Chmura obliczeniowa jest na kolejnym etapie rozwoju. Zapewne w dużej mierze będzie wpływać na przyszłość IT. Ważne, aby wszyscy mieli świadomość, że model cloud computing opiera się na współpracy, której fundamenty stanowią: otwartość, przejrzystość i zaufanie. Dotyczy to w równym stopniu obu stron „chmurowej relacji”: dostawców i klientów. O wyzwaniach związanych z bezpieczeństwem środowisk chmurowych mówi Daniel Catteddu, Chief Technology Officer w Cloud Security Alliance.

Jak będzie wyglądała przyszłość chmury obliczeniowej? Które ze współczesnych trendów i zjawisk będą miały największy wpływ na jej rozwój?

Trudno przewidzieć przyszłość, ale byłbym gotów postawić własne pieniądze na sztuczną inteligencję. Uważam, że będzie ona miała kluczowe znaczenie dla bezpieczeństwa chmury.

Ludzie nie są w stanie zrozumieć wielkich liczb. Mamy też ogromne problemy ze zrozumieniem zagadnień o wysokiej złożoności. Dlatego w zakresie analiz musimy polegać na maszynach. Weźmy na przykład przeszukiwanie logów albo analizowanie zdarzeń w obszarze bezpieczeństwa. Nawet jeśli zatrudnimy najlepszych na świecie ekspertów, to bez odpowiedniego wsparcia maszyn nie będziemy w stanie w pełni wykorzystać potencjału czystych, nieprzetworzonych danych.

Jako ludzie mamy skłonności do widzenia rzeczywistości i interpretowania danych w określony sposób. Maszyny nie mają założeń wstępnych ani przesądów. Inteligentny program jest w stanie przedstawić na podstawie analizy danych wnioski, do których jako ludzie nigdy byśmy nie dotarli. To przełoży się na wzrost bezpieczeństwa, choćby poprzez wyeliminowanie błędów ludzkich. Oczywiście, jest i druga strona medalu: maszyny będą pracować także dla przestępców, co oznacza, że będziemy mieli do czynienia z nowymi rodzajami ataków.

Co jest dzisiaj największym wyzwaniem dla specjalistów od bezpieczeństwa? Z czym będziemy musieli się zmierzyć, zanim pojawią się nowe rodzaje ataków? Jak powinniśmy się na nie przygotować?

Współczesne problemy wynikają przede wszystkim z tego, że cyberprzestępczość stała się przemysłem. Nie mamy już do czynienia ze stosunkowo nieliczną grupą wysoko wykwalifikowanych „ekspertów” i masą script kiddies. Dzisiaj mamy zorganizowane grupy przestępcze, a także zespoły sponsorowane przez państwa. Do tego dochodzą złe nawyki użytkowników. Przykładowo nadal – poza wąskimi środowiskami – uwierzytelnianie dwuskładnikowe nie jest odpowiednio spopularyzowane.

Trzeba mieć świadomość, że dojdzie do naruszenia bezpieczeństwa. I być na to przygotowanym. Skoro dotyka to największe, najbogatsze, najbardziej zaawansowane technicznie organizacje, to może dotknąć każdego. Nikt nie jest w stanie w pełni się zabezpieczyć. Dlatego trzeba być przygotowanym i wiedzieć, co zrobimy, kiedy dojdzie do ataku. Mechanizmy reagowania nabierają jeszcze większego znaczenia w kontekście unijnego rozporządzenia o ochronie danych osobowych (GDPR). Wysokość potencjalnych kar powinna dawać do myślenia…

Nie ma wypracowanych standardów podziału odpowiedzialności. Decyduje kontrakt. To on precyzyjnie określa, a przynajmniej powinien, jaka część odpowiedzialności spoczywa na kliencie, a jaka na dostawcy chmury.

Jakie konkretnie kroki należy podjąć dla zapewnienia bezpieczeństwa swoich zasobów w chmurze?

Musimy mieć świadomość, że dostawca chmury stanowi rozszerzenie firmowego centrum danych. Dlatego niezwykle ważne jest, aby współpraca opierała się na otwartości i przejrzystości. To nowość. Wcześniejsze modele nie wymagały tego w takim stopniu, jak potrzebne jest obecnie. Działanie chmury opiera się na współpracy. Przejrzystość znacznie ją ułatwia zarówno od strony klienta, jak i dostawcy. Dlatego potrzebny jest nowy model zaufania.

Należy mieć także świadomość, że przenosząc swoje IT do chmury, nie pozbywamy się za nie odpowiedzialności. Przekazujemy ją dostawcy tylko w części, w proporcjach zależnych od wybranego modelu współpracy. W przypadku infrastruktury usługowej (IaaS) odpowiedzialność nadal w większym zakresie spoczywa na kliencie. Dopiero w modelu Software as a Service (SaaS) przechodzi w znacznym stopniu na dostawcę.

Nie ma jednak w tym zakresie wypracowanych standardów. Kluczowe znaczenie ma kontrakt. To on reguluje, a przynajmniej powinien precyzyjnie regulować, jaka część odpowiedzialności spoczywa na kliencie, a jaka na dostawcy.

Sztuczna inteligencja będzie miała kluczowe znaczenie dla bezpieczeństwa chmury. Jest jednak i druga strona medalu: maszyny będą pracować także dla przestępców, co oznacza, że będziemy mieli do czynienia z nowymi rodzajami ataków.

Na ile pomocne są w tym przypadku standardy technologiczne?

