TC2

Adatbiztonsági kérdések és válaszok

2020.05.14.
tc2

Összegyűjtöttünk néhány kérdést az adatbiztonsággal kapcsolatban.

A nemzetközi adatvédelmi világnap alkalmával fontosnak tartottuk összegyűjteni azokat az IT biztonsági kérdéseket, melyek a felhőalapú rendszereknél felmerülhetnek.

 1. Miért biztonságosabb a cloud a hagyományos IT rendszereknél?

Egy felhő szolgáltatónak alapvető érdeke, hogy a legmagasabb biztonsági szintet nyújtsa, hiszen üzleti modelljének ez az egyik alapja. Egy felhő szolgáltatónál rengeteg szakember áll rendelkezésre ahhoz, hogy mindig a legújabb biztonsági megoldásokhoz szállítsanak tudást, a shared modell pedig lehetővé teszi azt is, hogy nagyszerű megoldásokat implementáljanak, melyek viszont sok esetben igen drágák lennének a hagyományos IT rendszereket üzemeltető cégek számára.

Az automatizált rendszerek kevesebb humán-erőforrást is igényelnek, és nagyobb transzparenciát adhatnak.

2. Tanúsítja-e valaki biztonsági szempontból a felhőszolgáltatókat?

A felhőszolgáltatók a nemzetközi elvárásokat magas szinten teljesítik. Adott esetben rendelkeznek a régiók és az országok egyedi biztonsági tanúsítványával, vagy speciális iparági, ágazati előírásokkal is, például PCI DSS vagy HIPAA.

3. Mit jelent a Shadow IT? Milyen biztonsági vonatkozása van?

Egy vállalaton belül a felhő technológia használata kétfajta úton történhet:

  • hivatalos formában, jóváhagyással, az IT és security területek bevonásával,
  • a céges beszerzést és a szervezeti/biztonsági jóváhagyási folyamatokat megkerülve az egyén vagy csoport közvetlenül – többnyire ingyenesen – használ cloud technológiát.

Ennek biztonsági kockázata abban állhat, hogy a technológia nincsen összehangolva a vállalati IT folyamatokkal, nincs bevonva a működésbe az informatikai és biztonsági terület, így sérül az átláthatóság és a kontroll funkciója.

4. A hibrid felhőnél az IT biztonság hogyan jelenik meg?

Az on prem security hagyományos megoldásai, megközelítései gyakran nem használhatók, vagy nem célszerű használni azokat az újonnan kialakított felhős környezetekben – miközben célszerű a biztonsági megoldásokat is federáltan, a két területre egységesen használni. Ilyenkor a két terület biztonsági kérdéseit ugyanúgy össze kell hangolni, integrálni kell, mint az informatika egyéb területeit, az architektúrát, az operációt, a licensz gazdálkodást és még számos területet.

5. Milyen biztonsági részekért felel a szolgáltató és miért az ügyfél?

A felhő technológia úgynevezett megosztott biztonsági modellel működik. Ez azt jelenti, hogy a felelősséggel nem egyedül a felhő szolgáltató tartozik, hanem az ügyfélnek is be kell tartania bizonyos követelményeket.

Az alábbi felosztást használják arra, hogy elkülönítsék az egyes felelősségi köröket:

Of the cloud: a felhő szolgáltatóhoz tartozik a terület, többek között érinti a fizikai biztonságot, hálózatot, árambetáplálást, a hardvert és a szofvtert.

In the cloud: IT biztonsági szempontból az ügyfél felel ezért a területért, minden olyan tevékenység ide tartozik, ami a virtuális gépen belül történik: például patchelés, titkosítások használata, a szolgáltató által adott eszközök megfelelő konfigurálása, ügyféladatok kezelése.

6. Az ügyfélnek milyen lehetőségei vannak arra, hogy növelje a biztonságot azokon a területeken, amelyekért ő felel?

A szolgáltatók számos biztonsági terméket és szolgáltatást hoztak létre, fontos kérdés azonban, hogy ezeket egyáltalán használjuk, vagy, ha használjuk, jól használjuk. Ez az ügyfél felelőssége.

