Hol tároljuk az adatainkat? Áttekintés a felhő biztonsági kérdéseiről
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Informatikai háttér nélkül ma egyetlen vállalkozás sem működhet sikeresen. Azonban egy néhány fős vállalkozás, ügyvédi iroda nem rendelkezik olyan informatikai tudással, amellyel sikeresen megvalósíthatná helyi informatikai rendszerét. Sajnálatos módon a magyarországi IT szállítói piac pedig nem tudja, vagy nem akarja lefedni ezt a területet, és valójában ez a szolgáltatói réteg még nem is alakult ki nálunk. A jó hír viszont, hogy az utóbbi években a felhő technológia eljutott arra a fejlettségi szintre, ahol már nem szükséges komoly informatikai tudás a magas informatikai szolgáltatások használatához. Az új előfizetőkért több nagy és sok kis szolgáltató, nemzetközi és hazai vállalkozás is versenyez.
Amikor arról beszélgetünk, hogy hol van nagyobb biztonságban a megtakarított pénzünk, otthon a fiókban (párnában, cipőben stb.) vagy a bankban, bizonyára a legtöbben azonnal rávágják, hogy természetesen a bankban.Vajon mi ennek az oka? Manapság bizonyára nem az, hogy „azért, mert ott kamatot kapok rá,míg, ha otthon tartom, akkor nem”. A válasz természetesen az, hogy azért tartom a bankban a pénzemet, mert ott nagyobb biztonságban van.
[multibox]
Ma, amikor arról hallunk, hogy betörtek valamelyik cég adatbankjába, feltörték a felhasználói adatbázisát, azonnal felvetődik bennünk, hogy vajon ezvelünk mikor történik meg.A kérdés jogos, mert biztonsági szakemberek szerint nem az a kérdés, hogy velünk megeshet-e ez, hanem az, hogy mikor.
Amikor a bankos hasonlattal kezdtem, arra kívántam felhívni a figyelmet, hogy egy bank összemérhetetlenül magasabb szintű biztonsági rendszerekkel védi a rábízott értékéket, mint amilyenekkel mi magunk meg tudnánk védeni azokat. Lehet riasztórendszerünk, de ha az nincsen bekötve egy riadószolgálatra, akkor csak a szomszédainkat idegesíti a megszólaló sziréna. Amennyiben a riasztás riadóztat valamilyen kivonuló szolgálatot, akkor is létezik egy olyan időablak, amelyen belül mégeltulajdoníthatók értékektalálhatók. Egy banknál nem ilyen egyszerű az értékekhez hozzáférni. Ha a rabló képes behatolni a bankfiókba, ott nem tárolnak semmit, hiába keresne széfet, vagy más, értékek tárolására szolgáló rendszert. A riasztásra kivonuló egység prioritása itt nyilván sokkal magasabb, mintha hozzánk szállnának ki, mivel a bank sokkal fontosabb objektum, persze sokkal többet is fizetnek érte. Az értékegységre jutó biztosítási összeg azonban jóval alacsonyabb, mint a mi esetünkben.
Milyen analógiát találunk ebben az adattárolás területén?
A felhő ma már ismert szolgáltatás, lényegéről sokat olvashattunk – ezeken a hasábokon is. Összefoglalóan azt mondhatjuk, hogy a felhő egy távoli, általunk nem ismert helyen lévő informatikai kapacitást jelent. Informatikai kapacitás lehet a számítási teljesítmény, a memória és a háttértár mérete, sebessége. Ezen túlmenően ugyancsak fontos, hogy egy felhőszolgáltatónaka bankhoz hasonlóan sok ügyfele van. A sok ügyfél között vannak fontosak és vannak nem annyira fontosak – éppen úgy, mint egy banknál. De a hasonlóság nem csak ebben található.
A felhőszolgáltató tehát – a bankhoz hasonlóan – sok ügyféllel rendelkezik, ezért az általa tárolt – az ügyfelektől származó – adatok védelmére komoly erőforrásokat halmoz fel. Ezek az erőforrások sokkal magasabb szintűek, mint amilyeneket mi magunk meg tudnánk vásárolni. Bár a biztonságsoha nem lehet százszázalékos, azért ez megközelíthető. A közelítés viszont pénzbe kerül, minél jobban szeretnénk megközelíteni a 100 százalékot, annál többe. Ez a költség egy általános cégnél nem lehet bármekkora, eztaz adatok értéke maximalizálja. A felhőszolgáltatónál viszont a kérdés nem egyszerűen az, hogy a rábízott adatokat meg tudja-e védeni. Ugyanis, ha az adatokat valaki az ő gondatlanságukból eltulajdonítja, akkor ez a megbízhatóságát jelentősen lecsökkenti, ami a belé vetett bizalom azonnali megroppanásához vezet, aminek következtében a cég azonnal tönkre mehet. A kezelt adatok mennyiségének arányában magasabb költségvetéssel a védekezés szintje már nagyon magas.
A felhőben tárolt adatok eredendően tehát nagyobb biztonságban vannak, mintha azt a saját rendszereinkben tárolnánk. Az adatok azonban értéktelenek, ha nem használjuk őket. Tehát az adatokhoz hozzá kell férnünk, legyenek azok a saját telephelyünkön tárolva, vagy a felhőben. Jelentős különbség nincsen a hozzáférés szabályozásában a két esetben, ugyanakkor a felhőben tárolt adatokat egy nyilvános hálózaton keresztül érjük el (ennek védelméről még lesz szó), ezért a hozzáféréshez szükséges azonosítók kikerülnek a saját, belső rendszerünkből.
[htmlbox karteritesi_jog]
A jellemző betörés?
