A felhő szolgáltatás, azaz a felhőalapú adatmentés évtizedek óta létezik. A felhő mindenki számára nyitva áll, azonban a külföldi országokban egyelőre még jóval nagyobb az érdeklődés iránta.
A felhőalapú adattároló rendszerek lehetővé teszik a felhasználók számára a rendszer összes funkciójának és fájljának elérését anélkül, hogy azokat a saját számítógépükön kellene tárolni.
A mindennapok során is használunk felhőalapú szolgáltatásokat, ilyen például a Google Drive vagy a Facebook is.
Annak ellenére, hogy például a Gartner tanácsadó cég előrejelzése szerint 2023-ra a vállalati folyamatok 70%-a felköltözik a felhőbe, még mindig vannak olyan vállalatvezetők, akik vonakodnak ettől az elköteleződéstől.
Bejegyzésünkben a felhő szolgáltatás iránt érdeklődőknek szeretnénk néhány fontosabb kérdést megválaszolni a saját és a felhős infrastruktúrával kapcsolatosan.
Milyen elmozdulás látható a hazai és külföldi cégeknél a felhős infrastruktúra irányába?
Ahogy a bevezetőben is említettük, jelenleg külföldön sokkal nagyobb arányban használják. Magyarországon még érezhető a bizonytalanság, de egyértelműen mozdulnak a felhős infrastruktúra irányába. A felhő nagy előnye, hogy ott mindent meg lehet csinálni, csak idő és pénz kérdése, ez pedig egyre vonzóbb a cégek számára. A tapasztalatok jók, így akik eddig bizonytalanok voltak, azok is nyitnak ebbe az irányba.
A felhőbe költözésnél azt kell figyelembe venni, hogy mire fogjuk használni, milyen előnyei lesznek számunkra, hosszútávon mennyit lehet spórolni vele. A szolgáltatás igénybevétele megkönnyíti, leegyszerűsíti egy cég elindítását. Bármilyen szektorról legyen szó, mindenkinek el kell gondolkodnia azon, hogy hol fogja tárolni az adatokat, milyen infrastruktúrát szeretne kiépíteni. Kezdetben ez egy kitűnő megoldás lehet, hiszen kis befektetéssel is elindíthatja a céget, nem kell saját szervert, szerverszobát venni.
Rengeteg pénzügyi és gazdasági lehetőség van a felhő alapó szolgáltatásban, Magyarország is jó úton halad, de még nem értük utol a külföldi országokat.
Mit érdemes IT biztonsági szempontból mérlegelni a saját és felhős infrastruktúra közti döntésben?
Egy saját infrastruktúrát nem egyszerű összerakni.
Rengeteg tényezőt kell mérlegelni:
- milyen pénzügyi források állnak rendelkezésünkre
- milyen személyi állományunk van
- ha nincs erre szakképzett emberünk, akkor fel tudunk-e venni egy IT architectet, aki megtervezi és megfelelően összerakja nekünk azt, amire szükségünk van…?
A felhőalapú infrastruktúrák stabilabban működnek, ezért segíthetnek a kiesések minimalizálásában és elkerülésében. Az egyik legvonzóbb tulajdonsága pedig, hogy igény szerint skálázható, tehát hardverberuházás nélkül is növelhető vagy csökkenthető az informatikai kapacitás, akár már a használattal egyidejűleg is.
A legnagyobb kérdés azonban mindig a pénz. Egy kis cégnél saját szerver beszerzése több terrabájtnyi kapacitással olyan költségeket von maga után, hogy a felhőalapú szolgáltatás jobban megéri.
Van olyan tanúsítvány, ami alapján egy felhős szolgáltatóra bizalommal rábízhatjuk az IT rendszereink hátterének biztosítását?
Jó pár ilyen tanúsítvány létezik, a felhőszolgáltatók a nemzetközi elvárásokat magas szinten teljesítik. Adott esetben rendelkeznek a régiók és az országok egyedi biztonsági tanúsítványával, vagy speciális iparági, ágazati előírásokkal is, például PCI DSS, HIPAA vagy ISO 27001.
Amennyiben részletes információt szeretnénk róluk, az interneten könnyedén utánanézhetünk, milyen biztonsági megoldásokat garantálnak.
A felhőhöz sok külső (API) interfész kapcsolódhat. Ezek milyen extra biztonsági kockázatot jelenthetnek?
