Bezpieczeństwo w chmurze

Dane są narzędziem nowoczesnej gospodarki cyfrowej lub nowym złotem firm (sektora prywatnego), ale także państwa (sektora publicznego). W dzisiejszym zdigitalizowanym świecie istnieje niepowstrzymany strumień nowych rekordów danych, które trafiają do Internetu w dużych ilościach. Niektóre z tych rekordów danych odnoszą się do danych osobowych, które reprezentują tożsamość cyfrową. Prawdziwą sztuką w firmie jest ostrożne filtrowanie tych danych, a przede wszystkim ich przechowywanie. Celem tego krótkiego artykułu jest pokazanie danych w chmurze i sposobu ich przetwarzania z perspektywy firmy. Ponadto ten krótki artykuł pokazuje, jakie rodzaje umów, architektur i odpowiednich środków bezpieczeństwa przed cyberatakami podejmuje branża, aby mieć solidne podstawy do przetwarzania własnych danych.

Zanim zagłębimy się bezpośrednio w temat bezpieczeństwa w chmurze, należy najpierw poznać kilka kluczowych faktów na temat przetwarzania w chmurze, sposobu jego działania i struktury chmury: "Przetwarzanie w chmurze to model przetwarzania danych, który umożliwia wygodny dostęp do współdzielonej puli konfigurowalnych zasobów komputerowych (np. sieci, serwerów, systemów pamięci masowej, aplikacji i usług) za pośrednictwem sieci w dowolnym czasie i z dowolnego miejsca. Mogą być one udostępniane szybko i przy minimalnym wysiłku administracyjnym lub interakcji z dostawcą usług. Chmura może być wykorzystywana w trzech wariantach (infrastruktura jako usługa (IaaS), platforma jako usługa (PaaS), oprogramowanie jako usługa (Saas)). Rodzaj chmury różni się w zależności od rodzaju świadczenia (chmura prywatna, chmura społecznościowa, chmura publiczna, chmura hybrydowa)." [1]

W obszarze przetwarzania w chmurze istnieją różne rodzaje udostępniania, tj. sposób, w jaki dostawcy usług w chmurze udostępniają usługi w chmurze swoim użytkownikom. Istnieją cztery główne modele związane z przetwarzaniem w chmurze:

1. chmura publiczna

Chmura publiczna umożliwia wszystkim użytkownikom dostęp do zasobów komputerowych, takich jaksprzęt (system operacyjny, procesor, pamięć) lub oprogramowanie (serwer aplikacji, baza danych) na zasadzie subskrypcji lub płatności zgodnie z rzeczywistym użyciem. Praktyczne przypadki użycia obejmują opracowywanie i testowanie aplikacji do zadań krytycznych i niekrytycznych, takich jak udostępnianie plików i usługi poczty e-mail.

2. Chmura prywatna

Chmura prywatna jest zwykle używana wyłącznie przez jedną organizację i może być zarządzana wewnętrznie lub przez zewnętrznego dostawcę usług IT. Chociaż chmury prywatne są często droższe niż chmury publiczne ze względu na inwestycje w zakup i utrzymanie, skuteczniej rozwiązują obawy organizacji związane z bezpieczeństwem i ochroną danych.

3. Chmura hybrydowa (hybrydowa forma fizycznego centrum danych lub zewnętrznej chmury prywatnej i/lub chmury publicznej)

Chmura hybrydowa wykorzystuje zarówno infrastrukturę chmury prywatnej, jak i publicznej. Firmy wybierają ten model, aby w razie potrzeby szybko rozbudować swoją infrastrukturę IT. Przykładowo, internetowy sprzedawca detaliczny może korzystać z zasobów chmury publicznej w okresie świątecznym, aby uzupełnić lub odciążyć pojemność swojej chmury prywatnej.

4. Chmura społecznościowa

Chmura społecznościowa obsługuje kilka organizacji, które wspólnie korzystają z zasobów komputerowych. Należą do nich na przykład uniwersytety, które współpracują w określonych obszarach badawczych, lub podmioty państwowe, takie jak wydziały policji w okręgu, które dzielą się zasobami. Dostęp do chmury społecznościowej jest ograniczony do członków społeczności.

