Cloud computing și securitatea datelor

Cloud computing este, înainte de toate, o schimbare de paradigmă. Nu este nici pe departe un concept nou, pentru că și în IT istoria este ciclică. Doar că paradigma curentă este complet diferită de contextul mainframe-urilor din anii 70-80, și asta pentru că deși ciclică, istoria este evolutivă.
Cloud computing nu mai este un hype, nici un buzz-word. Face sens din punct de vedere economic, iar de aici până la o adopție la scară largă a paradigmei mai este doar o problemă de timp. Nu mi-am propus să filosofez pe marginea acestei teme, dar e interesant de văzut care sunt factorii care încetinesc ritmul de adopție, iar acest lucru ne aduce înapoi la subiectul de bază.
Lucrul care s-a schimbat oarecum fundamental în ultimii zece ani este acela că organizațiile contemporane, mai mici sau mai mari, își construiesc procesele de afaceri pe infrastructuri informatice. Simplificând, orice proces de afaceri înseamnă, ultimativ, informații. În contextul curent, aceste informații se prezintă sub o formă electronică. Cloud computing înseamnă mutarea acestor informații dintr-un spațiu predictibil și ușor controlabil (perimetrul informatic al companiei, rețeaua locală) într-un spațiu agil, mobil, greu de perimetrizat și mai puțin palpabil. Din premisele acestea se deduce principala piedică în calea adopției masive a cloud-ului: pierderea controlului palpabil asupra informațiilor esențiale ale organizației.
O problemă de încredere
Prima problemă care se pune este deci una de încredere. Cum pot avea încredere în furnizorul acesta de cloud computing? Încă o dată, informațiile electronice ale organizației (datele ei) sunt informații critice – ele generează avantaj competitiv, creștere, siguranță, certitudini etc. E o situație similară cu alegerea unei bănci – până la urmă, de ce aș avea încredere că această bancă îmi va gestiona finanțele așa cum trebuie?
Până la urmă, care sunt lucrurile pe care le căutăm la un furnizor de cloud astfel încât să fim confortabili cu delegarea controlului? Evident, căutăm stabilitate și credibilitate. Stabilitatea este girată de prestigiul, prezența și cota de piață a furnizorului. Credibilitatea este girată de istoricul său de activitate, prestigiul, profesionalismul și nu în ultimul rând de acreditările și certificările pe care le deține. Încrederea este, până la urmă, un concept tranzitiv.
O problemă de identitate
O a doua problemă interesantă este cea legată de identitatea informatică. Identitatea asigură cel puțin două elemente fundamentale în manipularea informațiilor: autentificarea și autorizarea accesului. În paradigma clasică, identitatea este asigurată de organizație în sine. Ea este cea care provizionează credențialele necesare pentru membrii săi. În contextul cloud computing, furnizorul de cloud devine și furnizor de identitate. Controlul pentru managementul identității devine deci, într-o oarecare măsură, delegat.
Important în acest context este proprietarul de facto al identității. Furnizorul de cloud trebuie să poate asigura controlul absolut al organizației asupra elementelor sale de identitate.
O problemă de control
În fine, cea de-a treia problemă fundamentală este cea a controlului propriu-zis asupra datelor organizației. Cum pot controla cine, ce, cum, unde manipulează aceste informații, în condițiile în care ele nu rezidă în perimetrul organizației, ci undeva la distanță. Securitatea tradițională a informațiilor dintr-o organizație se bazează pe o constantă oarecum clară: dimensiunea perimetrului organizației. În contextul cloud computing, așa cum am mai zis, perimetrul nu mai este atât de clar. Și atunci, e extrem de important ca furnizorul de cloud să ofere suficiente controale de securitate pentru a compensa acest amănunt.
Și acum?
Acum, furnizorii de soluții de securitate au sesizat modul în care situația evoluează. Cloud-ul este o realitate, iar tranziția către el a început deja. Termeni de tip ‘private cloud’ sau ‘hybrid cloud’ nu arată decât faze intermediare către un cloud globalizat.
Sigur, și amenințările, riscurile, vulnerabilitățile evoluează. Impactul pe care un atac informatic îl poate avea, în acest moment, a crescut logaritmic. O lume informațională complet interconectată și globalizată nu constituie decât o suprafață de atac mai mare – din perspectiva unui atacator.
În contextul acesta, controalele de securitate tradiționale se adaptează și evoluează și ele, la rândul lor, și tot etapizat. Virtualised Firewall/VPN, Virtualised IDS/IPS, Hybrid Content Filtering, Hybrid Data Loss Prevention sunt de fapt controale de securitate tradiționale adaptate la noul model de reprezentare a datelor. Și sunt faze intermediare către “anything as a service”, care concept nu mai este nici el la rândul lui o noutate.