ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Elektrotechnická fakulta Katedra ekonomiky, manažerství a humanitních věd
Bezpečnostní specifika provozu aplikací v prostředí cloudu
Security Aspects of Applications Running in the Cloud Bakalářská práce
Studijní program: Softwarové technologie a management Studijní obor: Manažerská informatika
Vedoucí práce: Ing. Pavel Náplava
Jan Šefránek Praha 2013
Prohlášení: Prohlašuji, že jsem předloženou práci vypracoval samostatně a že jsem uvedl veškeré použité informační zdroje v souladu s Metodickým pokynem o dodržování etických principů při přípravě vysokoškolských závěrečných prací.
V Praze dne
Podpis
Poděkování: Děkuji zejména vedoucímu bakalářské práce panu Ing. Pavlu Náplavovi za všechny cenné rady a za vždy jasné nasměrování na správnou cestu. Jako vedoucí mi pan Ing. Pavel Náplava byl velmi nápomocný a pokaždé mi ochotně poradil. Dále bych chtěl poděkovat svým nejbližším za podporu při tvorbě bakalářské práce.
Abstrakt: Práce se věnuje problematice bezpečnosti cloudu. V teoretické části jsou obsaženy základní informace o tom, co je to cloud, jeho typy a důležité vlastnosti. Hlavním bodem teoretické části je legislativa, její momentální stav a rozdíly mezi jednotlivými státy. Práce dále podrobně rozebírá smluvní podmínky poskytovatele a v neposlední řadě je podrobně popsána bezpečnost cloudu a rozdíly oproti on-premise řešení. V praktické části jsou shrnuty reálné bezpečnostní problémy, které v minulosti nastaly u cloudových služeb pro širokou veřejnost a je popsán možný způsob pro rozhodování, jestli zvolit cloud nebo raději zůstat u on-premise řešení, pro různě velké firmy, které se rozhodují podle ceny a bezpečnosti řešení.
Abstract: Work is about problematic of security of cloud computing. Theoretical part includes basic information about cloud: what is it cloud, types and important properties. The basic element of theoretical part is legislation, current state and differences between individual states. Work describes in detail Terms and Conditions and describes security of cloud and differences against on-premise solution and more. In practical part there are summarized real security issues that occurred in the past at public cloud security services. At the end of the work i recommend for which company size is it worth to choose cloud or if it’s better to stay at on-premise solution.
Klíčová slova: cloud, cloud computing, bezpečnost, legislativa, server, soukromí, ochrana osobních údajů, lokální síť, rozhodování, zákon
5
Obsah Úvod ............................................................................................................................................ 9 1.
On-premise ....................................................................................................................... 10
2.
Cloud ................................................................................................................................. 10 2.1
2.1.1
Škálovatelnost ..................................................................................................... 11
2.1.2
Levnější správa .................................................................................................... 12
2.1.3
Dostupnost odkudkoliv ....................................................................................... 12
2.1.4
Sdílení systému ................................................................................................... 12
2.1.5
Bezpečnost .......................................................................................................... 12
2.2
Základní typy cloudů .................................................................................................. 12
2.2.1
Veřejný cloud ...................................................................................................... 12
2.2.2
Soukromý cloud .................................................................................................. 13
2.2.3
Komunitní cloud .................................................................................................. 13
2.2.4
Hybridní cloud ..................................................................................................... 13
2.3
3.
Důležité vlastnosti cloudů .......................................................................................... 11
Distribuční model ....................................................................................................... 13
2.3.1
Infrastructure as a Service -IaaS ......................................................................... 13
2.3.2
Platform as a Service - PaaS ................................................................................ 14
2.3.3
Software as a Service - SaaS................................................................................ 14
Zabezpečení on-premise řešení a cloudu ......................................................................... 14 3.1
Záloha dat ................................................................................................................... 14
Cloud ................................................................................................................................. 14 On-premise ....................................................................................................................... 15 3.2
Zneužití dat nebo jejich fyzické odcizení .................................................................... 15 6
Cloud ................................................................................................................................. 15 On-premise ....................................................................................................................... 15 3.3
Útoky z venčí .............................................................................................................. 15
Cloud ................................................................................................................................. 15 On-premise ....................................................................................................................... 16 3.4
Antivirové řešení ........................................................................................................ 16
Cloud ................................................................................................................................. 16 On-premise ....................................................................................................................... 16 3.5
Zastaralé verze softwaru ............................................................................................ 16
Cloud ................................................................................................................................. 16 On-premise ....................................................................................................................... 16 3.6
Stabilita, dostupnost a spolehlivost ........................................................................... 17
Cloud ................................................................................................................................. 17 On-premise ....................................................................................................................... 17 3.7
Rychlost řešení případných problémů ........................................................................ 17
Cloud ................................................................................................................................. 17 On-premise ....................................................................................................................... 17 4.
5.
Legislativa .......................................................................................................................... 18 4.1
Rozdíl mezi jednotlivými státy .................................................................................... 18
4.2
Legislativa v ČR ........................................................................................................... 20
4.3
Legislativa v EU ........................................................................................................... 22
4.4
Využívání cloudu pro nelegální data .......................................................................... 23
4.5
Ochrana osobních údajů ............................................................................................ 24
Smluvní podmínky poskytovatele cloudu ......................................................................... 27 7
5.1
Smluvní podmínky firmy Google ................................................................................ 27
5.1
Smluvní podmínky firmy Microsoft ............................................................................ 29
6
Cloud Security Alliance ..................................................................................................... 30
7
Reálné bezpečnostní problémy ......................................................................................... 30 7.1
DDOS útoky ................................................................................................................ 31
7.2
Bezpečnostní problémy fungujících cloudů pro veřejnost ......................................... 32
7.2.1
Dropbox............................................................................................................... 32
7.2.2
Skydrive ............................................................................................................... 33
7.2.3
Google Drive ....................................................................................................... 34
8
Software 602 a.s. .............................................................................................................. 35
9
Vliv bezpečnosti na ekonomiku cloudu ............................................................................ 35 9.1
Malá firma s 30 zaměstnanci ..................................................................................... 36
9.2
Středně velká firma s 300 zaměstnanci ...................................................................... 42
9.3
Velká firma s 3000 zaměstnanci ................................................................................. 45
9.4
Shrnutí a doporučení jednotlivým firmám ................................................................. 45
9.4.5
Velikost firmy....................................................................................................... 46
9.4.6
Druh a velikost ukládaných dat ........................................................................... 47
9.4.7
Použití cloudu...................................................................................................... 47
9.4.8
Spolehlivost ......................................................................................................... 47
9.4.9
Legislativa ............................................................................................................ 47
Závěr.......................................................................................................................................... 48 Seznam obrázků a tabulek ........................................................................................................ 50 Zdroje ........................................................................................................................................ 51
8
Úvod Všechny informační technologie v celém světě postupně míří do cloudu. Čím dál více dat, a to i osobních, ukládáme na internetové servery, jejichž fyzickou polohu neznáme a v podstatě pro nás není ani důležitá. Jsou ale taková data v bezpečí? Poskytovatelé nás ujišťují, že jsou ve větším bezpečí než na lokálním úložišti, ale jestli tomu tak opravdu je, zůstává otázkou. K čemu se upíšeme tím, že odsouhlasíme podmínky při zřizování cloudu a co na to říká stát a legislativa? Pokud firma používá lokální řešení, kdy má a kdy nemá smysl přejít na cloud? Nejen tyto otázky jsem se v práci snažil rozebrat a zodpovědět. Práci jsem rozdělil na dvě části, teoretickou a praktickou, teoretická část je zaměřena na problematiku cloudu a jeho bezpečnosti. Za bezpečnost jsem neuvažoval jen ztrátu nebo únik dat, ale i stabilitu, nebo například funkčnost bez výpadku. Hlavním cílem této části je zjistit momentální stav legislativy v různých zemích a porovnat bezpečnost cloudu s on premise řešením. V praktické části se potom věnuji reálným bezpečnostním problémům, které u cloudů pro veřejnost nastaly a mohly ohrozit data každého z nás. Cílem praktické části je zjistit, kterým organizacím se cloud z bezpečnostního hlediska vyplatí, přihlídneme-li i na cenu. V závěru práce na základě teoretických poznatků doporučuji, pro které firmy má smysl přejít z on-premise řešení na cloud a pro které ne. Vše beru z ekonomického a bezpečnostního hlediska. Téma bezpečnosti cloudu jsem si zvolil vzhledem k osobnímu zájmu o toto téma a zároveň kvůli jeho aktuálnosti. Cloud se dnes týká každého z nás, znalost jeho bezpečnosti by proto měla být v našem zájmu. Jak mohou být data v cloudu zneužita a na co se v cloudu můžeme nebo nemůžeme spolehnout. Práce navazuje na stejnojmenný semestrální projekt a rozšiřuje ho, jak v teoretické části, tak zejména na něj navazuje a doplňuje ho v části praktické.
