(inzerce) Používání cloud computingu mění bezpečnostní situaci dat a aplikací podniku. Některé zdroje ohrožení klasických IT prostředí odpadají, jiné vyvstávají.
Cloud computing má pro firmy zvláštní strategický rozměr. Praxe ukazuje, že se odběr ICT služeb z cloudu může na úrovni bezpečnosti projevit velice kladně. Mnoho uživatelů se nehodlá pravidelně ve vlastní režii zabývat množstvím úkolů souvisejících s bezpečností, nebo se obává nákladů na jejich kvalitu. Cloud služby tomuto postoji velmi dobře vyhovují, protože zavedení poskytovatelé služeb ICT mají větší zkušenosti a zaměstnávají výborně vyškolené odborníky.
Jinými slovy, model, umožňující pružný odběr služeb ICT s dynamickým charakterem od jednoho poskytovatele, aniž by bylo zapotřebí vlastních investic do složitých systémů a infrastruktury, skýtá vysokou míru efektivnosti. Navíc dochází k průběžné modernizaci stávajícího prostředí ICT, protože poskytovatelé už z důvodů konkurenceschopnosti pracují s nejmodernějším prostředím ICT. Zajištění nepřerušovaného provozu a bezpečnosti všech dat a aplikací podniku má v každém prostředí nejvyšší prioritu. Oproti klasickým prostředím ICT je u cloud computingu třeba zohledňovat odlišně situované aspekty bezpečnosti. Výpadkům v důsledku přetížení či problémům s dostupností je s pomocí dynamického modelu v cloudu zabráněno. Hrozby jako ztráta nebo krádež (přenosných) počítačů jsou vzhledem k centrálnímu uchovávání (uložení) dat méně kritické. Pozornost je naopak třeba věnovat faktorům jako spolehlivému oddělení dat a aplikací různých podniků a místu zpracovávání dat. Individuální bezpečnostní požadavky zákazníků však závisejí na tom, jak by případné bezpečnostní výpadky ovlivnily obchodní činnost (Business Impact). Velkou úlohu při tom hrají klasifikace dat a aplikací a integrované řízení rizik. Poté následuje výběr poskytovatele a migrace.
Z právních důvodů hraje zvláštní úlohu místo ukládání a zpracovávání dat. Často není zjevné, jaká data a aplikace a kdy jsou na jakém serveru – a ve které zemi je umístěn. Zde může docházet k problémům ohledně aplikovatelného zákonodárství nebo ke konfliktům, například se zákonem o ochraně dat. V každé fázi definice sourcingové strategie až po provoz ICT u poskytovatele služeb, je třeba přihlížet k bezpečnostním aspektům spolu s dodatečným úkolem efektivního řízení a kontroly ve smyslu IT-Governance. Přenesení odpovědnosti na specializované poskytovatele firmě ulehčuje situaci, pomáhá snižovat náklady a zvyšovat kvalitu. To je pak zásadní přínos pro udržitelný úspěch podniku. Ze sumy těchto doporučení vyplývá doporučení zákazníkům, aby při výběru poskytovatele cloudu stanovovali vysoké kvalitativní požadavky. Vedle technických znalostí a výkonnosti by měly zahrnovat zvláště důvěryhodnost, spolehlivost a schopnost plnit všechny požadavky podniku, i pokud jde o právní aspekty.
Tři modely cloud computingu
Vzhledem k různorodosti cloudových modelů musejí podniky na základě svých bezpečnostních potřeb a obchodních požadavků rozhodovat, co chtějí využívat. Proto je při rozhodování o realizaci ICT služeb z cloudu vždy zapotřebí klasifikace dat, protože obzvláště kritická data by měla zůstávat ve firmě nebo v zajištěném privátním cloudu. Firmy by měly předávat poskytovateli jen takové aplikace, které jsou jen malou měrou provázány s interními procesy. Vhodné jsou například klasické dávkové práce, jež lze provádět bez další akce uživatele.
Veřejný cloud
U ICT služeb z veřejného cloudu jde o vysoce standardizovaná řešení, která jsou poskytována jako jeden produkt a jsou zpravidla hrazena dle používání. Příklady jsou služby typu Mail, Office nebo Storage. Jsou veřejně a volně přístupné a uživatelé je odebírají přes internet. Stupeň virtualizace technicky vzato kolísá, tu a tam jsou používány dokonce dedikované (jednoúčelové) systémy. Na základě zaměření těchto nabídek však platí, že veřejný cloud většinou nemůže plnit požadavky obchodu a není v žádném případě vhodný pro kritická data.
