Damian Szewczyk
Jak wyobrażasz sobie bezpieczeństwo? Każdy człowiek chce odczuwać ten komfort, ale w każdej części życia wygląda ono inaczej. Dzisiaj porozmawiamy o bezpieczeństwie w chmurze obliczeniowej. Temat wywołuje wiele kontrowersji i kłótni. Nie tylko w rozmowach face-to-face, ale również w social media. Podział zdań wynika z niewiedzy, kto powinien ponosić pełną odpowiedzialność oraz czy dostawcy usług chmurowych na pewno przestrzegają wszystkich zasad bezpieczeństwa.
W ramach tego, iż jesteśmy partnerem Amazon Web Services skupimy się na tym, jak wspomniany dostawca usług chmurowych definiuje termin bezpieczeństwo.
W celu zapewnienia jak najwyższego poziomu bezpieczeństwa AWS przestrzega wiele reguł. W swoich materiałach podkreśla, że utrzymanie bezpieczeństwa nie leży tylko po stronie dostawcy usług, ale również po stronie klienta, co nazywa modelem współdzielenia odpowiedzialności. Co oznacza ten termin? Dostawca chmury odpowiada za bezpieczeństwo chmury, a użytkownicy odpowiedzialni są za bezpieczeństwo w chmurze. Na pozór obydwa terminy są podobne i większość ludzi nie widzi różnicy. Jednak okazuje się, że różnic jest wiele, które poznać możesz w jednym z naszych poprzednich artykułów. (link)
Odpowiedzialność dostawcy chmury AWS polega na utrzymywaniu bezpieczeństwa w fizycznych serwerowniach, zachowaniu infrastruktury na wysokim poziomie oraz utrzymywaniu separacji pomiędzy użytkownikami na poziomie wirtualizacji. Ponosi również odpowiedzialność za jakość usług między innymi za aktualizację serwerów baz danych przechowywanych w chmurze oraz odpowiednie konfigurację bezpieczeństwa plików we wszystkich swoich usługach np.: Redshift, DynamoBD czy Elastic MapReduce.
Użytkownicy AWS odpowiedzialni są za bezpieczne korzystanie z usług. Oznacza to przede wszystkim właściwe konfiguracje usług. Budowanie serwerów z pełną świadomością, zabezpieczając tym samym poufne informacje przed niepożądanym przepływem danych. Nie bez przyczyny wyróżnia się trzy typy – chmury publiczne, prywatne oraz chmury hybrydowe. Każda z nich spełnia inne funkcję, które powinny być kategorycznie przestrzegane przez użytkowników.
Przetwarzanie danych w infrastrukturze chmurowej budzi wiele wątpliwości. Głównie odnoszą się one do pytań, czy nie bezpieczniejszym wyjściem jest lokalna serwerownia znajdująca się blisko siedziby firmy, niż użycie maszyn wirtualnych i ulokowanie danych w regionach, które są setki kilometrów dalej? Przed odpowiedzią na to pytanie, trzeba zastanowić się dlaczego dostawca usługi Amazon Web Services rozrzuciło swoje centra danych po całym świecie, a w każdym regionie istnieją minimum 2 tzw. Availability Zones. Pozwólcie, że pomożemy Ci odpowiedzieć na to pytanie.
Regiony jak i strefy rozmieszczone są w takich odległościach, aby każde z centrów danych miało innego dostawcę Internetu oraz w razie nieprzewidzianych wydarzeń było podatne na inne czynniki katastrof naturalnych. Jednocześnie odległości pomiędzy strefami nie stanowią przeszkód, aby zapewnić synchronizację danych w chwilach zagrożenia, zapewniając nieprzerywalny dostęp do usług. Takie rozmieszczenie dostarcza nam nie tylko bardzo wysoką trwałość bazy danych, ale również wysoką odporność na niekontrolowane czynniki wynikające z zachowania człowieka. Ochrona danych to priorytet każdego dostawcy usług w chmurze. Na mapie poniżej zostało przedstawione rozmieszczenie regionów. Pomarańczowe oznaczenia to już istniejące regiony, zielone – w trakcie tworzenia. W kółkach widoczne są cyfry – to liczba Availability Zones, w których przechowywane będą nasze dane w danym regionie.
Wybór regionu zależny jest tylko i wyłącznie od preferencji użytkownika chmury. Jako przyszły posiadacz chmury możesz kierować się różnymi czynnikami wyboru – ceną, odległością jaka dzieli Twoja firmę, a regionem, czy też dostępnymi usługami.
Dla niektórych przeszkodą do nieprzeskoczenia jest brak możliwości zobaczenia serwerów. Mając firmę, własną serwerownię, możesz spokojnie zobaczyć ogromne urządzenia, które stworzone są do przetrzymywania zasobów. Migrując pliki do chmury, nie możemy ujrzeć tego wizualnie. Jednak one nie „giną w przestrzeni”. Wszystko przenoszone jest w miejsce uzależnione od Twojego wyboru. Wyobrażasz sobie, że każdy klient, który decyduje się na chmurę chce pojechać do wybranej serwerowni i zobaczyć ją? Wprowadziłoby to chaos, a Twoje bezpieczeństwo byłoby niezwykle zagrożone.
Serwerownie AWS chronione są nie tylko przez liczne systemy antywłamaniowe, przeciwpożarowe czy przeciwpowodziowe. To również liczne, przeszkolone służby ochrony bezpieczeństwa. Do samym serwerowni dostępu nie mają nawet pracownicy. Jeśli jednak wejście jest niezbędne to każde z nich musi być odpowiednio udokumentowane, a pracownicy wprowadzani są do budynku w eskorcie ochrony. Czy Twoje firmowe serwerownie również są tak chronione? Czy naprawdę nikt do nich nie ma dostępu do centrum danych, a sztab ochroniarzy czuwa 24 godziny na dobę przez cały rok?
Jeszcze niedawno każdy przedsiębiorca na słowo „RODO” dostawał dreszczy. Skomplikowane procedury, przez które wielu przedsiębiorców rezygnowało ze swoich pomysłów. Czy w przypadku chmury jest tak samo? Powinniśmy zrezygnować z możliwości korzystania z chmury, ponieważ RODO ma do tego obiekcje? Na szczęście, żadne z tych pytań nie posiada twierdzącej odpowiedzi.
Amazon Web Services zapewnia, że przechowywanie danych w chmurze jest całkowicie zgodne z europejskim rozporządzaniem. Firma stosuje skuteczne środki techniczne i organizacyjne dla podmiotów przetwarzających dane w celu ochrony danych osobowych zgodnie z RODO. Przetwarzanie danych jest szyfrowane, monitorowane, kontrolowane z zachowaniem pełnej prywatności danych. Ponadto AWS oferuje usługi i funkcje, które pomagają spełnić wymagania RODO.
Problemem nie będzie nawet lokalizacja centrum danych poza granicami Unii Europejskiej. AWS posiada certyfikat EU-US Privacy Shield. Zasady regulują system przepływu informacji handlowych pomiędzy Unią Europejską i Stanami Zjednoczonymi. Zwracają uwagę, jak firmy chronią i przetwarzają nasze dane osobowe.
Przeczytać więcej na ten temat możesz na oficjalnej stronie AWS -> czytaj więcej.
Przechowywanie danych w chmurze, jak i na hostingu, VPS’ie czy na serwerze dedykowanym wiąże się z pewnym ryzykiem. Atakiem DDoS. Wraz z wielkim rozwinięciem działań technologicznych idą umiejętności hakerskie. Mimo wielu zabezpieczeń, nasze zasoby mogą być zawsze w cieniu zagrożenia.
Jak przed złośliwym oprogramowaniem zabezpiecza swoich użytkowników AWS?
Każde konto zabezpieczone jest przez usługę AWS Shield, chroniąca wszystkie aplikacje działające w chmurze. Aby skorzystać z ochrony DDoS, nie ma potrzeby aktywnego wsparcia zespołu AWS. Usługa posiada automatyczne wbudowane ograniczenia, które minimalizują opóźnienia i przestoje Twoich plików. Istnieją dwa modele usługi – Standard oraz Advanced.
Bez dodatkowych opłat klienci mogą korzystać z automatycznych zabezpieczeń AWS Shield Standard. Chroni ona przez atakami DDoS sieci atakującymi stronę internetową bądź aplikację. W połączeniu AWS Shield Standard z Amazon Route 53 oraz Amazon CloudFront otrzymujemy skompleksowaną ochronę przed wszystkimi znanymi atakami infrastrukturalnymi.
Druga opcja – Advanced dostępna jest dla aplikacji działających na Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator i Amazon Route 53. Dodatkowymi zaletami usługi Advanced jest dodatkowe wykrywanie i łagodzenie dużych ataków DDoS oraz możliwość monitorowania w czasie rzeczywistym ataku. Atutem płatnej usługi jest całodobowy dostęp do zespołu reagowania DDoS.
Jak opisaliśmy wyżej, AWS to miejsce, z którego dane nie mają prawa „zginąć”. Istnieją jednak dodatkowe zabezpieczenia, którymi możesz chronić swoją prywatność jeszcze bardziej. Jedną z nich, która została przygotowana przez Amazon jest AWS Security Hub. Usługa daje nam możliwość stworzenia pulpitu nawigacyjnego, na którym możemy sprawdzić wszystkie alerty i zaistniałe problemy na wszystkich kontach AWS. Do dyspozycji mamy takie narzędzia bezpieczeństwa jak: zapory ogniowe, ochrona punktów końcowych po skanery podatności oraz skanery zgodności. Złożoność usługi zapewnia nam bezpieczeństwo na najwyższym poziomie, nawet przy korzystaniu z konta AWS przez kilkunastu pracowników. Ułatwia pracę, bo każdy występujący problem, niezależnie od konta będzie występował w jednym panelu, któremu zostaje nadany odpowiedni priorytet. Według lidera AWS występują trzy największe korzyści korzystania z tego rozwiązania. Po pierwsze oszczędność czasu. Po drugie mamy wgląd w to co się dzieje na naszym koncie i szybko możemy reagować. Trzecią zaletą jest możliwość uruchomiania automatycznych kontroli konfiguracji.
Mimo wielu ostrzeżeń, użytkownicy Internetu nie zawsze są ostrożni. Często bagatelizują bezpieczeństwo i uważają, że to dostawca wybranej usługi za wszystko jest odpowiedzialny. Jak wspomnieliśmy wcześniej, AWS podkreślił, że „odpowiedzialność jest współdzielona”. W wyniku tego, jeśli błąd będzie leżał po Twojej stronie, jeśli nie miałeś kopii zapasowej, nie możesz spodziewać się, że utracone dane zostaną przywrócone, nie dostaną się w niepowołane ręce bądź dostaniesz rekompensatę za poniesione straty. Warto jest wiedzieć, jakich elementów pilnować, aby bezpieczeństwo w chmurze utrzymać na bardzo wysokim poziomie. Oto kilka rad przygotowanych specjalnie dla Ciebie:
A Ty jakie masz zdanie na temat bezpieczeństwa w chmurze?