9
1. On-premise Základní myšlenka on-premise řešení je taková, že má firma svoji vlastní infrastrukturu. Má vlastní servery a stará se o jejich zabezpečení, údržbu i zálohování. Veškerý software, který firma provozuje, běží na vlastním hardware uvnitř firmy a o jeho správu se starají pověřené osoby. V poslední době s rychlým a stabilním internetovým připojením vzniká další možnost, jak IT služby řešit, cloudem, nebo jeho kombinací s on-premise řešením. Většina firem cloudu nedůvěřuje, má strach ukládat data na cizí servery uložené mimo jejich firmu, ale je opravdu on-premise řešení bezpečnější? Abychom si mohli na tuto otázku odpovědět, potřebujeme vědět, co to cloud je a jak vlastně funguje.
2. Cloud Cloud je v poslední době čím dál více používaný pojem a v budoucnu tomu nejspíš nebude jinak. V této kapitole jsem se věnoval pojmu cloud, jeho základním typům a vlastnostem. Obrázek 1: Cloud computing
10
S aplikacemi v cloudu se už nesetkávají jen zákazníci ve firemní sféře, ale i běžní uživatelé. Nabízí se tedy otázka, co je to vlastně cloud. Cloud výstižně reprezentuje Obrázek 1: Cloud computing. Pod pojmem cloud si můžeme představit poskytování služeb a aplikací běžících někde na vzdáleném serveru. Téměř každá firma provozuje svůj server, na kterém běží minimálně emailový server. I tohle by se dalo nazvat cloudem, obzvlášť pokud se lze připojovat vzdáleně přes webové rozhraní, které na serveru běží. Zkrátka není jednoduché přesně určit hranici, kdy se jedná o cloud a kdy ne. Pro představu, co je v cloudu jinak než v on-premise řešení, je třeba si uvědomit důležité vlastnosti cloudu a rovněž to, jak ho rozdělujeme.
2.1 Důležité vlastnosti cloudů V této podkapitole jsem uvedl několik hlavních vlastností cloudu.
2.1.1 Škálovatelnost Vzhledem k tomu, že si klient kupuje pouze část výkonu velkého serveru, je obrovskou výhodou právě škálovatelnost. Klient může využívat právě tolik výkonu, kolik potřebuje a platit jen za výkon, který skutečně používá. Nemusí se zabývat tím, že je nezbytná koupě nového serveru a investice do jeho údržby. Vše znázorňuje Graf 1. Při potřebě velkého výkonu může aplikace běžet na velkém množství serverů a klient se nemusí o nic starat. Obrázek 2 Škálovatelnost cloudu
11
2.1.2 Levnější správa Vzhledem k odpadnutí nutnosti nákupu vlastního hardware a následné údržby, klient většinou ušetří na správě systému. Při používání on-premise řešení je nutno investovat velké částky do hardware, licencí pro aplikace a jiných záležitostí potřebných pro ideální zabezpečení, dále je třeba komplikovaně řešit zálohování a nespočet dalších věcí. O vše se musí starat vyškolený IT personál. Pokud si firma raději zvolí koncové řešení cloudového poskytovatele, tohle vše může odpadnout a zodpovědnosti se chopí poskytující firma.
2.1.3 Dostupnost odkudkoliv V případě cloudového řešení máme přístup do aplikace běžící v cloudu zaručený odkudkoliv. Pokud vezmeme v úvahu například cloudové úložiště, tak oproti klasickému lokálnímu řešení se uživatel nemusí zabývat tím, jestli si data nahrál na přenosné medium nebo je někam poslal. V okamžiku kdy své soubory uloží, jsou automaticky synchronizovány a jsou dostupné odkudkoliv.
2.1.4 Sdílení systému Jeden server využívá více uživatelů zároveň. Při správné implementaci by měly převažovat výhody. Prostředky ušetřené tímto způsobem mohou být obrovské.
2.1.5 Bezpečnost Vzhledem ke složitosti a komplexnosti problematiky jsem se bezpečnosti cloudu zabýval v kapitole 3. Zabezpečení on-premise řešení a cloudu.
2.2 Základní typy cloudů Tato kapitola popisuje rozdělení cloudu podle toho, jak je poskytován. Na veřejný, soukromý, komunitní a hybridní.
2.2.1 Veřejný cloud Veřejný cloud je nejběžnějším typem cloudu. Základní vlastností je to, že jsou zdroje sdíleny s ostatními zákazníky cloudu, což může být pro větší firmy velká nevýhoda. V dnešní době existuje spousta druhů veřejného cloudu. Hlavní rozdělení jsem dále rozebíral v kapitole 2.3 Distribuční model. Prakticky se jedná o téměř všechny veřejně dostupné cloudy, například 12
datové úložiště typu Dropbox, GoogleDrive, emailové schránky jako je Gmail nebo email od jiných poskytovatelů (Seznam.cz a.s., Centrum.cz centrum holdings). Zároveň mezi veřejné cloudy může patřit i komplexní cloudové řešení, jako je například služba Windows Azure od firmy Microsoft.
2.2.2 Soukromý cloud Soukromý cloud poskytuje stejné služby jako cloud veřejný, ale pouze jedné organizaci. Tento typ cloudu oplývá lepší škálovatelností a nastavení přesně na míru konkrétní společnosti, která ho bude používat. Soukromý cloud většinou používají velké firmy, kterým veřejný cloud nevyhovuje.
2.2.3 Komunitní cloud Komunitní cloud je velmi podobný soukromému, jen je určen pouze pro určitou definovanou komunitu. Zpravidla se jedná o několik organizací, které mezi sebou spolupracují.
2.2.4 Hybridní cloud Jedná se o kombinaci veřejného a soukromého cloudu. Například když organizace používá více služeb od různých poskytovatelů, tedy naráz používá jak cloud veřejný, tak soukromý. Řešení jako celek působí jako jeden cloud, ale ve skutečnosti tomu tak není.
2.3 Distribuční model Cloud můžeme rozdělit také podle toho, co nám nabízí. Zdali je to pouze potřebný hardware, vývojová platforma, nebo hotový softwarový produkt.
2.3.1 Infrastructure as a Service -IaaS Infrastruktura jako služba je typ cloudu, kdy poskytovatel poskytuje celou infrastrukturu. Jinými slovy nám poskytovatel dá k dispozici hardware, na kterém si můžeme spouštět náš nebo jeho software. V tomto případě je důležité převážně to, kolik zákazník na server uloží dat a kolik spotřebuje času procesoru. Podle těchto parametrů se odvíjí i cena. Zákazník v tomto případě ušetří na provozu svého serveru a odpadá nutnost instalace a provozu aplikace na svém vlastním zařízení. Jako příklad tohoto typu cloudu si lze představit například Amazon 13
Web Services od firmy Amazon. Tento typ cloudu patří mezi nejstarší. Je vhodný, pokud chceme mít kontrolu nad aplikací, ale nechceme se starat o hardwarovou stránku věci.
2.3.2 Platform as a Service - PaaS Platforma jako služba je typ cloudu nacházející se někde mezi IaaS a SaaS (viz níže). Poskytovatel dává k dispozici platformu pro vývoj aplikace. Jde o komplexní řešení, které obsahuje sadu nástrojů potřebných k vytvoření finálního produktu. Příkladem tohoto typu je například Google App Engine od firmy Google.
2.3.3 Software as a Service - SaaS Software jako služba je typ cloudu, kdy poskytovatel dává k dispozici hotovou aplikaci. Pro koncové zákazníky, kteří nechtějí vyvíjet svou aplikaci, ale pouze používat hotový produkt, je to nejběžnější typ cloudu. Například služby jako Gmail, Dropbox, Office 365 a další patří právě do tohoto typu cloudu. Tenhle způsob řešení je pro zákazníka naprosto nejjednodušší. Kupuje si jen přístup do aplikace a už se nemusí zajímat o to, kde aplikace běží. Nyní jsem se vrátil zpět k on-premise řešení a porovnal ho s cloudem.
3. Zabezpečení on-premise řešení a cloudu V této kapitole jsem porovnal všechny důležité bezpečnostní aspekty IT řešení. Jak u onpremise, tak u cloudu. Pokud se řekne bezpečnost, je třeba si uvědomit, co to znamená. Nejedná se pouze o možnost úniku dat, ale zároveň také o bezproblémový provoz bez výpadků.
3.1 Záloha dat Cloud Data jsou automaticky zálohována, zpravidla několikrát denně. Vše bývá zrcadleno na několik disků a tak je ztráta dat nepravděpodobná.
14
On-premise O způsob zálohování se stará odborník ve firmě, na kterém je vymyslet funkční řešení a uvést ho do praxe. Je mnohem větší pravděpodobnost, že udělá chybu zaměstnanec, který se stará o spoustu jiných věcí, než že selže automatická záloha v cloudu, která je ověřená a spolehlivá.
3.2 Zneužití dat nebo jejich fyzické odcizení Cloud Zneužití dat můžeme minimalizovat jejich dobrým šifrováním, lze ho tedy téměř vyloučit. Fyzické odcizení serveru samozřejmě připadá v úvahu, ale vzhledem ke kvalitnímu zabezpečení data center je fyzické odcizení nepravděpodobné.
On-premise Používá-li firma své vlastní on-premise řešení, problém se zneužitím dat teoreticky odpadá (pokud tedy může vložit důvěru do svých zaměstnanců). V článku o bezpečnosti na internetových stránkách INFOWARE jsem se dočetl, že „Až 73 % úniků dat se děje zevnitř firmy.“1 Na každé firmě tedy je zhodnocení, zdali si může být jistá, že jsou její data opravdu v bezpečí.