Na pewno pomagają, ale nie rozwiązują wszystkich problemów. Główny polega na tym, że tych standardów jest tak dużo, iż same zaczynają stanowić większy problem niż wynikające z nich korzyści.

Zgodność z regulacjami to nie jest bezpieczeństwo. Tymczasem większość budżetów IT zjada właśnie zapewnianie zgodności. W wielu organizacjach 70% budżetu na bezpieczeństwo konsumowane jest w związku z działaniami poświęconymi zapewnianiu zgodności z regulacjami. Na faktyczne bezpieczeństwo IT przeznacza się zaledwie pozostałe 30% środków. Zapewnianie zgodności nie przekłada się jednak wprost na wzrost bezpieczeństwa. To jedynie pokazywanie innym, że wykonujemy nasze obowiązki poprawnie. Konieczna jest zmiana tych proporcji.

Warto konsolidować wymagania i standardy. Trzeba próbować zrozumieć, gdzie się pokrywają różne standardy. Można uniknąć wielokrotnego przechodzenia przez procedury certyfikacyjne i audyty, które – jak się okazuje przy bliższej analizie – w 80% pokrywają się ze sobą. Branża powinna wyjaśniać regulatorom, że istnieje rozsądna granica, ile razy trzeba robić audyt.

Zapewnianie zgodności z regulacjami nie przekłada się wprost na wzrost bezpieczeństwa. To jedynie pokazywanie innym, że wykonujemy nasze obowiązki poprawnie. Tymczasem główna część budżetów IT przeznaczana jest na zapewnienie zgodności.

Jak wypracowywane przez CSA rozwiązania mogą pomóc w osiągnięciu optymalnych działań na rzecz bezpieczeństwa chmury?

Program CSA STAR ma ułatwić budowanie zaufania i zwiększać bezpieczeństwo. Opiera się na założeniach metaframeworku Cloud Controls Matrix (CCM) bazującego z kolei na czołowych standardach, najlepszych praktykach i obowiązujących regulacjach. CCM dostarcza informacji o tym, co należy zrobić w zakresie ochrony informacji w środowiskach chmurowych. Natomiast jak to zrobić, zostało opisane w dokumencie CSA Security Guidance for Critical Areas of Focus in Cloud Computing v. 4.0. To zbiór wytycznych, a zarazem inspiracji umożliwiających wspieranie inicjatyw biznesowych przy jednoczesnym zarządzaniu ryzykiem związanym z wykorzystaniem technologii typu cloud i ograniczaniu tego ryzyka.

Wkrótce opublikowany zostanie także dokument „Privacy Level Agreement Code of Conduct”. Będzie to znakomite narzędzie dla użytkowników chmury, żeby lepiej zrozumieć wysiłki dostawców i zwiększyć wzajemne zaufanie między obiema stronami.

Narzędzia są ważne, ale kluczowe znaczenie ma edukacja. W obszarze chmury obliczeniowej, ze względu na złożoność materii i szybko zachodzące zmiany, trzeba nieustannie pogłębiać posiadane informacje i się szkolić. Wprawdzie CSA nie dostarcza bezpośrednio szkoleń czy usług audytorskich, ale budujemy ekosystem partnerów, którzy tworzą biznes, opierając się na wypracowanej przez nas własności intelektualnej.

 Cloud Security Alliance (CSA) to organizacja zajmująca się tworzeniem i promowaniem najlepszych praktyk w obszarze chmury obliczeniowej, dzięki którym środowiska cloud computingu będą bardziej bezpieczne. Nadrzędnym celem CSA jest działanie na rzecz odpowiedniego przygotowania wszystkich zarówno do oferowania usług chmurowych, jak i korzystania z chmury.

CSA prowadzi badania koncentrujące się na zagadnieniach bezpieczeństwa chmury. Na podstawie wyników tworzy produkty i programy edukacyjne, certyfikuje i organizuje konferencje. Prace badawcze i inne formy aktywności rozwojowej prowadzone są we współpracy z przedstawicielami branży IT, uczelniami oraz rządami wielu państw. CSA działa także jako inkubator standardów, blisko współpracując z organizacją standaryzacyjną ISO.

„Działamy na rzecz całego środowiska cloud, wszystkich jego uczestników – dużych i małych dostawców oraz klientów, wśród których jest zarówno administracja publiczna, jak i biznes. Dajemy możliwości wymiany informacji i idei, udostępniamy narzędzia oraz ułatwiamy współpracę między wszystkim uczestnikami globalnego środowiska, którym zależy na bezpieczeństwie rozwiązań chmurowych” – mówi Daniel Catteddu.

CSA oferuje program certyfikacyjny (STAR – Security, Trust & Assurance Registry) dla dostawców chmury. W 2010 r. organizacja wprowadziła CCSK, pierwszy na rynku certyfikat dla użytkowników potwierdzający kompetencje w zakresie bezpieczeństwa chmury obliczeniowej.

 Daniel Catteddu odpowiada za wdrażanie strategii technologicznej CSA w zakresie badań, edukacji, standardów, produktów i usług oferowanych członkom organizacji. Jego zadaniem jest identyfikowanie trendów, nowych regulacji i zmian zachowań użytkowników oraz wpływu tych zjawisk na bezpieczeństwo IT, jak również działania podejmowane przez CSA. Jest także przewodniczącym komitetu Futures Advisory Committee, w którego ramach prowadzone są dyskusje, jak będzie wyglądała przyszłość chmury.