Koszty dla użytkownika końcowego są tradycyjnie niskie w przypadku chmur publicznych, bez potrzeby dużych inwestycji. Z drugiej strony, chmury prywatne wymagająinwestycji, ale oferują zasadnicze oszczędności w porównaniu do kosztów operacyjnych własnej infrastruktury.Zasadnicze oszczędności. Chmury prywatne gwarantują również większe bezpieczeństwo iniż chmury publiczne. Dlatego też niektóre organizacje wykorzystują chmury prywatne do krytycznych lub bardziej wrażliwych danych i aplikacji, a chmury publiczne do podstawowych zadań, takich jak tworzenie aplikacji, środowiska testowe i usługi poczty elektronicznej. [2]

Hybrydowe rozwiązanie chmurowe to dobry sposób na zminimalizowanie lub zdywersyfikowanie ryzyka cyberataku. Zapewnia to większą kontrolę nad własnym bezpieczeństwem w porównaniu z czystym wykorzystaniem chmury publicznej. Ponadto, infrastruktura chmury hybrydowej oferuje możliwość ustawienia indywidualnych standardów bezpieczeństwa i konfiguracji niestandardowego oprogramowania na prywatnych serwerach.Indywidualna konfiguracja oprogramowania na prywatnych serwerach. Taka dystrybucja prowadzi do zwiększenia niezawodności systemu i lepszej oceny problemów systemowych.

Ponadto efektywność kosztowa jest wyższa niż w przypadku zakupu i utrzymywania serwerów na miejscu. [3]

Modele architektury usług w chmurze

Biorąc pod uwagę korzyści płynące z hybrydowego rozwiązania chmurowego, od zwiększonej kontroli bezpieczeństwa po lepszą niezawodność, ważne jest, aby zrozumieć różne architektury usług w chmurze. Architektury te, a mianowicie infrastruktura jako usługa (IaaS), platforma jako usługa (PaaS) i oprogramowanie jako usługa (SaaS), oferują różne poziomy świadczenia usług i definiują różne obowiązki w zakresie zgodności.

1. infrastruktura jako usługa (IaaS)

Dostawcy IaaS zapewniają podstawową infrastrukturę obliczeniową, pamięci masowej i sieciową, a także hypervisor do wirtualizacji.hypervisor do wirtualizacji. Użytkownicy są odpowiedzialni za tworzenie i zarządzanie wirtualnymi instancjami, instalowanie systemów operacyjnych, dostarczanie aplikacji i danych oraz za całą konfigurację. IaaS jest interesujący zarówno dla małych, jak i średnich firm. Prosta obsługa infrastruktury chmurowej, która nie jest obsługiwana we własnym zakresie, jest opłacalną alternatywą dla zakupu własnego sprzętu.

Przykłady: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. platforma jako usługa (PaaS)

Dostawcy PaaS rozszerzają stos aplikacji bardziej niż IaaS, dodając systemy operacyjne i oprogramowanie pośredniczące (np. bazy danych). Użytkownicy koncentrują się bardziej na rozwoju aplikacji. Platforma zarządza infrastrukturą bazową.

Przykłady: AWS Elastic Beanstalk, Google App Engine.

3. oprogramowanie jako usługa (SaaS)

Dostawcy SaaS oferują kompletny stos aplikacji. Użytkownicy mogą uzyskać dostęp do w pełni hostowanej aplikacji za pośrednictwem przeglądarki internetowej. Zarządzanie obciążeniami i zasobami IT jest całkowicie pod kontrolą dostawcy SaaS, podczas gdy użytkownicy mają wyraźną kontrolę nad danymi tworzonymi przez aplikację.