3.3 Útoky z venčí Cloud Aktuální zabezpečení cloudu proti útokům z venku je bráno jako standard. Nikdy samozřejmě nemůžeme úspěšný útok naprosto vyloučit, ale jeho pravděpodobnost je minimální. Za ochranu odpovídá poskytovatel. Komplikovanější už je to se zaručením ochrany proti DDoS útokům. Těm se více věnuji v praktické části v kapitole DDoS útoky.
1
2010. IW: DLP: Viete, kde sa túlajú vaše firemné dáta? INFOWARE. *Online+ 11 3, 2010. *Cited: 5 14, 2013.+
http://www.itnews.sk/tituly/infoware/2010-11-03/c136604-iw-dlp-viete-kde-sa-tulaju-vase-firemne-data.
15
On-premise Pro uživatele je ochrana velmi komplikovaná, je třeba s možným útokem počítat a mít vždy aktuální zabezpečení jako je firewall, systémy detekce průniku a správně izolované servery od veřejné sítě. Obava z útoku hackerů ve firmách zůstává a mít bezchybně zabezpečenou a teoreticky nenapadnutelnou infrastrukturu je nereálné.
3.4 Antivirové řešení Cloud V cloudovém prostředí jsou dle společnosti T-Systems antivirové ochrany centralizované a vždy aktuální. Antivirové kontroly jsou prováděny velmi efektivně vždy s aktuální verzí softwaru.
On-premise U on-premise řešení je používán běžný antivirový program, který je třeba pravidelně aktualizovat. O základní kontrolu se stará program automaticky, příležitostně se ale může vyskytnout hrozba, se kterou si ještě antivir neumí poradit a v tom případě je vše opět na zaměstnanci, který má systém na starosti.
3.5 Zastaralé verze softwaru Cloud V cloudu se o aktuálnost systému stará poskytovatel. Ten nahrává aktualizace centralizovaně na všechny servery a je pro něj jednodušší udržovat vše aktuální. S novými verzemi softwaru souvisí i stabilita a bezpečnost.
On-premise Pokud správce IT ve firmě nestihne nebo zapomene aktualizovat software, vznikají hrozby napadení. Staré verze mohou obsahovat chyby a bezpečnostní díry.
16
3.6 Stabilita, dostupnost a spolehlivost Cloud Stabilita a dostupnost je považována jako jedna z největších výhod cloudu. Zdroje v cloudu lze přizpůsobovat podle momentální potřeby, a tak by nemělo dojít k přetížení serveru a jeho zpomalení. Pokud nastane přerušení dodávky elektrické energie nebo výpadek internetového připojení, cloud je proti tomuto výpadku zabezpečený různými systémy.
On-premise Pokud nastanou velké výkyvy v potřebném výkonu, se kterými se nepočítalo, může se server přetížit a tím vzniknou problémy s rychlostí a nedostupností. Problémem také může být delší výpadek elektrické energie nebo internetového připojení. Proti obojímu lze sehnat záložní řešení, bohužel v případě elektrické energie spíše krátkodobé.
3.7 Rychlost řešení případných problémů Cloud U cloudového řešení máme zpravidla k dispozici telefonní linku, kde je dostupný odborník, který nám je schopný poradit a vzniklé problémy okamžitě řešit.
On-premise Pokud vznikne větší problém ve firemní infrastruktuře, může být řešení poněkud komplikované. Nelze vždy předpokládat, že bude správce systému k dispozici 24hodin denně a že se mu podaří problémy během krátké doby vyřešit. Nejčastější problém není v technologiích, ale v lidských chybách. „Nejčastějšími příčinami jsou nedbalost (50 %), ztráta datových nosičů (13 %) nebo krádeže (12 %). Teprve pak následují útoky zvenku.„2 napsal Zdeněk Lejsek ze společnosti T-Systems Czech Republic do článku o bezpečnosti pro časopis Computer World. Každý rok udělají profesionálové, kteří se
2
Lejsek, Zdeněk. Bezpečný cloud – realita, nebo zbožné přání? COMPUTERWORLD. [Online] 24. 6 2012.
http://computerworld.cz/securityworld/bezpecny-cloud-realita-nebo-zbozne-prani-48519.
17
starají o cloud spoustu chyb, kvůli kterým může dojít k úniku dat a tyto problémy je třeba minimalizovat. Po rozšíření cloudu mezi firmy a běžné uživatele vznikají legislativní otázky. Mnohdy ani nevíme, kde se data nacházejí a jsou nezbytné zákony k úpravě vztahů mezi subjekty.
4. Legislativa Momentální situace je taková, že každá země má svoji legislativu a ta se dost často liší. Vzhledem k tomu, jaká je dnes na Internetu svoboda, by bylo více než vhodné, aby proběhlo nějaké sjednocení.
4.1 Rozdíl mezi jednotlivými státy V následujícím textu jsem se držel výzkumu, který vypracovala organizace Business Software Alliance a který je dostupný na adrese *2+. Business Software Alliance (BSA) je známou organizací, která se snaží prosazovat zájmy softwarového průmyslu. Často je spojována se softwarovým pirátstvím, ale poslední dobou se hodně zaobírala i problematikou legislativy cloudu. Udělala průzkum ve 24 zemích světa v tom, jakou mají legislativu a dobrala se značně rozdílných výsledků. Svou studii organizace BSA nazvala jako „The BSA Global Cloud Computing Scorecard“ a je volně k dispozici na Internetu. Studie porovnává připravenost jednotlivých zemí pro větší rozšíření cloudu. BSA ve studii tvrdí, že momentální stav a odlišnost zákonů brání rozvoji trhu cloud computingu. Studie podrobně rozebrala zákony ve 24 zemích a závěrem je, že v různých státech jsou zákony značně odlišné. Výstižně nám to ukazuje obrázek č. 2, který zobrazuje, kde je legislativa prospěšná cloudu a kde je naopak problematická. Výzkum zjistil, že země s rozvinutou ekonomikou, jako je například Japonsko, mají dobře připravenou legislativu, která podporuje rozšíření cloudu, ale naopak země s méně rozvinutou ekonomikou, jako například Brazílie, mají zákony méně prospěšné cloudu.
18
Obrázek 3 Legislativa – státy
3
Konkrétní výsledky studie lze nalézt na webových stránkách BSA, ale pro představu, jaké byly zjištěny rozdíly mezi státy, uvedu jen pár příkladů. Z maxima 100, kdy je legislativa ve všech ohledech pro rozvoj cloud computing ideální, dosáhlo Japonsko 83,3 bodů a Brazílie, která měla bodů nejméně, dosáhla 35,1. Rozdíl je to obrovský a vypovídá to o velkých odlišnostech v zákonech jednotlivých států. Výzkum byl zpracován podle několika bodů a každému z nich byla přiřazena určitá váha:
10% Soukromí dat (Data privacy)
10% Zabezpečení(Security)
10% Počítačová kriminalita (Cybercrime)
20% Duševní vlastnictví (Intellectual Property)
10% Podpora pro standardy v průmyslu a mezinárodní sjednocení pravidel (Support for Industry-Led Standards & International Harmonization of Rules)
10% Podpora volného obchodu (Promoting Free Trade)
30% Připravenost IT a zavedení širokopásmového připojení (ICT Readiness, Broadband Deployment)
3
Alliance, Business Software. GLOBAL CLOUD COMPUTING SCORECARD. *Online+ Business Software Alliance,
2012. http://portal.bsa.org/cloudscorecard2012/countries.html.
19
Jednotlivé body jsem uvedl především pro přehled, v čem všem se legislativa liší, je velmi přínosné si celý výzkum prostudovat. Tím nám samozřejmě vzniká značný problém s tím, kde se cloud nachází. Je velký rozdíl mezi tím, zdali se fyzicky server nachází v Japonsku, nebo například ve zmiňované Brazílii. Do budoucna by bylo více než vhodné, aby se legislativa v jednotlivých státech sjednotila. Bohužel to tak zatím celosvětově nevypadá, ale v poslední době projevila alespoň Evropská unie náznak sjednocování legislativy. Od toho si lze slibovat přehledná pravidla a pořádek v momentálně nepřehledném systému předpisů a norem.
4.2 Legislativa v ČR Legislativa v České republice momentálně prochází velkou změnou. Vláda zveřejnila dokument Digitální Česko, který lze najít na internetových stránkách Vlády České republiky. Dokument pojednává o momentální situaci a rozvoji informačních a komunikačních technologií v Česku. Cituji cíl dokumentu přímo z něj “Účelem tohoto dokumentu je zhodnocení současného stavu dostupnosti a rozvoje vybraných oblastí elektronických komunikací v České republice s největším potenciálem růstu a navržení potřebných nástrojů pro splnění reálných cílů, které by zajistily přiměřenou podporu ekonomického, kulturního a sociálního rozvoje české společnosti v rámci prosazujících se globalizačních trendů.” 4 Státní politika by měla mít podle vládou vydaného dokumentu Digitální Česko v nejbližší době několik jasných cílů. Jedním z cílů je odstranění nebo alespoň zredukování tzv. digitální propasti. Digitální propast si vysvětlujeme tak, že obyvatelé ve venkovských sídlech nemají možnost se připojit k vysokorychlostnímu Internetu, což souvisí i s bezpečností. Po zavedení vysokorychlostního internetu i do venkovských sídel lze očekávat nárůst používání cloudu určeného široké veřejnosti i méně znalými uživateli.
