Bezprecedentní fenomén skloňovaný ve všech pádech, to je cloud computing, výpočetní model skýtající nejednu výhodu. Má vedle komerční sféry co nabídnout také sféře veřejné, především z hlediska bezpečnosti?
Cloud computing mění bezpečnostní situaci dat a aplikací. Nelze jednoznačně říct, zda je bezpečnější. Spíše dochází k posunu rizik, neboť se mění původ, charakter a výraznost možných hrozeb. Ostatně s každým modelem poskytování ICT služeb se pojí rizika - zvláště pokud dochází k vyčleňování dat a aplikací. Do velké míry závisí právě na bezpečnostních požadavcích, které jsou ve veřejné sféře opravdu přísné. Úřady by proto měly disponovat spolehlivou nabídkou metod kontroly rizik a prosazování bezpečnosti.
POZOR NA SLABÁ MÍSTA
Praxe ukazuje, že se odběr ICT služeb z cloudu může na úrovni bezpečnosti projevit velmi kladně. Mnoho uživatelů se nechce pravidelně ve vlastní režii zabývat řadou úkolů souvisejících s bezpečností, příp. se obává nákladů na jejich kvalitu. U cloudu se o tento aspekt starají jeho speciálně vyškolení správci.
Zvažuje-li úřad, město či obec využívání ICT služeb z cloudu, je nutno pečlivě uvážit bezpečnostní požadavky. Přitom má smysl porovnat rizika klasických IT prostředí s riziky cloud computingu. Skutečnost menšího stupně kontroly prostředí ICT (zde je otázka, zda by byl cloud přímo v rukou dané instituce či by se sáhlo po službách externího poskytovatele) se často automaticky zaměňuje s vyšším rizikem pro bezpečnost dat. Srovnání bezpečnostních scénářů ukazuje, že je tato domněnka špatným rádcem. Je též nutno brát v úvahu vliv ohrožení. Riziko vzniká teprve, když jsou ohrožena slabá místa a mohou způsobit reálnou škodu. Proto má velký význam řízení rizik a identifikace slabých míst.
Je třeba si zodpovědět otázku: Co se může přihodit? Dále je třeba zjistit, zda existují slabá místa - např. nekvalitní či nedokonalé ověřování identity před přístupem ke zdrojům ICT a datům nebo nedostatečná opatření datové bezpečnosti. Integrace bezpečnostních postupů je věcí poskytovatele služeb. Slabá místa nelze zjistit, aniž by byla posouzena technika a její použití, a bezpečnostní riziko může být vyhodnoceno, jen když uživatel vyčíslí potenciální škodu a její dopad.
UŽIVATELSKÁ A PŘÍSTUPOVÁ PRÁVA
Současné posuzování výhod a nevýhod cloud computingu se týká i právních otázek. Není-li známo, na kterém serveru se nacházejí data a aplikace, nelze např. dostát všem požadavkům zákona o ochraně dat.
Pro úřady veřejné správy je zásadní, aby jejich data a transakce byly přísně oddělovány od ostatních a neměl k nim přístup nikdo cizí. Obávají se například ztráty kontroly nad osobními daty občanů, nebezpečného či neúplného vymazání dat na serverech. Problém také může být v úrovni uživatelských práv nebo otevřených uživatelských rozhraní.
Zvláštní výzvou u cloud computingu jsou též přístupová práva. Jsou-li aplikace instalovány »někde« v cloudu, vyžaduje správa uživatelů a oprávnění jiná řešení než u běžných IT systémů. Je třeba centrálně implementovat přesahový bezpečnostní systém. Přístupem, zajišťujícím vyšší bezpečnost, je používání hardwarových identifikačních nástrojů typu hardwarových klíčů místo statických hesel. Příkladem jsou konvenční čipové karty nebo nástroje integrované v USB. Nesmíme též opomenout ani další implementovatelné bezpečnostní mechanismy, např. šifrování dat..
MICHAL STACHNÍK
manažer pro Českou a Slovenskou republiku VMware
Modely cloud computingu a jejich vliv na bezpečnost poskytování služeb
Veřejný cloud
U ICT služeb z veřejného cloudu jde o vysoce standardizovaná řešení, která se poskytují jako jeden produkt a jsou zpravidla hrazena podle používání. Příkladem jsou služby typu Mail, Office nebo Storage. Jsou veřejně a volně přístupné a uživatelé je odebírají přes internet. Stupeň virtualizace technicky vzato kolísá, tu a tam jsou používány dokonce dedikované (jednoúčelové) systémy. Na základě zaměření těchto nabídek však platí, že veřejný cloud většinou nemůže plnit požadavky veřejné sféry a není v žádném případě vhodný pro kritická data.
Privátní cloud
O privátním cloudu se hovoří v případě, kdy lze sloučit výpočetní kapacity v rámci jednoho subjektu (např. státu) a pružně je přiřadit požadavkům uživatelů. Tento cloud je zaměřen na plnění specifických požadavků subjektu (úřadu) a poskytuje ICT služby dynamicky podle potřeb. Zde bývá zaručena maximální bezpečnost.
Hybridní cloud
Nejběžnější formou cloud computingu v podnikové sféře je odběr zdrojů ICT z kombinace veřejného a privátního cloudu do hybridního cloudu. Tento model je přitom vhodný také pro veřejnou sféru - data, která mají být dostupná všem, lze skladovat ve veřejném cloudu, osobní data v cloudu privátním.
