Kiedyś w jednym z naszych artykułów opisaliśmy historię, która przytrafiła się producentowi okien metalowo-plastikowych. Administrator systemu firmy oskarżył specjalistów ds. wsparcia technicznego operatora chmury o usunięcie jednej maszyny wirtualnej. Po długim dochodzeniu okazało się, że maszyna wirtualna została usunięta przez innego administratora systemu. Taka sytuacja nie mogłaby mieć miejsca, gdyby administrator jasno rozumiał obszary odpowiedzialności stron.
Najbardziej powszechną koncepcją pracy z usługami chmurowymi jest model współdzielonej odpowiedzialności. W danym artykule przyjrzymy się najczęstszym nieporozumieniom na ten temat.
Kilka słów o modelu wspólnej odpowiedzialności
Model opiera się na prostej logice: dostawca chmury kontroluje wszystko w swoim obszarze odpowiedzialności. A użytkownik chmury – w swoim.
Ale należy wziąć pod uwagę jeszcze dwie kwestie. Po pierwsze, mogą istnieć dodatkowe usługi, które wymagają bezpieczeństwa lub usługi ochrony informacji. Po drugie, istnieją „szare strefy”, które mogą być kontrolowane przez obu uczestników procesu. Często jednak ich współpraca opiera się na mitach, a wtedy pojawiają się nieporozumienia.
Mit nr 1: Za bezpieczeństwo usług w chmurze odpowiada dostawca
Błędem jest sądzić, że operator zapewnia 100% ochronę usług swojego klienta. Jest ona zawsze zależna od obydwu stron. To, gdzie przebiega granica bezpieczeństwa, zależy od rodzaju infrastruktury, z której korzysta firma.
Istnieją trzy modele infrastruktury chmurowej:
- IaaS (Infrastructure as a Service) – klient otrzymuje dostęp do serwera, na którym może umieścić całą swoją infrastrukturę IT lub konkretną usługę.
- PaaS (Platform as a Service) – do platformy w chmurze ma dostęp: system operacyjny, system zarządzania bazami danych, narzędzia programistyczne i testowe. Użytkownik może tam zainstalować swoje oprogramowanie.
- SaaS (Software as a Service) ― klient otrzymuje oprogramowanie, które jest obsługiwane przez dewelopera.
Im mniejsze zaangażowanie operatora, tym mniejsza jego odpowiedzialność za infrastrukturę IT. Na przykład w przypadku IaaS operator odpowiada za sprzęt, systemy pamięci masowej i hiperwizor (oprogramowanie umożliwiające hostowanie wielu komputerów wirtualnych na jednym serwerze fizycznym).
Firma dba o to, aby hasła nie dostały się w niepowołane ręce, a programy i system operacyjny były chronione przed ingerencją osób trzecich. Jednocześnie ruch sieciowy znajduje się w „szarej strefie”, gdzie dostawca kontroluje przepustowość na dozwolonym poziomie, podczas gdy filtrowanie ruchu pozostaje całkowicie w gestii klienta.
Mit nr 2: Certyfikaty operatora pozwolą mi spełnić wymagania regulacyjne
Dostawcy usług, dla których ochrona danych swoich klientów jest priorytetem, certyfikują swoją infrastrukturę i procesy biznesowe zgodnie ze wszystkimi niezbędnymi standardami w zakresie bezpieczeństwa informacji. Następnie oferują już certyfikowane środowiska publiczne lub prywatne do hostowania niezbędnych usług dla klientów. Ale migracja do chmury nie zwalnia klienta z certyfikacji.
Każda firma, która gromadzi, przechowuje i przekazuje dane osobowe, medyczne lub dotyczące płatności swoich klientów, musi je chronić na trzech poziomach:
- fizycznie (przechowywanie sprzętu fizycznego)
- wirtualnie (infrastruktura wirtualna)
- na poziomie oprogramowanie (strona, aplikacja lub usługa itp.)
Jeśli klient korzysta z usług IaaS lub PaaS, certyfikat dostawcy zamyka pierwsze dwa poziomy. Za poziom oprogramowania odpowiada użytkownik usług w chmurze. Oznacza to, że klient otrzymuje wyizolowane środowisko wirtualne, do którego tylko on ma dostęp. I tę zawartość powinien certyfikować osobno.
Jeśli firma chce zmienić dostawcę, trzeba będzie na nowo przejść certyfikację.
Mit nr 3: Migrując do chmury, nie trzeba będzie zajmować się administrowaniem i tworzeniem kopii zapasowych
Wynajem chmury wiąże się z serwisowaniem, aktualizacjami, wsparciem infrastruktury wirtualnej oraz jej działaniem zgodnie z ustalonym SLA. Wszystko w niej umieszczone jest własnością klienta. Instalowanie i aktualizowanie oprogramowania, ustawienia sieciowe oraz administrowanie własnej infrastruktury w chmurze jest więc całkowicie po jego stronie.
Podobnie jest z kopiami zapasowymi. Bardzo często klienci myślą, że kopie zapasowe są dostarczane z infrastrukturą chmurową lub że są tworzone domyślnie. Jednak są w błędzie. W rzeczywistości tworzenie kopii zapasowych to taka sama usługa, co zamówienia chmury publicznej lub prywatnej. Dostępna jest usługa tworzenia kopii zapasowych, natomiast do obowiązków specjalistów IT należy jej prawidłowe skonfigurowanie i monitorowanie.
Migracja do chmury nie uwalnia całkowicie firmy od zadań związanych z IT. Uwalnia ją jednak od dużej części pracy w dziale IT, co pozwala zająć się rozwojem firmy, a nie obsługą infrastruktury IT.
Wcześniej opowiadaliśmy czym jest SLA i dlaczego usługi nie mogą być świadczone ze 100% efektywnością.