4
Digitální Česko 2.0. VLÁDA ČESKÉ REPUBLIKY. *Online+ 3 20, 2012. *Cited: http://www.vlada.cz/assets/media-centrum/aktualne/Digitalni-Cesko-v--2-0_120320.pdf
20
5
9,
2013.+
Dalším cílem, který je podobný a z části i souvisí s předchozím, je zpřístupnit vysokorychlostní internet pro všechny, konkrétně do roku 2013 s rychlostí 2Mbit/s a ve městech 10Mbit/s. Do roku 2015 je to potom náročnější cíl, a to aby 30% domácností a firem ve městech mělo dostupnou přípojku s rychlosti 30Mbit/s. Tento dokument ovšem spíše než o bezpečnosti, které se práce týká, více pojednává o ostatních náležitostech IT a ty nejsou pro tuto práci tak podstatné. V Česku existuje národní centrum kybernetické bezpečnosti, dále jen NBÚ, které se stará o legislativu a další věci ohledně IT.
Co se týká legislativy, tak NBÚ má momentálně
za povinnost vytvořit nový zákon o kybernetické bezpečnosti. EU se snaží o zlepšení jejího stavu a je nutno s ní spolupracovat. Legislativě ze strany EU jsem se věnoval v kapitole Legislativa EU. Dne 15. dubna 2013 NBÚ předložila návrh nového zákona o kybernetické bezpečnosti, který momentálně postupuje do připomínkového řízení. Návrh zákona je pro veřejnost k nahlédnutí na stránkách NBÚ. Do 10. května lze předkládat připomínky ke znění zákona, takže lze očekávat, že se zákon bude ještě měnit, ale to, čeho se v jádru týká, nejspíš už přetrvá. Nový zákon ukládá subjektům určité povinnosti. Jedná se například o detekci tzv. události a incidentu. Událost je zde definována následovně: „Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací.“
5
Incident je
definován jako „Kybernetickým bezpečnostním incidentem je kybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací“6 Tyto incidenty musí být provozovatelem oznámeny dohledovému pracovišti CERT (Computer emergency response team). Tím tedy vzniká povinnost incidenty neutajovat, ale oznamovat národnímu CERT. Před vydáním návrhu zákona vznikaly různé dohady o tom, jestli 5,6
Národní centrum kybernetické bezpečnosti. NBÚ. *Online+ 4 15, 2013. *Cited: 5 9, 2013.+ http://www.govcert.cz/download/nodeid-622/
21
dojde k omezení soukromí, možnosti sledování pohybu na síti ze strany státu a podobné. To se naštěstí nepotvrdilo. Státní orgány, konkrétně úřad CERT, může zasahovat jen ve výjimečných případech a to hlavně ve stavu kybernetického nebezpečí. Zákon se téměř vůbec netýká soukromých subjektů, ale týká se zejména správce různých systémů a poskytovatelů služeb. Tedy i poskytovatelů cloudových řešení. Konkrétní podoba zákona se jistě do nasazení, které je plánováno v roce 2015, ještě několikrát změní, ale to, čeho se změny týkají, už pravděpodobně zůstane stejné. Zákon o kybernetické bezpečnosti navrhuje zavést informovanost o hackerských útocích, možnost vyhlásit stav kybernetického nebezpečí a v neposlední řadě zlepšit vzdělávání, co se bezpečnosti týče. Minimálně tedy můžeme do budoucna očekávat mnohem lepší informovanost o tom, jaké bezpečnostní problémy nastaly a tím pádem doufejme i v lepší bezpečnost.
4.3 Legislativa v EU Velká část nařízení, o kterých jsem psal v předchozím bodě, vznikla právě kvůli nařízení Evropské unie. Na oficiálním webu EU lze nalézt aktuální informace o strategii počítačové bezpečnosti a směrnici o bezpečnosti sítí a informací, která byla předložena dne 7.2.2013. Evropská unie se snaží dosáhnout alespoň částečné centralizace. Směrnice vyžaduje, aby každý členský stát měl svoji skupinu CERT, která bude reagovat v případě hrozby útoku nebo jiné události ohrožující kybernetickou bezpečnost. Dále požaduje zřízení vnitrostátního orgánu pro bezpečnost sítí a informačních systémů a v neposlední řadě vyžaduje přijmutí strategie počítačové bezpečnosti, kterou EU předložila. „Strategie zdůrazňuje naše konkrétní opatření k výraznému snížení počítačové trestné činnosti. V mnoha zemích EU chybí nezbytné nástroje pro boj proti on-line organizované trestné činnosti. Všechny členské státy by měly vytvořit jednotky pro účinný boj s vnitrostátní kybernetickou kriminalitou, které budou moci využít odborné znalosti a podporu evropského centra pro boj proti kyberkriminalitě ES3.“ uvedla Cecilia Malmströmová, evropská komisařka pro vnitřní věci. 22
Bude tedy velmi zajímavé, jak se k tomu státy postaví a jak se legislativa do budoucna bude měnit. Jisté ale je, že se evropská unie o změny vedoucí ke sjednocení legislativy, minimálně v rámci unie, v poslední době snaží. Zatím tomu tak bohužel není. Legislativa je v různých státech značně rozdílná a toho se dá zneužít.
4.4 Využívání cloudu pro nelegální data To, že legislativa nemůže zůstat v aktuální podobě, dokazují také pirátské servery využívané pro stahování nelegálního obsahu. Konkrétně bych upozornil například na chystaný server Mega, který se snaží legislativu obejít. Před nějakou dobou byl ukončen provoz celosvětově známého úložiště Megaupload.com, vlastníci serveru byli zatčeni za porušování autorských práv a provoz serveru byl ukončen. Kim Dotcom, provozovatel serveru Megaupload.com, oznámil vznik nového serveru Mega. Ten by měl fungovat tak, že veškerá data na serverech budou šifrována klíčem, za jehož zveřejnění nese zodpovědnost ten, kdo data na server nahrál. Dešifrování proběhne až v počítači koncového uživatele. Server Mega se tedy opravňuje tím, že vlastně nezná obsah nahraných dat a tak se nedopouští protiprávního chování. Server Mega dále oznámil, že veškerá data budou zrcadlena na 2 různé servery v různých státech kvůli odlišným zákonům. Pokud v jednom státě dojde z nějakého důvodu k vymazání dat, v druhém státě s odlišnými zákony pro ochranu autorských práv tomu tak být nemusí. Stejně jako nový server Mega, tak známý server The Pirate Bay začíná využívat legislativy cloudu a začíná fungovat na jeho bázi. Servery The Pirate Bay se totiž změnily na bezdiskové stanice s daty uloženými jen v paměti RAM. Pokud uživatel chce stahovat data pomocí serveru The Pirate Bay, připojí se jen na servery, které šifrovaně komunikují s virtuálními servery s nelegálními daty. Poskytovatel cloudu, u kterého má The Pirate Bay uložená nelegální data nemá tušení o tom, že se jedná o databázi The Pirate Bay. Vše je dokonale šifrováno. Pokud by se policie pokusila o kontrolu legálnosti dat, narazí na stanice bez disků a pokud náhodou vystopuje až konečné virtuální servery s databází, narazí pouze na zašifrované disky. Pokud tedy firma opravdu bude chtít, v současné legislativě si většinou najde mezeru a může jí využít. V kapitole 3.1 Rozdíl mezi jednotlivými státy jsem ukázal, jak rozdílná je 23
legislativa v různých státech, a tak stačí jen servery umístit do státu, kde je legislativa nejshovívavější. Zajímavou otázkou taky je, jak je to s ochranou osobních údajů, jak je musí poskytovatel zabezpečit.
4.5 Ochrana osobních údajů Z internetových stránek úřadu pro ochranu osobních údajů jsem vyčetl následující text: “Lze využít cloud computing pro zpracování osobních údajů? Na ochranu osobních údajů v rámci využití „cloud computingu“ při jejich zpracování musíme nahlížet zejména z pozice správce osobních údajů, tedy z pozice subjektu, který s údaji primárně nakládá a rozhoduje o druzích prostředků, které budou pro zpracování osobních údajů použity. Jedním z technických prostředků může být právě varianta cloud computingu, tedy jakéhosi pronájmu výpočetního výkonu či úložného prostoru poskytovatele cloud computingu. Ve většině případů bude poskytovatel cloud computingu zpracovatelem ve smyslu § 4 písm. k) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. To však nezbavuje správce osobních údajů (tedy subjekt, který si cloud computing najímá) povinností, které jsou na něj zákonem č. 101/2000 Sb. kladeny a v této souvislosti je nutné zmínit zejména povinnost stanovenou v § 13 zákona č. 101/2000 Sb., která se týká zabezpečení osobních údajů. Je tak na správci, aby analyzoval dopady řešení využití cloud computingu (analýza rizik), zajistil adekvátní opatření na své straně (např. šifrování dat) a aby si uzavřením smluvních vztahů s případným poskytovatelem služeb cloud computingu ošetřil veškeré podmínky zpracování (zajištění odpovídající úrovně zabezpečení; odpovědnost poskytovatele služeb/zpracovatele za jeho případná selhání s dopady do oblasti ochrany osobních údajů apod.).”7
7
UOOU. 2012. Úřad pro ochranu osobních údajů. Často kladené otázky. *Online+ Úřad pro ochranu osobních
údajů, 2012. http://www.uoou.cz/uoou.aspx?menu=14&loc=331#a71.