Przykłady: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

Chmura w prawie umów

Umowy SaaS nie zostały jeszcze wyraźnie uregulowane przez ustawodawcę. Do chwili obecnej umowa SaaS może być prawnie sklasyfikowana jedynie jako umowa mieszana, która obejmuje aspekty umów o świadczenie usług, umów o dzieło i umów najmu. Właściwy obszar prawa zależy zatem od odpowiedniej sekcji umowy dotyczącej usług. Centralny element umowy SaaS leży przede wszystkim w prawie najmu, ponieważ dostarczanie oprogramowania najlepiej porównać do przeniesienia własności na mocy prawa najmu. Ponieważ oprogramowanie nie jest uważane za "rzecz" w rozumieniu prawa najmu, obecny pogląd jest taki, że umowy SaaS stanowią tymczasowe przekazanie do użytkowania. Jest to zgodne z przepisami i celem prawa najmu. [5]

Umowy PaaS charakteryzują się w dużej mierze umowami o gwarantowanym poziomie usług (SLA), któreminimalny zakres usług oraz określają prawa i obowiązki obu stron umowy.

Ochrona i bezpieczeństwo danych odgrywają kluczową rolę, ponieważ usługi PaaS często wiążą się z przetwarzaniem danych wrażliwych. Umowa musi zawierać jasne postanowienia dotycząceochrony danych osobowych. Istotne jest również określenie w umowie, kto jest właścicielem własności intelektualnej stworzonych aplikacji, przy czym użytkownik zwykle zachowuje własność aplikacji, a dostawca zachowuje własność platformy. [6]

Podsumowanie

Niezależnie od tego, czy jesteś startupem, firmą venture capital, MŚP czy większą firmą, bezpieczeństwo w chmurze ma kluczowe znaczenie dla każdej organizacji.

Ważne jest nie tylko rozważenie, z którymi dostawcami usług w chmurze chcesz współpracować jako firma.dostawców, ale także jakie warunki ramowe są ustalone.

Ostatecznie bezpieczeństwo nie jest wyłączną odpowiedzialnością dostawcy usług technologii chmury per se; pracownicy firmy odgrywają równie ważną rolę w aspekcie bezpieczeństwa chmury.

Niezbędne jest regularne inwestowanie w szkolenia i uwrażliwianie pracowników, aby zapewnić im niezbędną wiedzę do radzenia sobie z zasadami i procedurami bezpieczeństwa. Aby jednak w pełni wykorzystać potencjał chmury, firmy powinny inwestować zarówno w utrzymanie własnych systemów lub systemów partnerów zewnętrznych, jak i w rekrutację nowych pracowników IT. W ten sposób firma może zapewnić bezpieczeństwo systemu, a tym samym zwiększyć zadowolenie klientów, poprawiając tym samym reputację firmy w dłuższej perspektywie.

Głównym punktem spornym przy wyborze zewnętrznego dostawcy usług w chmurze zawsze była zależność firmy od zagranicznych dostawców i ich danych.zależność firmy od zagranicznych dostawców i ich przepisów dotyczących ochrony danych. Firmy stawiają czoła temu wyzwaniu za pomocą takich środków, jak dokładne zbadanie wytycznych dotyczących ochrony danych, hybrydowe podejście do chmury w celu zminimalizowania ryzyka, ocena środków bezpieczeństwa i certyfikatów dostawcy, ocena wpływu na ochronę danych, regularne monitorowanie i audyty oraz przygotowanie na ewentualne naruszenia ochrony danych. Strategie różnią się w zależności od wielkości firmy i branży, ale wszystkie mają na celu zapewnienie zgodności z przepisami dotyczącymi ochrony danych i zminimalizowanie potencjalnego ryzyka podczas korzystania z zewnętrznych usług w chmurze.

Lista źródeł

Cloud computing
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Cloud Deployment Model (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Zrozumieć chmurę - czy wiesz, czym jest chmura publiczna, a czym chmura hybrydowa? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Co to jest IaaS? Definicja i interesujące fakty
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Platforma jako usługa (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

Na co powinieneś zwrócić uwagę przy sporządzaniu umów SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Umowy dotyczące platform jako usług (umowy PaaS): Przewodnik (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html

Powiązane artykuły

TEN jeden błąd gramatyczny w wiadomości e-mail sprawia, że stajesz się nieprofesjonalny! (90% z nich)
Stwórz klona Tetrisa w 2 godziny. Moje wyzwanie dla wszystkich koderów Vibe?
Jaki rodzaj kopii zapasowej jest najlepszy dla moich danych?

Napisz komentarz tutaj...