7. A TC2 security szempontból hogyan ellenőrzi a felhő rendszereket?

AWS Advanced Partnerként különböző sztenderdeket követünk, illetve belső best practice-ek állnak rendelkezésre ahhoz, hogy a legmagasabb szakmai felkészültséggel támogassuk a biztonsági folyamatokat. Ehhez általában javasoljuk implementálni az előbb említett termékek és szolgáltatások adott esetben releváns elemeit, vagy a teljes megoldást Managed Services formájában biztosítjuk.

8. A mai felhős, mikroszervíz környezetekben akár naponta jelenik meg több release, amit security szempontból is ellenőrizni kell. Ezzel mi a teendő?

A legnagyobb biztonsági kihívások egyike a konténeres környezet, erre vannak nemzetközi megoldások, termékek, amelyeket alkalmazni lehet. Ilyenek a TC2 ajánlatai között is megtalálhatók.

9. A felhőben tárolt adatok biztonsági mentése kinek a feladata (AWS, ügyfél, partner)?

Amennyiben nem managed szervízről van szó, úgy az ügyfél vagy partner felelős az architektúra, így a mentési megoldások kialakításáért is. Természetesen a fizikai környezeten tárolt adatok megléte az AWS dolga, saját belső megoldásaival a vállalt megőrzési garanciát igyekszik biztosítani.

10. A biztonság mellett jelent-e gazdasági előnyt a cloud alkalmazása?

A felhő nem csak egy technológiai platform, hanem egyben üzleti modell alapjává is válhat a vállalatoknál.

A gazdasági előny sokrétű lehet: a felhő rendszerekkel hatékonyabb lehet a humán-erőforrás kihasználása, rengeteg egyszerű, rutinszerű, alacsony kvalifikációt igénylő feladat csökkenhet, akár teljesen eltűnhet a szerver oldali infrastruktúra a cégeknél, megspórolva minden ezzel kapcsolatos feladatot és költséget.

Gazdasági előny szerezhető azzal, hogy a cégek és vállalatok gyorsan és hatékonyan vezethetnek be újabb vállalati tevékenységeket, folyamatokat, ezzel pedig a szolgáltatások, termékek minőségét növelhetik látványosan.

A felhő skálázható, vagyis azért fizetünk, amit használunk, méretgazdaságos árazási modellje pedig minden vállalatméret számára lehetővé teszi az optimális költségen megvalósítható informatikai szolgáltatást. A rugalmas működési modellel a felhőinformatika rugalmasan követi az üzleti tevékenységet, azaz mindig annyit lehet igénybe venni, amit az adott pillanatban az üzleti tevékenység igényel.

A gazdasági előnyhöz lehet sorolni továbbá, hogy a cloud segítségével egy adott vállalkozás, szervezet hatékonyan és gyorsan bevezethető új megoldásokkal, teljesen új minőségben tudja kiszolgálni az ügyfeleit, ezáltal pedig nagyobb bevételre tehet szert. Jó példa erre a német fociválogatott, a Bundesliga AWS platform használata, vagy a Forma 1-es adatok felhőbe költözése. Előbbi új minőségben tudja valós időben bemutatni a focimeccsek során keletkezett adatokat, új insightokat adhat a nézőknek. A Forma 1 is a felhasználói élmény-növelésben tudott szintet lépni a cloud platform alkalmazásával.

11. A TC2 számára mit jelent az IT biztonság?

Fontos számunkra, hogy biztonságban legyenek a rendszerek, az ügyfeleink adatai. AWS Advanced Partneri ranggal, és az ISO 27001 minősítéssel is elköteleztük magunkat arra, hogy magas szakmai sztenderdeknek, illetve azok IT biztonsági követelményeinek is megfeleljünk.

A TC2 biztonsági törekvései az AWS termékeivel összhangban vannak és kollégáink tudását is folyamatosan fejlesztjük, hogy mindig a legújabb megoldásokat tudjuk biztosítani.