24
Zákon tedy jasně říká, že správce, v našem případě poskytovatel cloudu, musí zajistit dostatečné zabezpečení osobních údajů. Vše bylo upřesněno ve smluvních podmínkách. Legislativa státu nám sice určité věci nařizuje, ale ne všechny, bez smluvních podmínek by cloud fungovat nemohl, proto se jim věnuji podrobněji v kapitole 5. Smluvní podmínky poskytovatele cloudu. Firma Google na svých stránkách zobrazuje zajímavou statistiku ohledně žádostí o data uživatelů a žádostí o odstranění dat. Žádosti o data uživatelů firma běžně dostává od orgánů státní správy a soudů z celého světa. Google poskytuje veřejnosti statistiku za posledních 6 měsíců, která zobrazuje počet žádostí v jednotlivých státech, procento žádostí, kterým bylo částečně vyhověno a počet uvedených uživatelů. V České republice za 6 měsíců, od ledna do června 2012, bylo podáno 44 žádostí a 32% bylo vyhověno. Zajímavé statistiky jsou ale ve státech jako je Maďarsko, Rusko nebo Turecko. U žádostí o data v těchto státech nebylo vyhověno ani jedné žádosti. Oproti tomu ve spojených státech bylo vyhověno 90% žádostí. Celou tabulku lze najít na internetových stránkách firmy Google.
25
Tabulka 1 Statistika žádostí o data uživatelů
8
Země
Počet žádostí
Částečně vyhověno
Uvedení uživatelé
Celkem
> 20938
–
> 34615
Austrálie
523
64 %
841
Belgie
107
67 %
127
Brazílie
1 566
76 %
2 640
Česká republika
44
32 %
44
Irsko
34
6%
34
Japonsko
104
86 %
133
Jižní Korea
423
35 %
917
Maďarsko
92
0%
139
Mexiko
71
45 %
136
Německo
1 533
39 %
2 007
Nizozemsko
59
76 %
59
Portugalsko
184
14 %
247
Rusko
58
0%
58
Singapur
89
70 %
97
Spojené státy
7 969
90 %
16 281
Tchaj-wan
271
63 %
307
Turecko
112
0%
120
Velká Británie
1 425
64 %
1 732
Druhou statistiku, kterou firma Google poskytuje, jsou žádosti o odstranění dat. Tyto žádosti pochází od vlastníků autorských práv a vládních úřadů. Žádostí o odstranění dat kvůli autorským právům obdrží Google několik milionů měsíčně. Za měsíc od 17. listopadu 2012 do 8
—. 2012. Report. *Online+ Google, 1-6 2012. http://www.google.com/transparencyreport/userdatarequests/
26
17. prosince 2012 podalo 1 348 organizací stížnost, bylo obdrženo 12 512 094 žádostí o odstranění adresy URL, 2 151 stížností od vlastníků autorských práv a 39 898 nahlášených domén. Většinou se ale jedná, až na výjimky, pouze o žádosti vymazání URL z vyhledávače Google, a tak se těmito žádostmi nebudu dál zabývat. Na reálných datech, která poskytuje firma Google, jde krásně vidět, že rozdíly, kdy firma musela data poskytnout a kdy ne, jsou skutečně obrovské, a pokud firma bude chtít rozdílných zákonů využívat, bude jednoduché vybrat si vhodný stát.
5. Smluvní podmínky poskytovatele cloudu Jak vyplynulo z předchozí části o legislativě, právní zákony státu se nepostarají úplně o vše co se cloudu týče. Bude záležet na místě, kde se fyzicky cloud nachází, a na spoustě dalších skutečností. Poskytovatelé cloudu tuto problematiku řeší smlouvou s koncovým uživatelem. Při zřizování cloudových služeb budete muset vždy podepsat (a tím stvrdit) nějakou smlouvu, ať už se jedná o zdarma vytvořený email od kteréhokoliv poskytovatele, internetové datové úložiště, nebo komplexní cloudové služby pro firmu. Mezi první veřejně dostupné cloudové služby zajisté patří emailové servery. Při zřizování takové schránky všichni musí odsouhlasit smlouvu s poskytovatelem, ale bohužel málokdo smlouvu čte a ví, co vlastně odsouhlasili. Zároveň poskytovatel může v průběhu užívání služby podmínky změnit, pokud dá uživateli vědět a ten je odsouhlasí znovu. Poskytovatel se tímto například brání odpovědnosti, pokud by zákazník zneužil cloud pro nelegální činnosti. V následujících podkapitolách jsem se podrobněji podíval na smluvní podmínky u cloudových služeb pro veřejnost.
5.1 Smluvní podmínky firmy Google Jedna z největších a nejznámějších firem, které poskytují cloudové služby veřejnosti, je například firma Google. Firma nabízí emailovou schránku Gmail zdarma, datové uložiště Google Drive a spoustu dalších služeb.
27
Služba Google Drive slouží pro ukládání dat na firemní servery. Google dává v tuhle chvíli všem svým uživatelům k dispozici 5GB volného místa zdarma a za paušální poplatek umožňuje místo zvětšit. K souborům se potom lze připojovat přes jejich webové rozhraní, které umožňuje i základní editaci souborů, anebo k nim přistupovat přes desktopovou aplikaci. Při používání aplikace se vzdálené úložiště jeví jako lokální složka a lze do něj pohodlně kopírovat soubory. Co se ale s takovými soubory bude dít? Při registraci této služby uživatel musel odsouhlasit podmínky, tak jako je tomu u každé jiné firmy. V některých bodech jsou podmínky docela zajímavé. Následující odstavec je citován ze smluvních podmínek společnosti Google. “Pokud nahrajete nebo jinak odešlete obsah do našich služeb, poskytujete společnosti Google (a subjektům, se kterými společnost Google spolupracuje) celosvětově platnou licenci k užití, hostování, uchovávání, reprodukování, upravení, vytvoření odvozených děl (například děl, jež jsou výsledkem překladu, přizpůsobení/adaptací či úprav provedených za účelem jeho lepšího fungování v rámci našich služeb), komunikaci, publikování, provozování a zobrazování na veřejnosti a distribuci takového obsahu Práva, která touto licencí udělujete, jsou užita za účelem provozování, propagace a vylepšování stávajících služeb a vývoj nových služeb. Licence přetrvává i poté, co přestanete naše služby používat (např. firemní zápis přidaný do služby Mapy Google). Některé služby umožňují k obsahu, který jste do služby odeslali, získat přístup nebo jej odebrat. Některé služby zahrnují také podmínky a nastavení, která naše možnosti používání odeslaného obsahu vymezují. Ujistěte se, že při odesílání obsahu do služeb disponujete příslušnými právy k udělení výše uvedené licence.” 9 Google si tedy, čistě teoreticky, může s vašimi daty dělat, co chce. Tím, že soubory na server firmy Google nahrajete, poskytnete společnosti Google celosvětově platnou licenci, a tím, že službu přestanete používat, firmu licence nezbavíte. Formulace smluvních podmínek 9
Google.
2012.
Zásady
a
pravidla.
http://www.google.co.uk/intl/cs/policies/terms/regional.html.
28
*Online+
Google,
1.
3
2012.
společnosti Google není úplně jasná a vznikají spekulace, co si Google může s vašimi daty dělat. Tyhle ne úplně jasné podmínky ale nejsou jen u společnosti Google.
5.1 Smluvní podmínky firmy Microsoft Například firma Microsoft má ve smluvních podmínkách následující znění: „3.3. Co společnost Microsoft dělá s mým obsahem? Odesláním obsahu do služeb vyjadřujete souhlas s tím, že obsah může být použit, změněn, přizpůsoben, uložen, reprodukován, distribuován a zobrazen v rozsahu, ve kterém je to nezbytné pro vaši ochranu a k poskytování, ochraně a zlepšení produktů a služeb společnosti Microsoft. Příležitostně můžeme například použít automatické prostředky k vyčlenění informací z e-mailu, chatu nebo fotografií, které nám pomohou s detekcí a ochranou proti spamu a malwaru nebo ke zlepšení služeb pomocí nových funkcí usnadňujících jejich používání. Při zpracování vašeho obsahu společnost Microsoft postupuje tak, aby chránila vaše osobní údaje.„10 Tyto podmínky jsou značně lepší než u společnosti Google, ale stejně udělují firmě Microsoft právo pomocí automatických prostředků číst emaily, chat nebo fotografie. Jinými slovy, dáte firmě Microsoft souhlas pro prohlížení vašich soukromých dat, které jste nahráli na servery Microsoftu, sice jen automatizovanými nástroji, ale o tom, jak přesně nástroje fungují, se nedozvíme. Na první pohled se může zdát, že práva, která tímto společnosti udělíme, jsou až zbytečně velká. Poskytovatelé ale alespoň základní práva pro práci s daty uživatele potřebují, a pokud by souhlas uživatele neměli, mohly by jim vzniknout komplikace. To samozřejmě nemůžou riskovat. Mohlo by se zdát, že si s daty může poskytovatel dělat cokoliv, ale ve skutečnosti tyto práva poskytovatel potřebuje. V případě nedůvěry vše řeší šifrování dat nahrávaných do cloudu.
