Bezpieczeństwo zasobów IT w modelu outsourcingowym (część III)
Ochrona zasobów przed niepowołanym dostępem od samego początku budzi kontrowersje, zwłaszcza jeśli chodzi o usługi chmurowe. Jedni wskazują, że korzystanie z nich to wystawianie się „na strzał”, inni zaś, że usługodawca, dysponujący wykwalifikowanymi ekspertami, jest w stanie zdecydowanie lepiej zabezpieczyć swoją infrastrukturę niż niejeden administrator. Rację mają ci drudzy, ale faktem jest, że poziom ochrony środowiska IT różni się w zależności od modelu świadczenia usług outsourcingu IT.
Doświadczenie ostatnich kilkudziesięciu lat mówi wyraźnie: nie ma systemu, do którego nie można się włamać. Ale można znacznie ograniczyć prawdopodobieństwo takiego incydentu. Dzięki odpowiedniemu zarządzaniu ryzykiem operator różnych usług chmurowych może wpływać na poziom ich bezpieczeństwa. Zresztą niekoniecznie musi dotyczyć ono wyłącznie kwestii związanych z wyciekiem bądź nieuprawnioną modyfikacją danych. Firmy powinny także dbać o bezpieczeństwo biznesowe, a więc gwarantowaną wysoką dostępność i ciągłość pracy środowiska IT, a także wykonywanie zapasowych kopii danych.
Serwer współdzielony
Na serwerach współdzielonych najczęściej hostowane są strony internetowe. Sprowadza to na nie duże ryzyko zagrożenia ciągłości dostępu. Bowiem gdy zostanie zaatakowana jedna strona, skutki mogą „rozlać się” na pozostałe, hostowane na tym samym serwerze. Często strony te są dostępne pod tym samym adresem IP (domena witryny prowadzi do konkretnego katalogu na serwerze).
W przypadku podjętego ataku DDoS, polegającego na równoczesnym wysyłaniu żądań otwarcia strony przez miliony komputerów zarażonych złośliwym oprogramowaniem, niedostępne mogą się stać wszystkie hostowane na danym serwerze witryny. W tej sytuacji środki bezpieczeństwa zastosowane do własnej strony internetowej lub innej usługi mogą być niewystarczające, pozostaje liczyć na to, że operator centrum danych stosuje własne, zaawansowane narzędzia do ochrony przed atakami DDoS.
Co więcej, używanie tego samego adresu IP w przypadku hostingu współdzielonego ma jeszcze jedną konsekwencję. Jeżeli jedna z utrzymywanych na danym serwerze stron zaangażuje się w złe praktyki, jak wysyłanie spamu lub udostępnianie nielegalnych treści, może to spowodować umieszczenie całego serwera na czarnych listach, a w konsekwencji zablokowanie w serwisach reputacyjnych lub obniżenie pozycji w rankingach wyszukiwarek.
Wirtualny serwer prywatny (VPS)
W przypadku wirtualnych serwerów prywatnych poziom separacji od sąsiadów jest znacznie większy od środowisk współdzielonych. Także w tym modelu wiele VPS-ów funkcjonuje na jednym fizycznym serwerze, ale prawdopodobieństwo negatywnego wpływu funkcjonowania jednego na drugi jest bardzo małe. Z reguły każdy wirtualny serwer ma też inny zewnętrzny adres IP, dzięki czemu wyeliminowane jest ryzyko opisanej wcześniej „odpowiedzialności zbiorowej” za postępowanie administratora jednego z takich serwerów.
Oczywiście nadal teoretycznie możliwe jest zaatakowanie fizycznego serwera oraz oprogramowania (hypervisora), które zarządza całym wirtualnym środowiskiem. Narzędzia te są jednak znacznie lepiej zabezpieczone niż ma to miejsce w zwykłym współdzielonym modelu, więc ryzyko takiego wydarzenia jest bardzo małe. Za bezpieczeństwo wewnątrz prywatnego serwera odpowiada natomiast administrator (podobnie jak w przypadku serwerów dedykowanych, o czym za chwilę), więc to od jego kwalifikacji zależy na ile zminimalizuje prawdopodobieństwo włamania lub utraty danych.
Serwer dedykowany
Zabezpieczenie serwerów dedykowanych może być o wiele skuteczniejsze niż w przypadku rozwiązań współdzielonych. Są one w pełni odseparowane od innych rozwiązań, a administratorzy zyskują pełną kontrolę, co jednak wymaga od nich rozbudowanych kwalifikacji. Konieczne jest też zdefiniowanie procedur, które mogą mieć wpływ ma bezpieczeństwo danych i ich ochronę przed utratą. To administrator bowiem jest odpowiedzialny za wykonywanie backupów czy aktualizację systemów operacyjnych i oprogramowania.
Natomiast cały czas trzeba też pamiętać, że takie serwery podłączone są do internetowej infrastruktury operatora centrum danych. Dlatego należy upewnić się, że – oprócz bezpieczeństwa sieciowego – gwarantuje on ciągłość zasilania obiektu oraz ochronę przed zakrojonymi na szeroką skalę atakami DDoS.
Chmura obliczeniowa
Usługi w chmurze są najbezpieczniejszą formą korzystania z hostingu świadczonego przez zewnętrznego operatora. To on dba o zagwarantowanie ciągłości pracy sprzętu, oprogramowania narzędziowego i platformy umożliwiającej elastyczne zarządzanie udostępnianymi klientowi usługami. Wreszcie, to on bierze na siebie ryzyko biznesowe projektu – ponieważ użytkownik ma przywilej płacenia wyłącznie za wykorzystane zasoby, co jest najbardziej efektywną finansowo formą rozliczania się, to w gestii usługodawcy jest zagwarantowanie klientowi odpowiedniej ilości mocy obliczeniowej i przestrzeni dyskowej, a także oczekiwanych przez niego aplikacji.
Zapraszamy też do lektury pierwszych dwóch artykułów z tego cyklu: