Kai 2019 m. IT tyrimų ir konsultacijų milžinė „Gartner“ prognozavo, kad šiemet pasaulinė debesų kompiuterijos rinka, lyginant su 2019 m., paaugs 20 proc. – iki 225, 3 mlrd. eurų, COVID-19 ir pandemijos situacijos dar niekas negalėjo numatyti. Dabar, kai duomenų ir sistemų prieinamumas tampa pagrindiniu akstinu kuo skubiau keltis į „debesis“, debesų kompiuterijos rinkai dar šiemet žadamas augimas mažiausiai iki 279 mlrd. eurų.

Debesų kompiuterijos paslaugoms tampant vis svarbesne IT gyvenimo dalimi daugelyje organizacijų, grįžtama prie teisinių bei praktinių persikėlimo į „debesis“ klausimų – pirmiausia, susijusių su duomenų saugumu ir kitomis debesų kompiuterijos tiekėjo atsakomybėmis. Ką naudinga žinoti apie kliento ir debesų kompiuterijos tiekėjo atsakomybes, ir būdus, kurie padidina duomenų saugumą, – pasakoja „Blue Bridge” IT paslaugų vadybininkas Rokas Ališauskas.

„Debesies“ saugumas nėra lygus saugumui „debesyje“

Rokas Ališauskas

Rokas Ališauskas, „Blue Bridge”

Nepriklausomai nuo to, ar planuojate įsigyti vietinio ar pasaulinio debesų kompiuterijos tiekėjo paslaugas, baziniai atsakomybės pasiskirstymo principai yra gana panašūs, pastebi Rokas Ališauskas. Pavyzdžiui, debesų kompiuterijos pasaulinės rinkos lyderis – Amazon Web Services (AWS) – savo Bendros atsakomybės modelį (angl. Shared Responsibility Model) tarp kliento ir tiekėjo paaiškina per skirtumą tarp saugumo „debesyje“ ir „debesies“ saugumo.

„Toks apibrėžimas paaiškina, kad klientas yra atsakingas už tai, kas vyksta „debesyje“, pavyzdžiui, už savo duomenų, esančių sistemose, saugumą. O štai „debesies“ arba, kitaip sakant, fizinis duomenų centro saugumas – tiekėjo atsakomybė“, – sako pašnekovas ir priduria, kad „debesies“ saugumas pirmiausia reiškia fizinį serverių, virtualizacijos platformos, duomenų saugyklų, duomenų centro tinklo ir duomenų centre naudojamos programinės įrangos, skirtos teikti debesų kompiuterijos paslaugas, saugumą.

„Fizinis įrenginių, esančių duomenų centre, saugumas – aiški tiekėjo atsakomybė ir dėl jos didesnių nesklandumų nekyla. Pavyzdžiui, „Blue Bridge“ duomenų centre, užtikrinant šios srities saugumą, įrengta gaisro gesinimo sistema, drėgmės kontrolės ir dubliuota aušinimo sistema. Tačiau klausimų gali kelti programinės įrangos paminėjimas, tad reikėtų paaiškinti, kad kalbama apie duomenų centre naudojamas programas, pavyzdžiui, virtualizacijos platformos ar rezervinio kopijavimo programinę įrangą. Praktiškai tai reiškia, kad IT tiekėjas garantuoja, kad jo naudojamos programos yra patikimos, reguliariai atnaujinamos ir t. t.“, – komentuoja „Blue Bridge” IT paslaugų vadybininkas.

Patikimas sistemų veikimas arba pagrindinė tiekėjo atsakomybė

Vis dėlto svarbiausia atsakomybė IT tiekėjo atsakomybių lauke – patikimas kliento sistemų veikimas. Ši atsakomybė apibrėžiama SLA (paslaugų lygio susitarimas, angl. Service Level Agreement) per tokius rodiklius, kaip virtualių resursų atstatymo laikas IT nelaimės atveju, atsarginių duomenų kopijų kūrimo periodiškumas, reakcijos laikas kritinio sutrikimo atveju ir t. t. Siekdamas įgyvendinti šią atsakomybę, IT paslaugų tiekėjas gali pasitelkti tokias priemones kaip serverių apjungimas į telkinius, leidžiantis išvengti problemų, kurias gali sukelti pavienės IT fizinės įrangos gedimai.

Dažnai į IT tiekėjų atsakomybes patenka ir rezervinis duomenų kopijavimas. Ši paslauga irgi susijusi su sistemų patikimo veikimo užtikrinimu ir dažnai įeina į debesų kompiuterijos paslaugų kainą. Galiausiai, tiekėjo atsakomybės apima ir savitarnos portalo, per kurį klientai gali valdyti savo IT resursus, veikimas ir prieinamumas.

Atsakomybių pasiskirstymas užtikrinant kibernetinį saugumą

Įsigyjant debesų kompiuterijos paslaugas, naudinga atsiminti, kad už savo jautrių duomenų saugumą atsakingas pats klientas. Todėl saugumo priemonėmis ir politika dažniausiai reikia pasirūpinti savarankiškai, sako „Blue Bridge“ atstovas: „Su duomenų saugumu pirmiausiai susijęs aplikacijų, kurios pasiekiamos per internetą, pavyzdžiui, svetainių, portalų ir t. t., saugumas. Taip pat – el. tapatybės, prisijungimo prie sistemų teisių valdymas, kiti organizacijos saugumo politikos aspektai. Klientas įprastai atsakingas ir už savo naudojamas operacines sistemas, programinę įrangą. Tai, pavyzdžiui, reiškia, kad jeigu klientas savo virtualiame serveryje naudoja nelegalią arba pasenusią programinę įrangą, dėl ko patiriama kibernetinė ataka, duomenys užšifruojami ar kitaip prarandami, debesų kompiuterijos tiekėjas nėra už tai atsakingas. Kliento atsakomybių srityje yra ir jo tinklų bei tinklais perduodamų duomenų saugumas, ugniasienių valdymas.“

Apibendrindamas atsakomybių pasiskirstymą kibernetinio saugumo srityje, pašnekovas atkreipia dėmesį, kad tiekėjas įsipareigoja, jog įsilaužimas į kliento sistemas neįvyks per virtualizacijos platformą, o duomenys nebus pasisavinti iš jo duomenų centro dėl serverių vagystės arba dėl to, kad į duomenų centrą pateko asmenys, neturintys tam leidimo.

Kas padeda padidinti duomenų saugumą tiekėjo duomenų centre?

„Blue Bridge” duomenų centro klientams dažniausiai pateikiamos kelios rekomendacijos, kurios padeda užtikrinti, kad persikraustant į „debesį“ nenukentėtų duomenų ir sistemų saugumas. Tarp svarbiausių patarimų – slaptažodžių politikos peržiūrėjimas.

„Pradėjus naudoti debesų kompiuterijos paslaugas, visada patariame pakeisti visus slaptažodžius naujais, atitinkančiais saugumo rekomendacijas. Naujus slaptažodžius turėtų sudaryti ne mažiau nei 14 simbolių naudojant didžiąsias, mažąsias raides, skaičius ir simbolius. Taip pat reikėtų užtikrinti reguliarų slaptažodžių keitimą, t. y., nustatyti, kas kiek dienų slaptažodžiai turi būti keičiami. IT administratoriams, kurie jungiasi prie tiekėjo duomenų centro ir valdo resursus, rekomenduojame naudoti kelių faktorių autentifikavimo (angl. Multi-Factor Authentication (MFA)) sprendimus“, – pasakoja pašnekovas.

Patariama ir peržiūrėti naudojamą programinę įrangą, įsitikinti, kad ji atnaujinta bei neturi plačiai paplitusių saugumo spragų.

Tarp kitų saugumo rekomendacijų – serverių bei paslaugų su prieiga prie interneto inventorizacija. „Pravartu įvertinti, ar visi serveriai bei paslaugos būtinai turi turėti susiekimą su internetu, bei išskirti į atskirą grupę tik vidinius naudotojus aptarnaujančius serverius ir paslaugas, kurių teikimui nėra būtinas internetas. Taip pat rekomenduojame atlikti visų IT administratorių paskyrų ir prieigos teisių inventorizaciją ir panaikinti perteklines, pavyzdžiui, nebeegzistuojančių naudotojų, paskyras. Apibendrinant šiuos du darbus, galima pasakyti, kad jų tikslas – sumažinti serverių, turinčių priėjimą prie interneto, skaičių, ir geriau apsaugoti privilegijuotas paskyras, kurių prastas valdymas dažnai tampa duomenų nutekėjimo priežastimi“, – primena pašnekovas.

Ką reikėtų atsiminti įsigijus debesų kompiuterijos paslaugas?

  1. Debesų kompiuterijos tiekėjas ir klientas dalijasi atsakomybe už patikimą sistemų veikimą ir jų saugumą.
  2. Perėjus prie debesijos paslaugų, klientas turėtų ir toliau rūpintis savo jautrių duomenų saugumu ir kibernetinio saugumo stiprinimu.
  3. IT tiekėjas atsakingas pirmiausia už „debesies“ – t. y. savo duomenų centro fizinės ir programinės įrangos saugumą. Jo atsakomybė už patikimą kliento sistemų veikimą dažniausiai apibrėžiama SLA.
  4. Didesnį duomenų saugumą tiekėjo duomenų centre klientas gali užsitikrinti naudodamas tokias priemones, kaip: griežta slaptažodžių politika, programinės įrangos atnaujinimas, virtualių ugniasienių, virtualaus privataus tinklo (VPN) ir šifravimo sprendimų naudojimas.

Sužinokite daugiau apie „Blue Bridge” debesų kompiuteriją >>

Sužinokite daugiau apie „Blue Bridge” kibernetinio saugumo paslaugas >>