10
Microsoft. 2012. Smlouva o poskytování služeb společnosti Microsoft. *Online+ Microsoft, 27. 8 2012.
http://windows.microsoft.com/cs-CZ/windows-live/microsoft-services-agreement.
29
Pokud budeme chtít mít jistotu dobře zabezpečeného cloudu, dodržovat legislativu nám nebude stačit. Musíme se řídit nějakými doporučeními. Právě takové doporučení a mnohem více dává k dispozici sdružení Cloud Security Alliance.
6 Cloud Security Alliance Několik velkých firem jako IBM, eBay a další se rozhodly založit neziskovou organizaci Cloud Security Alliance. Hlavním cílem této organizace je navrhnout sadu různých doporučených postupů pro provoz bezpečného cloudu. Sdružení Cloud Security Alliance dalo k dispozici několik dokumentů, které shrnují řešení bezpečnosti ve veřejném cloudu a organizuje školení na toto téma. Zajímavým projektem této organizace, který určitým způsobem přispívá k bezpečnosti cloudu je STAR (Security, Trust & Assurance Registry). Aktuální verzi lze najít na internetových stránkách této organizace, konkrétně https://cloudsecurityalliance.org/star/. Jedná se o rejstřík důvěryhodných poskytovatelů cloudových služeb. Pokud v dnešní době firma vybírá cloudové řešení, určitě by jí tento seznam neměl uniknout. Samozřejmě, že to, že je název firmy obsažen v seznamu, nezaručuje naprostou bezpečnost, ale minimálně se můžeme spolehnout na to, že je firma důvěryhodná. Všichni důležití poskytovatelé cloudu (jako je Amazon, Microsoft atd.) se v tomto seznamu samozřejmě nachází. Teoreticky, pokud se poskytovatel bude držet všech bezpečnostních předpisů a doporučení, cloud by měl být bezpečný. Je ale důležité se podívat, jak je to ve skutečnosti. Jaké nastaly bezpečnostní problémy v minulosti.
7 Reálné bezpečnostní problémy V minulosti nastalo hned několik více či méně závažných bezpečnostních problémů. V této kapitole jsem se věnoval zejména nedávným DDoS útokům na české zpravodajské servery a bezpečnostním problémům, které potkaly nejznámější poskytovatele veřejného cloudového úložiště. 30
7.1 DDOS útoky DDoS „Distributed Denial of Service“ je útok, který funguje na základě přehlcení serveru požadavky. Server se zahltí velkým množstvím požadavků z různých míst a na reálné požadavky od uživatelů už nezbydou zdroje. Cílem DDoS útoku není nabourání se do serveru, získaní dat, ani nic podobného. Je to zkrátka jen zahlcení serveru a znepřístupnění ostatním uživatelům. Obrana proti DDoS útokům je velmi složitá. Je nesmírně komplikované v krátkém čase rozlišit, zdali se jedná o požadavky od reálného uživatele, nebo zda jde o požadavky patřící do DDoS útoku. Dne 4. 3. 2013 bylo několik největších českých zpravodajských serverů zasaženo DDoS útokem. Útok mířil na všechny weby současně a některé z nich byly nedostupné i několik hodin. Ani tak obrovské weby, jako jsou například Novinky nebo iDnes, neměly dostatečně kvalitní ochranu proti DDoS útokům. Bránit se proti nim je totiž mnohdy téměř nemožné. Ani o několik měsíců později se nevědělo, kdo za útoky stál. Jediné známé informace byly ty, že útok přicházel z Ruska. DDoS útoky mohou způsobit spoustu problémů. Dá se proti nim v určité míře bránit, ale je to finančně velmi náročné. Majitel serveru si musí dobře rozmyslet, zda mu to za to stojí. Investice do ochrany může být obrovská a útok nemusí přijít nikdy, zároveň jich ale může přijít během krátké chvíle několik. Je třeba si dobře spočítat to, za jakou cenu se vyplatí servery chránit. Jestli nám způsobí větší ztrátu dočasná nedostupnost, anebo bude lepší investice do ochrany, která stejně nebude stoprocentní. Zjišťoval jsem, jak společnost T-Systems řeší tyto druhy útoků, ale firma bohužel neposkytla dostatek informací, proto se lze jen dohadovat, kolik poskytovatelů cloudu má problematiku DDoS útoků vyřešenou a kteří o ní raději nemluví. Proto je složité správně porovnávat finanční náročnost, když nevíme, zdali v cloudu toto zabezpečení bude a na jaké úrovni. Pokud má firma svoje vlastní on-premise řešení, je zabezpečení před DDoS útoky finančně velmi náročné. Pro příklad jsem si vybral kvalitní řešení od společnosti F5 Networks, 31
které je sice drahé, ale rychlé a účinné. Firma nabízí několik verzí svého produktu podle požadované rychlosti počtu portů atd. Pro přehled, kolik taková ochrana stojí, uvádím pár verzí řešení. Ceny jsou čerpány z oficiálních stránek firmy Check Point, kde jsou v dolarech. Převedl jsem je na České koruny dle aktuálního kurzu v květnu 2013. Tabulka 2 Ceny DDoS řešení od firmy F5 Networks
DDoS Protector 0.5Gbps
4 port ethernet, 0,5Gbps
376 125 Kč
DDoS Protector 3Gbps
4 port ethernet, 3Gbps
1 365 930 Kč
DDoS Protector 12Gbps
8 port ethernet, 12Gbps
3 365 337 Kč
Lze tedy vidět, že ceny jsou obrovské, vzhledem k tomu, že útok také nemusí nikdy nastat. Je důležité si uvědomit, zdali se firmě do takovéto ochrany vyplatí prostředky investovat, nebo bude lepší to zkrátka risknout.
7.2 Bezpečnostní problémy fungujících cloudů pro veřejnost Téměř každého poskytovatele potkaly větší čí menší problémy. Ať už si zvolíme jakéhokoliv poskytovatele cloudu, vstupujeme do rizika, že něco selže. Může dojít k delšímu výpadku, k bezpečnostní chybě, úniku nebo ztrátě dat. Pochopitelně ne každá firma o proběhlých problémech veřejnost informuje, a tak je otázkou, jestli je to pro ni dobře nebo špatně. Pokud se dodatečně z jiného zdroje dozvíme, že došlo k problémům s únikem dat, který se poskytovatel snažil zatajit, bude to mít možná horší následky, než kdyby se k němu veřejně přiznal. Uvedu pár příkladů, k jakým výpadkům u cloudových služeb určených pro širokou veřejnost došlo a jak se poskytovatelé v takových situacích zachovali.
7.2.1 Dropbox Služba Dropbox patří k nejznámějším firmám poskytující datové úložiště pro širokou veřejnost. Jsou známí tím, že poskytují synchronizované datové úložiště pro jakákoliv data, které jsou synchronizovány na všechna zařízení, která má uživatel zaregistrována, od stolního počítače přes tablet, až po telefon. Přesto, že firma sama na jejich oficiálních stránkách tvrdí, že dělá maximum pro to, aby byl jejich systém co nejbezpečnější, je si vědoma toho, že 32
systém nebude nikdy dokonalý. Firmu Dropbox potkalo hned několik vážných bezpečnostních problémů. 20. června 2011 se mohl skoro 4 hodiny kdokoliv přihlásit na jakýkoliv účet bez použití správného hesla. Stalo se tak chybou vývojářů, kteří vydali verzi, kde byla tato chyba. Vyjádření k této události lze nalézt na oficiálním blogu firmy. V době existence této chyby se podle oznámení společnosti přihlásilo do aplikace mnohem méně než 1% uživatelů, přesto mohlo dojít k velkým problémům. „Tohle se nemělo nikdy stát.“ napsal na firemní blog spoluzakladatel firmy Dropbox Arash Ferdowsi a zároveň oznámil, že dělají opatření pro to, aby už se to už opravdu nikdy neopakovalo. Tomu už ovšem uživatelé nemusí věřit, jednou se to stalo. Dalším problémem, který firmu Dropbox potkal, byl ten, že u aplikace pro iOS bylo možné získat z iPhonu heslo k aktuálně přihlášenému účtu. Mnohem méně závažná chyba než předchozí, ale opět se dala zneužít a kdokoliv se mohl dostat k cizímu účtu. Chyba vznikla kvůli tomu, že aplikace Dropbox ukládala heslo v nešifrovaném formátu do telefonu. Stejný problém potkal na iPhonu aplikaci Facebook. Posledním problémem, o kterém se u Dropboxu ví, je, že v polovině roku 2012 došlo k odcizení uživatelských jmen a hesel k některým účtům. Firma na oficiálním blogu oznámila, že kontaktovala uživatele, kterých se to týkalo, a pomohla jim zabezpečit účty. Firma se k tomu přiznala až o několik týdnů později proto, že si uživatelé stěžovali na spam zasílaný na emailovou adresu, která byla použita pouze pro registraci účtu v aplikaci Dropbox. Opět bylo oznámeno, že byly provedeny kroky k tomu, aby se to neopakovalo.