Privátní (soukromý) cloud
O privátním cloudu se hovoří v případě, kdy lze sloučit výpočetní kapacity v rámci jedné firmy a pružně je přiřadit požadavkům vnitropodnikových uživatelů. Většinou se však má na mysli poskytování jednoúčelového, privátního cloudu, externím poskytovatelem služeb. Je zaměřen na plnění specifických požadavků trhu firemních zákazníků a poskytuje ICT služby dynamicky dle potřeb. Specializovaní poskytovatelé se síťovou kompetencí mohou poskytovat soukromý cloud jako kompletní nabídku end-to-end z jedné ruky. Nabízejí přitom celé spektrum potřebných ICT systémů z mobilních a fixních koncových přístrojů od připojení a síťových služeb po integraci ICT do specifických obchodních procesů zákazníka. Potřebný výkon garantují pomocí smluvně definovaných dohod o úrovních služeb. Zákazníkovi se dostává maximální bezpečnosti.
Hybridní cloud
V současnosti ukazuje mnohé na to, že nejběžnější formou cloud computingu v podnikové sféře bude odběr zdrojů ICT z kombinace veřejného a privátního cloudu, do hybridního cloudu (Hybrid Cloud). Poskytovatelé skládají kompletní nabídku služeb ze soukromého cloudu a veřejných služeb. Tyto jsou integrovány především proto, pokud je zapotřebí určitých funkcionalit, nebo proto, že rostou výhody ohledně vynakládaných nákladů. Tato kombinace může přispět dokonce k bezpečnosti: veřejně přístupná záznamová služba například umožňuje snadné používání a výměnu šifrovaných nebo podepsaných e-mailů mezi dvěma zajištěnými podnikovými doménami. Službou veřejného cloudu tedy lze propojit zajištěné privátní cloudy a při tom zahrnout již integrované bezpečnostní technologie.
Cesta ke cloudu
Zvažuje-li podnik využívání ICT služeb z cloudu, je nutno pečlivě uvážit jeho bezpečnostní požadavky. Přitom má smysl porovnat rizika klasických IT prostředí s riziky cloud computingu. Ke stanovení rizika pro IT či obchod je nejprve třeba identifikovat ohrožení ve smyslu příležitostí a vlivů příčin. Co se může v modelu IT služeb cloud computing v zásadě či konkrétně přihodit? Ve druhém kroku je třeba zjistit, zda existují slabá místa – například nekvalitní či nedokonalé ověřování identity před přístupem ke zdrojům ICT a datům nebo nedostatečná opatření datové bezpečnosti. Integrace bezpečnostních postupů je věcí poskytovatele služeb. Slabá místa nelze zjistit, aniž by byla posouzena technika a její použití, a bezpečnostní riziko může být vyhodnoceno, jen když uživatel vyčíslí potenciální škodu a její dopad na obchod.
U cloud computingu dochází oproti běžným modelům IT služeb k posunu rizik, neboť se mění původ, charakter a výraznost možných hrozeb. Odpovídajícím způsobem jsou přizpůsobována organizační a technická bezpečnostní opatření, která podléhají rovněž stálým změnám. Rozhodují však bezpečnostní požadavky uživatele, které odvozuje ze své činnosti a předmětu podnikání. K bezpečnostním problémům dochází teprve tehdy, když je poskytovatelé neplní. Pokud jde o cloud computing, je důvěra naprosto rozhodujícím faktorem. Má-li být vytvořena důvěra v tak abstraktní řešení jakým je cloud, sehrávají klíčovou úlohu přístupy a konkrétní odborníci.
Důvěra v systém roste, pokud jsou důvěryhodné kontrolní mechanismy. Poskytovatelé k tomu mohou přispívat množstvím opatření: třeba prokazatelnou bezpečností, certifikáty a atesty, aktivním důkazem, že jsou dodržovány standardy shody, definovanými serverovými stanovišti. Důvěru vytvářejí rovněž jasné procesy s integrovanými kontrolami a dostatečný reporting, pravidelné audity a přizpůsobené záruční úmluvy a smlouvy o úrovních služeb. Uživatelé při rozhodování pro cloud computing přikládají velký význam třem aspektům: za prvé dostupnosti svých dat, za druhé právnímu stavu v souvislosti s místem uložení dat a za třetí specifickým bezpečnostním aspektům, které jsou spojeny se třemi druhy modelu služby cloud computingu .