Ezt úgy kell elképzelni, mint amikor a hálózatra egyszerre csatlakoztatunk több eszközt: például a porszívót, a sütőt és a TV-t is egyszerre használjuk. Ez túlterhelheti a hálózatot. Legnagyobb hátulütője, hogy minél több dolog csatlakozik a mi interfészünkhöz, annál több kapu nyílik meg, amit ki is lehet használni. Lehet, hogy a mi infrastruktúránk teljesen védett, de ha hozzákapcsolunk egy olyan harmadik eszközt, ami hibát tartalmaz, ezáltal hozzánk is bejuthatnak.
Minden esetben érdemes utánajárni, hogy tudnak-e olyan védelmi szintet garantálni, ami számunkra elvárás.
Milyen nagyobb felhőre jellemző IT biztonsági kockázattal találkozhatunk még?
Kockázatnak tekintik a cégek, hogy nem náluk van az adat, nem tudják kontroll alatt tartani, hiszen fizikálisan máshol érhető el. Kockázat lehet az is, hogy probléma támad az internetkapcsolattal és nem férnek hozzá az adatokhoz. Erre az esetre szükséges egy jó üzletmenet folytonossági terv, hogy ha nem érjük el az adatokat is tudjuk, mit fogunk tenni.
Ha például egy kisebb cégnél probléma van, a hatóság kiszáll a helyszínre és lefoglalja a szervert. A felhőben ez nem így működik, nem tudják lefoglalni, esetleg az adatokat kérhetik ki, de mi működhetünk tovább. Ennek tekintetében nem biztos, hogy nagyobb biztonságot jelent, ha fizikálisan nálunk a szerver.
A felhőszolgáltatás igénybevételénél is érdemes mérlegelni a kockázatokat, például, hogy ki, mihez férhet hozzá, milyen legyen a mentési stratégia stb.
A szolgáltató alapvető érdeke, hogy a legmagasabb biztonsági szintet nyújtsa, hiszen üzleti modelljének ez az egyik alapja. Egy felhő szolgáltatónál rengeteg szakember áll rendelkezésre ahhoz, hogy mindig a legújabb biztonsági megoldásokhoz szállítsanak tudást. A shared modell pedig lehetővé teszi azt is, hogy nagyszerű megoldásokat implementáljanak, melyek viszont sok esetben igen drágák lennének a hagyományos IT rendszereket üzemeltető cégek számára.
A HACKTIFY tud felhős infrastruktúrán üzemelő cégeknek is segíteni?
A tesztelési szolgáltatásban addig tudunk segíteni, míg a felhőhöz való hozzáférés megtörténik. Onnantól a felhőszolgáltató védi a rendszert, neki megvannak a megfelelő biztonsági tesztelései. Ha valaki az online tér mellett döntött, akkor már ki kellett derülnie minek kell megfelelnie, így ez vonzza magával azokat a felkészülési lépéseket, amiket bevezetés előtt meg kell tenni.
Milyen különbség van egy felhős bug bounty program és a saját céges infrastruktúra bug bounty programja között?
Relevánsabbnak tartjuk a saját infrastruktúrára bug bountyt indítani, hiszen ott rendelkezünk azokkal a jogi megfelelésekkel, hogy eldönthetjük, szerződést kötünk egy bug bounty programot kínáló céggel, és megengedjük, hogy felderítse a sérülékenységeket.
Ezzel szemben a felhőnél szolgáltatásfüggő, meg kell nézni, mit enged a szolgáltató, szükség van-e a jóváhagyására.
Példa: Van egy applikációnk, ami a felhős infrastruktúrán keresztül működik. A szolgáltatótól vesszük igénybe a felhőt, de az applikáció a miénk, tehát annak a sérülékenységeit teszteltethetjük. Lehetnek autentikációs problémák, hozzáférési problémák, logikai hibák és még megannyi más.
Számos előnye miatt a felhőszolgáltatás lesz a jövőnk, ezért érdemes ismerkedni vele. Szolgáltatást azonban mindig úgy válasszunk, hogy tudjuk mit akarunk. Érdemes lehet akár egy tanácsadó segítségével felmérni, hogy mire van szükségünk. Ne csak az ár alapján válasszunk csomagot, nem feltétlenül a legköltséghatékonyabb megoldás lesz megfelelő számunkra.