Zarządzanie ryzykiem
Współdzielenie jest podstawową koncepcją dzięki, której chmura działa. Bez względu na model rozmieszczenia usług, oferta chmury powinna uwzględniać następujące aspekty, nawet jeśli infrastruktura nie jest współdzielona: • Wymuszanie polis – każdy klient musi mieć możliwość wymuszania własnych, specyficznych polis dla swoich urządzeń działających w chmurze. Część z nich będzie skoncentrowana na aspektach bezpieczeństwa haseł, część na szyfrowaniu danych, a jeszcze inni na kontroli dostępu. W modelu współdzielenia każdy klient może wymusić swoje polisy odpowiednie dla każdego środowiska istniejącego na urządzeniach zainstalowanych w chmurze. • Segmentacja – klienci powinni posiadać możliwość segmentacji urządzeń i wykorzystywania zaawansowanych narzędzi projektowania i segmentacji sieci. • Izolacja – w modelu dzielonej infrastruktury maszyny wirtualne działają na wspólnej warstwie sprzętowej. Dla dostawców usług oznacza to konieczność udostępnienia możliwości odizolowania danych przechowywanych we wspólnym środowisku. • Nadzór (Governance) – w ostatecznym rozrachunku to klient jest odpowiedzialny za dane i aplikacje
32
przetwarzane w modelu chmury. Zatem dostawca powinien dostarczyć dowody i narzędzia wspierające utrzymanie zgodności spełniające wymagania klientów. Dostawcy nie są zainteresowani udostępnianiem swoich środowisk audytorom
bezpieczeństwa informacji dostawca usług może przejść proces audytu i certyfikacji wg normy ISO/IEC 270001. •P oziomy usług – dostawca usługi powinien posiadać możliwość oferowania różnych poziomów usług
Przetwarzanie w chmurze definiuje się poprzez określenie 5 istotnych cech, 3 modeli usług (IaaS, PaaS i SaaS) oraz 4 modeli rozmieszczenia usług. działającym w imieniu klienta. Wielu z nich zamiast tego poddaje się różnym audytom i certyfikacjom, które mają potwierdzić istnienie systemu kontroli na miejscu. Przykładowo może to być badanie zgodne ze standardem SSAE - Standards for AttestationEngagements No. 16 (dawny „SAS 70”). SSAE stanowi oficjalny raport o budowie, wdrożeniu i efektywności operacyjnej mechanizmów kontrolnych organizacji świadczącej usługi. Innym przykładem jest standard PCI DSS (Payment Card Industry Data Security Standard) odnoszący się do bezpieczeństwa płatności kartami płatniczymi. Amazon przeszedł przez ocenę zgodności z wymaganiami PCI DSS, aby zademonstrować, że ich infrastruktura może być wykorzystywana przez organizacje, które muszą działać zgodnie z wymaganiami tego standardu. W zakresie
GRUDZIEŃ 2012 www.prevent-magazine.pl
dla poszczególnych klientów. Ten aspekt współdzielenia dotyczy sposobu, w jaki dostawca projektuje architekturę swojego środowiska, aby spełnić różne wymagania klientów np. w stosunku do dostępności, kiedy część klientów wymaga bezawaryjnego działania swoich maszyn lub systemów, a część ma mniejsze wymagania w tym zakresie. •M odel billingowy – korzystanie z modelu chmury oraz płatności za usługi powinny się odbywać w sposób jak najbardziej elastyczny dla klienta. To oznacza, że w przypadku, gdy klient chce skorzystać z wielu różnych usług jednocześnie, np. ilość maszyn, ilość pamięci lub przestrzeni dyskowej, dostawca powinien pobierać opłaty za każdą z tych usług z osobna w oparciu o ich faktyczne użycie. To jest poziom szczegóło-