Výběr vhodného poskytovatele cloudových služeb
Základem tohoto procesu je právě jasné stanovení požadavků na budoucí řešení. S jednoznačně definovanými požadavky má uživatel jasnou představu o kritériích, podle nichž může hodnotit poskytovatele a rozhodnout se pro něj. Vše se točí kolem splnění bezpečnostních požadavků, výkonnosti, spolehlivosti a důvěryhodnosti poskytovatele. Nejprve je nutno zmínit schopnosti poskytovatele a zralost, např. jeho procesů. Lze je posuzovat na základě jeho nabídkového portfolia, používané a jím zvládnuté techniky a vyjádření a hodnocení pozorovatelů trhu a analytiků. Druhým kritériem je spolehlivost poskytovatele. O ní vypovídají reference a přímá výměna zkušeností s jinými zákazníky. Obdobně to platí pro renomé, o němž si mohou udělat firmy obrázek prostřednictvím referencí a odborných informací v oborových médiích. Do hodnocení je třeba zahrnout také to, zda nabídka poskytovatele skutečně dokáže vyzdvihnout výhody vlastního obchodního modelu. Pomáhají i úvahy a hodnocení nabízených modelů služeb ICT. O vypočitatelnosti poskytovatele ve smyslu plnění povinností svědčí například certifikace. Významnou veličinou je i velikost poskytovatele.
Na konec by se měla posuzovat oslovitelnost a komunikační chování poskytovatele. I při vyčlenění služeb ICT je uživatel často v živém styku s poskytovatelem. Oba se musí dorozumět v rozhodujících fázích uzavírání smlouvy a problémech. Služby významně přispívají při k vývoji vzájemné spolupráce. Poskytování cloudových služeb a jejich podmínky se trvale mění. V zásadě je tedy zapotřebí auditu ze strany zákazníka, zatímco se poskytovatel musí snažit dát jasně najevo, že je schopen požadavky splnit a odlišit se tak od konkurence.
Cloud computing od T-Systems: sázka na jistotu
Společnost T-Systems je jedním z předních poskytovatelů cloud computingu u nás. Její služby
umožňují vysokou variabilitu, zákazník má možnost dynamicky měnit množství odebíraných služeb na základě aktuálních potřeb. Díky dynamickému pojetí je tak možné ušetřit až 40 % nákladů na provoz ICT. Samozřejmostí je právě vysoká úroveň zabezpečení celé platformy
i jednotlivých komponent.Hlavní důvody pro nasazení cloud computingu jsou rychlost implementace nových IT řešení, investiční úspory, snadná správa a údržba. Uživatel se nestará o náročnou implementaci, nastavení a provoz serverových systémů. Potřebný software si pořizuje ve formě služby. Její zřízení je přitom velice snadné a rychlé. Služby založené na cloud computingu od T-Systems zahrnují veškerou správu, údržbu, aktualizace, zálohy, ochranu proti virům, šifrování a na přání zákazníka i garantovanou dostupnost aplikací. Společnost T-Systems navíc nabízí jedinečný zákaznický portál, který přináší naprostou svobodu při konfiguraci a sledování cloudových služeb. Každý zákazník si sám rozhoduje, jaké parametry bude aktuálně měnit a jaký výkon a virtuální servery chce právě využívat. Asi netřeba zdůrazňovat, že se platí jen za skutečně využité zdroje. T-Systems nabízí privátní, veřejné i hybridní cloudy a službu poskytuje ve formě IAAS, PAAS i SAAS.
Flexibilní řešení T-Systems využívá mimo jiné také významná softwarová společnost Software602, která patří ke středoevropské špičce v oblasti elektronických dokumentů s právním účinkem a elektronizace procesů. Společnost T-Systems poskytla této firmě kombinaci služeb postavených na vlastní cloud computingové platformě, která je umístěna v bezpečném datovém centru v Praze. Konkrétně se jedná o dynamickou serverovou infrastrukturu včetně síťových služeb, správy operačních systémů, databázových a webových serverů. Software602 tak dostalo funkční platformu, na které provozuje svůj portál www.secustamp.cz. Celé řešení je technicky poskládané ze standardizovaných bloků, které společnost T-Systems poskytuje, což zákazníkovi zaručuje i kontinuální rozvoj celé platformy a zároveň dovoluje měřit jednotlivá KPI tak, aby následně bylo možné vyhodnotit celé SLA (Service Level Agreement).