7.2.2 Skydrive Produkt Skydrive od společnosti Microsoft je přímá konkurence Dropboxu, funguje na stejném principu. S bezpečnostními problémy je na tom o něco lépe, než konkurenční Dropbox. Zůstává otázkou, jestli skutečně vzniklo méně problémů nebo se o nich jen zkrátka neví, ale to se nedozvíme.
33
Jediným veřejně známým problémem bylo odesílání emailové přílohy ze služby Hotmail právě pomocí Skydrive. Pokud uživatel Hotmailu chce odeslat větší přílohu, může si zvolit možnost ji odeslat přes Skydrive. Soubor bude automaticky nahrán na úložiště Skydrive a odeslán přes něj. I technicky nezdatný uživatel tak může soukromě poslat velký soubor. Problém nastal ale ve chvíli, kdy si soukromý soubor z emailu někdo stáhl na veřejném počítači, odhlásil se z Hotmailu a odešel. Kdokoliv, kdo na veřejný počítač přišel po něm, si mohl v historii nalézt odkaz na poslaný soubor a i přes to, že nebyl přihlášen k emailu, si ho stáhnout.
7.2.3 Google Drive Stejný typ produktu, jakým je Dropbox a nebo Skydrive nabízí i společnost Google. Opět se ví o mnohem méně problémech než má aplikace Dropbox. Firma neoznámila žádný větší bezpečnostní problém, pouze se ví o spoustě stížností ze strany uživatelů na mizení určitých souborů. Je zajímavé se zamyslet nad tím, proč všechny tyto problémy vznikly. I u společností, které investují obrovské prostředky do bezpečnosti a dělají všechno pro to, aby k ničemu nedošlo, se občas něco nepovede. Technika selže málokdy, ta dělá jen to, co jí lidi určí aby dělala. Bohužel není jednoduché ošetřit úplně vše a tak za většinu problémů může lidská chyba. Z každého vážnějšího problému se nejspíš firma poučí, ale může se stát, že chyba nastane znovu. Všichni tvrdí, že dělají všechno pro to, aby se to už znovu nestalo, ale je jen na zákazníkovi, jestli firmě bude dál věřit. Všechny dosavadní příklady se týkaly velkých mezinárodních firem. Zajímalo mě, jak je to s menšími firmami v Česku. Vzhledem ke spolupráci ČVUT s firmou Software 602 a.s. jsem měl možnost ji navštívit a informovat se, jak řeší prevenci proti takovým chybám menší česká firma.
34
8 Software 602 a.s. Pokud se podíváme na reálné nasazení cloudu do praxe, může nás spousta věcí zaskočit. Byl jsem na konzultaci ve firmě Software 602 a.s., která momentálně vyvíjí webovou formulářovou aplikaci, která běží právě v cloudu. Se zástupci firmy Software 602 a.s. jsem mluvil zejména o otázce bezpečnosti a o tom, jak ji řeší a dozvěděl jsem se velmi zajímavé výsledky. Například jak probíhala volba poskytovatele cloudu. Nejvíce mne překvapilo, že při volbě poskytovatele firma velmi málo přihlížela na bezpečnost řešení. Nezajímala se o to, jak jsou data zabezpečena a o podobné záležitosti, ale spíše o cenu a jméno poskytovatele. Nakonec zvolili poskytovatele T-Systems, ale výběrem se nijak zvlášť nezaobírali. Firma své jednání dobře vysvětlila. Svůj software pro zpracování formulářů od začátku navrhovala tak, aby nevzniklo riziko úniku dat a nemohl být problém se soukromými daty. Aplikace byla od začátku navrhována jako cloudová a vývojáři se snažili o minimalizaci nebezpečí úniku dat. Software neukládá žádná data, vše jen zpracuje a odešle. Tím odpadla nutnost složitě řešit zabezpečení. To považuji za velmi zajímavý přístup – navrhnout aplikaci tak, aby zabezpečení nebylo potřeba. U aplikace tohoto typu je to zajisté nejbezpečnější řešení. Samozřejmě, alespoň nějaká data v aplikaci dočasně uložená být musí. Data jsou zabezpečena pomocí šifry AES 256 a klíč je generován náhodně v rámci jedné relace. Nikam se neukládá a tak je vše bezpečné.
9 Vliv bezpečnosti na ekonomiku cloudu Pokud se bude firma, nebo klidně i jednotlivec rozhodovat, jestli se mu vyplatí přechod do cloudu, bude se rozhodovat podle velkého množství okolností. Nás ale bude zajímat pouze stránka bezpečnosti. V následujícím srovnání porovnávám pouze cenu za zabezpečení. Pro příklady jsem si vybral různě velké firmy a spočítal, kolik je bude stát zabezpečené on-premise řešení a kolik cloud. Obě částky jsem porovnal, přidal k nim výhody a nevýhody a vždy doporučil nejlepší řešení. Z výsledků jsem zpracoval doporučení pro jakou firmu se cloud 35
vyplatí a pro kterou je lepší vlastní řešení nebo kombinace. Vše s ohledem na bezpečnostní aspekty.
9.1 Malá firma s 30 zaměstnanci Zkusme se podívat na to, kolik může teoretickou malou firmu o 30 zaměstnancích stát vlastní řešení. Předpokládejme, že firma zaměstnává jednoho správce IT, to by mělo být pro takto malou firmu být dostačující. Tabulka 3 Náklady na zaměstnance, správce IT
Hrubá mzda
40 000 Kč
Zdravotní pojištění 9%
3 600 Kč
Nemocenské pojištění 2,3%
920 Kč
Důchodové pojištění 21,5%
8 600 Kč
Státní politika zaměstnanosti 1,2%
480 Kč
Sociální pojištění celkem 25%
10 000 Kč
Superhrubá mzda
53 600 Kč
Tím jsme získali všechny mzdové náklady na zaměstnance. Samozřejmě to ale nejsou veškeré náklady na zaměstnance, je třeba připočítat ještě další věci. Náklady na IT vybavení zaměstnance, které se musí každých pár let měnit, odhadneme na 20 000 Kč. Odborné školení, na které je v našem zájmu zaměstnance posílat, odhadneme na 30 000 Kč ročně. Částka může být v závislosti na okolnostech velmi proměnlivá. Pokud bychom ještě chtěli připočítat příspěvky na stravu, náklady na zaměstnance uvnitř firmy, například nápoje, prostory v budově a podobně, dostaneme se ještě výše. Náklady na správce IT odhadneme tedy na 60 000Kč měsíčně, to je 3 600 000Kč během 5 let. Nyní se můžeme zamyslet nad tím, co dál bude pro naše on-premise řešení potřeba. Zatím jsme u této firmy v nákladech na 60 000Kč měsíčně a máme jednoho zaměstnance, který se 36
bude věnovat IT. Potřebujeme klimatizované zabezpečené prostory pro server, který je taktéž nutno zakoupit. V následujícím textu řeším jen HW a SW, který je nutný zakoupit oproti cloudovému řešení. Antivirové zabezpečení koncových zařízení nebo třeba firewall před vstupem do firemní sítě je nutný při kterémkoliv řešení a tak ho zanedbávám. Začněme samotným serverem a potřebným zálohováním. Pro příklad jsem vybral server od IBM, všechny ceny jsem čerpal ze stránek internetového obchodu alza.cz : Tabulka 4 Pořizovací cena hardwaru on-premise řešení pro 30 zaměstnanců
Produkt
Cena
IBM x3500M4 Tower
27 000 Kč
Microsoft Windows Small Business Server 2011 Standard ENG
16 000 Kč
Western Digital RE Raid Edition 4000GB*2
15 000 Kč
QNAP TS-469L 4x 2000GB
22 500 Kč
EATON UPS 5PX 1500i RT2U
15 000 Kč
Celkem
95 500 Kč
Tímto jsme získali pořizovací náklady na server a hardwarové zabezpečení. Tyto náklady jsou jednorázové, ale musí se opakovat jednou za přibližně 2-5 let. Počítejme s tím, že po 3 letech vyměníme server, po 2 letech provedeme update operačního systému a po 4 letech výměnu disků. Pro nejlepší představu a porovnání s cloudem si spočítám, kolik mě tohle řešení bude stát během 5 let. Úvodní investice bude tedy 95 500 Kč. Během 5 let budu muset vyměnit všechny komponenty. Postupně provedu 1x výměnu serveru to je 27 000Kč, 2x update operačního systému 32 000Kč. U disků a zálohování jsem počítal investici na 4 roky. Disky můžou selhat dříve či později, ale 4 roky odhaduji jako průměrnou dobu životnosti. Jednou tedy ještě investuju do pevných disků 30 000 Kč. U UPS jsem odhadl životnost 7 let a tak s novou investicí nebudu počítat. Tohle není samozřejmě ideální způsob porovnání ceny, ale pro názornost bude dostačující. Všechna čísla jsou orientační, a tak nepotřebuji přesné hodnoty.