Egy kis kitérő. Az elkövetett adatlopások tapasztalata alapján azt állíthatjuk, a betörések kivétel nélkül úgy történtek, hogy valamelyik ponton az elkövetők hozzájutottak egy olyan azonosítóhoz, amellyel elindíthatták a lopási folyamatot. Ebben a folyamatbanaztán egyre „értékesebb” – több jogot adó – azonosítókhoz fértek hozzá, mígnem elérték azt az adattárat, amelybena számukra értéket jelentő adatokat megtalálták. Ekkor a betörő elérte célját. Ez tehát az a lépéssorozat, amelyet minden tolvajnak végig kell járnia, hogy megkaphassa akívánt adatokat.
Egy adattárolási rendszerben az egyik legfontosabb feladat, hogy azok, akik az adatokat használják, tisztában legyenek azzal, milyen fontos az azonosítójuk védelme. Ez, mint az előbb láttuk, privát rendszer használatakor is elsőrendű feladat.
Mit tehetünk?
A védelem kialakításábana legfontosabb az oktatás, illetve ellenőrizni annak eredményességét. Mivel a biztonságérzet nem állandó, ezért az oktatás és az ellenőrzés lépéseit rendszeresen meg kell ismételni. A rendszeresség akár fél évenkéntiismétlést is jelenthet, mert a betörők módszerei nagyon gyorsan változnak. Ehhez új és új ellenszerre van szükség, így az oktatásnak folyamatosnak kell lennie. Nem szabad hagyni, hogy a felelős kollégák ébersége csökkenjen, mert erre várnak a betörők.
Milyen járulékos problémával állunk szemben, amikor a felhőről beszélünk?
Az adattároló rendszerek felhőszolgáltatás esetén nem a saját, privát hálózatunkon találhatók, hanem valahol távol, akár más földrészen, másik országban lehetnek. Ezeket a szervereket az interneten keresztül érjük el, ami eredendően nyitott, az ott „közlekedő” adatcsomagok elolvashatók. Nagy probléma lenne, ha csak ilyen módon tudnánk a távoli adatokhoz hozzáférni. Szerencsére van megoldás erre is. Titkosított kapcsolatot hozunk létre a privát rendszerünk és a felhő szerverei között. Eza módszer a saját rendszerünket terjeszti ki a felhőbe, a titkosított hálózat a belső hálózat részévé válik.Ezt a titkosítást automata rendszerek végzik olyan módon, amelyet észrevétlenül nem lehet feltörni.
Még több biztonság – viselkedésanalízissel
Amikor arról írtam, hogy a felhőszolgáltató lehetőségei sokkal nagyobbak, mint amire egy kisebb cég gondolni is merne, azokra a járulékos lehetőségekre gondoltam, amelyekkel a biztonságot lehet tovább növelni. Ezek része olyan automata rendszer, amely naplózza a belépéseket, a hozzáférési mintákat (ki és mikor, milyen adatokhoz szokott hozzáférni), és bármilyen eltérés esetén jelzést ad. Ezt viselkedésanalízisnek hívják, és a bankok is felhasználják, például az internetes banki tranzakciók ellenőrzésére.
[htmlbox Polgári_jog_folyóirat]
Biztonság a felhőben – sok ügyfél között
Érdemes arról is beszélni, hogy milyen biztonságban vannak az adataim ott, ahol más rendszerek adatait is tárolják. A felhőszolgáltatók minden lehetőséget megadnak arra, hogy a náluk bérelt rendszereket a lehető legjobban elválaszthassák a többi, ott lévő rendszertől. Az előzőekben már említett, titkosított belső hálózatra csatlakoznak a bérelt rendszereink, ezzel csaknem fizikai elválasztási biztonságot adva az adatainknak.
Az elmúlt időszak adatlopásai azt mutatták, hogy az üzleti életben még mindig nem terjedt el az adattitkosítás, ami lehetővé teszi az ellopott adatok felhasználását. Jelenleg léteznek olyan titkosító rendszerek, melyekkel könnyen és automatikusan lehet a tárolt adatokat titkosítani. Ezzel a módszerrel megoldjuk az eltárolt adatok titkosságát is, ami a titkosított hálózati kapcsolattal megvalósítja a mozgó és tárolt titkosítás elméletét. Ezzel maximális védelmet érhetünk el. Létezik még egy további lehetőség, amikor a memóriában lévő tartalmat is titkosítjuk, ami a feldolgozás során keletkező adatokat is titkosítja. Ezzel lehet elérni a maximális biztonságot, de ennek csak különleges esetekben van jelentősége.
Rendelkezésre állás
Amikor az adatok védelméről beszélünk, nem szabad elfelejtkezni arról sem, hogy az adatokat nemcsak rosszindulatú emberek lophatják el, hanem bármilyen természeti katasztrófa, terrortámadás esetén azok megsérülhetnek. Egy ilyen esemény nem okoz globális problémát, ezért a felhőszolgáltatók adattöbbszörözési megoldásaival megvédhetők az adatok. Arról van szó, hogy a szolgáltatók sok adatközpontot működtetnek világszerte. Ezek az adatközpontok önmagukban is tartalmaznak többszörözést – ez az egyedi meghibásodás ellen véd –, de a régiók olyan távol esnek egymástól, hogy egy helyi katasztrófa, legyen az bármekkora – emberi léptékkel mérve, tehát például nem egy világháború – nem teszi tönkre egyszerre a rendszereket. Így a természeti katasztrófák, helyi konfliktusok esetén mindig lesz működő adatközpont, ahonnan az adatokat – veszteség nélkül – elérhetjük.
A kontinenseken áthúzódó többszörözés azonban adatvédelmi problémát okozhat. Erről a legközelebb beszélünk.
