Cloud computing Bezpieczeństwo
gdyby It było smażalnią kurczaków... Różnice między chmurami Gotowe elementy Całe kurczaki Własna ferma SaaS PaaS IaaS Software as a Service Platform as a Service Infrastructure as a Service
Chmura – co to jest? Różne nazwy - cloud, cloud computing, chmura, przetwarzanie w chmurze Nowy rodzaj outsourcingu IT - tyle i aż tyle Przykłady: Amazon Web Services (AWS), Microsoft Azure Office 365 – w tym OneDrive, Word/Excel/Powerpoint Online DropBox, Google Drive iCloud Netflix, HBO GO, Evernote, i wiele innych
Chmura – zacznijmy od problemów Regulatorzy Gdzie są dane Procesorzy / podwykonawcy i ich podwykonawcy i tak dalej… Wymagania i ograniczenia sektorowe (KNF, prawo) Kto ma dostęp do danych? Kto zarządza? Jak dostawca tym zarządza? Czy można mu zaufać? Własny dostęp – czasami lekkomyślny (np. single authentication factor do konta billingowego) Separacja w chmurach publicznych Plan ucieczki (exit plan - często zapominany, czasami niemożliwy) Specjaliści od cloud – wysoki koszt, niska dostępność
Amazon web services Usługi „nietypowe” w AWS (w porównaniu do „zwykłej” infrastruktury Elastic loud balancer Security groups S3 CloudTrail – logi z chmury VPC
Chmura – zacznijmy od problemów (cd.) Bezpieczeństwo chmury vs. bezpieczeństwo w chmurze Granice między dostawcą a użytkownikiem w zapewnieniu bezpieczeństwa Jak monitorować co się dzieje? I czy rzeczywiście wszystko widać Jakie jest naprawdę bezpieczeństwo? (nawet jeśli to jest IaaS?) Szyfrowanie? IDS/IPS w chmurze SIEM. Co jeśli SIEM jest w... innej chmurze!
Wybierając chmurę pomyśl o… Otoczenie prawne (GIODO, KNF, sektorowe) Szacowanie ryzyka Uznane standardy – dostawca Kontrola nad dostawcą / Możliwość jego kontroli Bezpieczeństwo danych Umowa (outsourcing, przy czym jest to też powierzenie z UODO) Zarządzanie zmianami (co jeśli dostawca zmieni tak usługę, że nam przestanie pasować) Ciągłość działania (dostawcy) i jaki jest Twój plan gdyby coś poszło nie tak Plan ewakuacji (exit plan)
Na koniec - Zalety Na czym korzystamy? „Hurtem taniej” – efekt skali data centre, komunikacja, harwdare (szafy, sprzęt) licencje i utrzymanie (np. patchowanie czy hardening) rozwiązywanie problemów „Hurtem taniej” – efekt skali Dostawca inwestuje w sprzęt, licencje, ludzi i ich wiedzę Codzienne administrowanie po jego stronie Nie ma problemu ze skalowalnością – „więcej” jest zawsze możliwe Popularne „pay-as-you-go” (tak jak za prąd)
Zalety – Więcej skrzydełek Szybkość postawienia środowiska lub maszyny dla developmentu lub testów w blachach – czasami odpuszczało się bo koszt (czas + licencje) Patchowanie (aktualizacje) lub testy Odtwarzanie Automatyzacja (automatyczne zabijanie serwerów i ich stawianie na nowo – Chaos Monkey) Autoscaling (przyjedzie więcej kurczaków, gdy masz więcej klientów – nic nie musisz robić)