmurowych, ani ich klientom – ale na którą warto się przygotować. Wprowadzenie – wyprawa w chmury Przedstawiając zagadnienie ciągłości działania lubię posługiwać się przykładem Roberta Falcon Scotta i Roalda Amundsena w wyścigu o zdobycie bieguna południowego. Ponad 100 lat temu tych dwóch śmiałków rywalizowało ze sobą w ekstremalnym środowisku. Różniło ich podejście do osiągania celu i przetrwania w trudnych warunkach. Amundsen opierał się na sprawdzonych już wcześniej rozwiązaniach, dobrym rozpoznaniu terenu i panujących warunków oraz symulowaniu sytuacji kryzysowych, w których mógł Czytaj dalej

Chmura i kontrola dostępu – jak wdrożyć i zarządzać uprawnieniami

Kontrola dostępu W poprzednim odcinku z cyklu Jak bezpiecznie przenieść się do chmury przedstawione zostały podstawowe pojęcia i modele związane z zarządzanie tożsamością w modelu cloud computing. W tym artykule obszar ten zostanie uzupełniony o charakterystykę modeli kontroli dostępu wykorzystywanych w systemach informatycznych oraz opis ich zalet i ograniczeń w kontekście usług chmurowych. Kontrola dostępu rozumiana jest jako proces, który określa czy dany podmiot ma uprawnienia do dostępu, korzystania czy modyfikacji zasobu. Obejmuje sprawowanie nadzoru nad tym, którzy uczestnicy (osoby, procesy, maszyny, itd.) i na jakich zasadach mają dostęp do poszczególnych zasobów systemu komputerowego, na czym ten dostęp polega, w Czytaj dalej

Jak bezpiecznie przenieść się do chmury – zarządzanie tożsamością

W nowym odcinku z cyklu “Jak bezpiecznie przenieść się do chmury” omówimy model Federated Identity czyli po staropolsku federacyjnego zarządzania tożsamością oraz porównamy najczęściej wykorzystywane standardy. Zarządzanie tożsamością w chmurze oraz porównanie standardów Zarządzanie tożsamością nawet w wewnętrznej sieci LAN może być koszmarem. W przypadku korzystania z usług chmurowych wielu dostawców, zapamiętanie wszystkich danych potrzebnych do logowania może stać się koszmarem do kwadratu. W celu ułatwienia zarządzania tożsamością w wielu rozproszonych systemach informatycznych powstał model nazwany Federated Identity wykorzystujący wielu otwartych standardów i frameworków. Zanim omówimy go bardziej szczegółowo trzeba przedstawić kilka podstawowych definicji i pojęć. Autoryzacja vs uwierzytelnienie Uwierzytelnienie Czytaj dalej

Jak bezpiecznie przenieść się do chmury – audyt i testy w chmurze

W nowym odcinku z cyklu “Jak bezpiecznie przenieść się do chmury” będziemy opowiadać o tym, jakie standardy bezpieczeństwa powinna spełniać usługa chmurowa i jak możemy sprawdzić, czy te standardy faktycznie spełnia. W tym odcinku cyklu zaprezentuję kilka sposobów i technik weryfikacji czy usługa chmurowa spełnia nasze wymagania w zakresie bezpieczeństwa. W pierwszej części skupię się na audycie przedstawiając praktyki, standardy i narzędzia opracowane przez międzynarodowe organizacje m.in. CSA, ISACA, DMTF. W drugiej części opiszę co możemy zrobić w chmurze w ramach testów bezpieczeństwa, jakie są ograniczenia i możliwości oraz o jakie zapisy umowne należy zadbać. Audyt w modelu cloud computing Czytaj dalej

Jak bezpiecznie przenieść się do chmury – wymagania prawne

W nowym odcinku z cyklu “Jak bezpiecznie przenieść się do chmury” będziemy opowiadać o tym, jak nie popełnić podstawowych błędów oraz jak zrobić to zgodnie z przepisami prawa, normami i standardami. GRC – co to takiego Ryzyko prawne jest ważnym elementem GRC: Governance, Risk Management, Compliance (Ład Korporacyjny, Zarządzanie Ryzykiem, Zgodność). Co to takiego i dlaczego jest ważne? Governance (zarządzanie i nadzór) to zasady, dobre praktyki i normy przyjęte przez daną firmę i określające sposób w jaki organizacja jest zarządzana oraz jak reaguje na ryzyka, jaki poziom ryzyka określa jako akceptowalny oraz jak ryzykami zarządza. Risk Management (zarządzanie ryzykiem) to metoda Czytaj dalej

Jak bezpiecznie przenieść się do chmury – cykl artykułów na Zaufana Trzecia Strona

Razem z Z3s i Aruba Cloud przygotowujemy cykl artykułów i webinarów Wprowadzenie Pomimo znacznego rozwoju rynku cloud computing i przełamywania kolejnych barier i wątpliwości wśród konsumentów, polskie firmy i instytucje wciąż zachowują dystans wobec chmury obliczeniowej pomimo, że dostrzegają wiele korzyści, które wnosi ta technologia. W ostatnich badaniach  respondenci wskazują na te same obawy utrudniające adaptację chmury jak w 2011 roku kiedy szum medialny wokół modelu cloud computing był największy: ogólne ryzyka związane z bezpieczeństwem, integracja z istniejącymi środowiskami IT, ryzyka związane z utratą i wyciekiem danych, spełnienie wymagań regulatora i ustawodawcy, utrata kontroli, złożoność zarządzania, potencjalne komplikacje w zarządzaniu, Czytaj dalej