37
Tabulka 5 Investice do hardware za 5 let u on-premise řešení pro 30 zaměstnanců
Produkt
Cena
IBM x3500M4 Tower
54 000 Kč
Microsoft Windows Small Business Server 2011 Standard ENG
48 000 Kč
Western Digital RE Raid Edition 4000GB*2
45 000 Kč
QNAP TS-469L 4x 2000GB
22 500 Kč
EATON UPS 5PX 1500i RT2U
15 000 Kč
Celkem
184 500 Kč
Další položkou jsou náklady na údržbu, vše je počítáno za měsíc a v případě výpočtů zaokrouhleno: Tabulka 6 Náklady na údržbu on-premise řešení u firmy s 30 zaměstnanci
Spotřeba
750 W zdroj, počítal jsem s využitím zdroje na 1/3 a
850 Kč
s cenou za kWh 4,61Kč Konektivita
Vzhledem k naprosté nutnosti konektivity nehledě na situaci, ji budu ve všech případech zanedbávat.
Běžná údržba
Nutno počítat s tím, že občas nějaký komponent odejde,
5 000 Kč
je třeba upgrade nebo jen zkrátka něco selže. Je to jen hrubý odhad. Prostory
Klimatizovaná místnost, která by se v určitých případech
5 000 Kč
dala nahradit menší, nebo se bez ní obejít a šla by používat k jiným účelům. 10 850 Kč Celkem za 5 let
651 000 Kč
Dalším důležitým bodem, který nesmíme vynechat, je bezpečnostní software. Pro příklad jsem zvolil řešení od firmy Symantec. Firma poskytuje zejména antivirus, ale i software pro zálohování, jehož licence stojí na 3 roky se základní údržbou pro malou firmu 38
přibližně 761GBP, tedy asi 23 140Kč. Do licence budeme muset během 5 let investovat 2x, a tak budu počítat s cenou 46 280Kč. U antivirového řešení nemáme příliš na výběr a licence pořídit musíme při jakémkoliv zvoleném řešení, proto s ním nebudu dále počítat. Další možnou investicí do zabezpečení je ochrana proti DDoS útoku. Ta se vyplatí jen u velmi malého procenta firem, u naší smyšlené firmy o 30 zaměstnancích je to zbytečné. Ale pro orientaci se pohybujeme ve velmi vysokých číslech. HW ochrana DDoS Protector, o které jsem psal již v kapitole 7.1 DDoS útoky, vyjde u nejnižší verze s 0,5Gbps na 19 000$ tedy necelých 400 000Kč.
Pokud tedy sečteme všechny mnou předpokládané náklady na IT strukturu v takto malé firmě, dostáváme se už na docela zajímavou cenu: Tabulka 7 Náklady během 5 let u on-premise řešení u malé firmy o 30 zaměstnancích
Náklady na IT u malé firmy o 30 zaměstnancích Náklady na IT zaměstnance
3 600 000 Kč
Hardware
184 500 Kč
Údržba
651 000 Kč
Další SW licence
46 280 Kč
Celkem
4 481 780 Kč
Vidíme tedy, že malá firma o 30 zaměstnancích zaplatí přibližně 4 482 000Kč za IT řešení během prvních 5 let. Nepočítám zde vůbec se SW, který bude firma na serveru používat, jestli půjde o nějaký informační systém nebo něco podobného. To momentálně není důležité vzhledem k tomu, že nějaký software bude potřebovat, ať už běží v cloudu a nebo v on-premise řešení. Je zajímavé si všimnout, že nejdražší položkou je pracovní síla. Přibližně 80% nákladů na IT strukturu představuje správce systému. I kdybychom do zařízení investovali mnohem více peněz, než jsem odhadoval, pořád bude pracovní síla nejdražší část.
39
Podívejme se nyní na stejnou firmu, ale s tím, že si zvolí cloudové řešení od extérního poskytovatele. Pro představu o cenách jsem zvolil produkt od firmy Microsoft, Windows Azure. Pokud u stejné, nebo podobné firmy o 30 zaměstnancích nastavíme podobné parametry jako u on-premise řešení, dostaneme následující paušální ceny. Všechny ceny jsem zjistil z kalkulátoru na oficiálních stránkách Windows Azure a ceny v dolarech převedl na české koruny podle aktuálního kurzu v květnu 2013. Tabulka 8 Cena virtuálního serveru pro 30 zaměstnanců
Cena virtuálního serveru na úrovni navrhovaného on-premise řešení pro 30 zaměstnanců Windows Virtual Machines Objem
přenesených
4 x 1.6GHz CPU, 7GB RAM
dat 500 GB
4 520 Kč 1 180 Kč
měsíčně Standardní podpora
Obsahuje neomezenou podporu pro
5 890 Kč
opravu chyb, telefonickou podporu 3 hovorů měsíčně a další standardní věci. Celkem
11 590 Kč
Cena virtuálního stroje přibližně na úrovní dedikovaného bude tedy 11 590 Kč měsíčně. Dále potřebujeme úložiště dat, to je u služby Windows Azure standardně zálohované.
40
Tabulka 9 Cena cloudového datového uložiště pro 30 zaměstnanců
Cena datového uložiště na úrovni navrhovaného on-premise řešení pro 30 zaměstnanců Kapacita
4TB
7 010 Kč
Přenos dat
500 GB
1 180 Kč
Standardní podpora
Obsahuje neomezenou podporu pro 5 890 Kč opravu chyb, telefonickou podporu 3 hovorů měsíčně a další standardní věci.
Celkem
14 080 Kč
Celkově se tedy dostáváme u takto nastaveného virtuálního serveru a cloudového úložiště od Microsoftu na cenu 25 670 Kč měsíčně, tedy 3 340 200 Kč za 5 let. Pokud bychom toto základní řešení porovnali s on-premise řešením, vidíme jasný rozdíl, viz Tabulka 10. Samotné technické vybavení a jeho údržba je v on-premise řešení levnější, ale musíme počítat i se zaměstnanci, kteří se o něj musí starat. To u cloudu částečně odpadá. Samozřejmě ne úplně, ale minimálně nemusíme řešit hardwarovou stránku věci. Správce IT nebude muset řešit výpadky proudu, nákup nového zařízení, údržbu, opravy anebo případný upgrade, o vše se postará externí firma. Celé tohle řešení je škálovatelné, pokud budeme potřebovat větší kapacitu, větší výkon nebo budeme chtít přenášet více dat. Cloud se nám přizpůsobí. Na konci jen zjistíme, že budeme platit o něco méně nebo více. Platíme jen za to, co používáme. Správci IT tedy ubyde, řekněme, polovina práce a vzniklou kapacitu můžeme využít k jiným potřebám. Čísla, se kterými jsem počítal, byla jen velmi přibližná. U malé firmy můžeme ale i přesto konstatovat, že co se financí týče, vyjde nás bezpečnost v cloudu lépe.
41
Tabulka 10 Porovnání ceny cloud a on-premise řešení u malé firmy s 30 zaměstnanci
Cloud
On-premise
Náklady na zaměstnance
1 800 000 Kč
3 600 000 Kč
Hardware
1 540 200 Kč
184 500 Kč
Údržba
651 000 Kč
Licence
46 280 Kč
Celkem
3 340 200 Kč
4 481 780 Kč
Se znalostmi z teoretické části lze doporučit řešení cloudem. Finančně tedy víme, že cloud vyjde pro malou firmu lépe. Jak to bude ale ohledně bezpečnosti. Jak už jsem v teoretické části zmiňoval, u zaměstnance, který se stará ve firmě o všechno ohledně IT, je pravděpodobnost, že udělá někde chybu mnohem větší, než u odborníku ve specializované firmě. Stát se to může komukoliv, ale pravděpodobnost, že chyba nastane, bude u cloudu menší. Kromě toho, úroveň zabezpečení ve firmě o 30 lidech nikdy nebude na stejné úrovni jako v obrovském data centru, například společnosti Microsoft.
9.2 Středně velká firma s 300 zaměstnanci Představme si o něco větší firmu, která bude zaměstnávat místo 30 lidí 300. Správci serveru příliš práce nepřibude, bude se stále starat téměř o totéž, jen práce bude komplikovanější. Samozřejmě, že se sítí vznikne mnohem větší problém, ale ten by vznikl i v případě cloudového řešení a proto ho zanedbám. Řešení bude podobné, rychlejší server připojený jen k větší síti a samozřejmě přibyde potřeba se starat o mnohem více dat. Počet zaměstnanců stoupne 10x, ale cena IT řešení stoupne mnohem méně. Předpokládejme, že server nebude dostačovat a bude potřeba 2x tak drahý a zároveň na údržbu bude potřeba 2x tolik finančních prostředků.
42
Tabulka 10 Celkové náklady na on-premise řešení u malé firmy o 300 zaměstnancích
Náklady na IT u střední firmy o 300 zaměstnancích Náklady na IT zaměstnance
3 600 000 Kč
Hardware
369 000 Kč
Údržba
1 302 000 Kč
Další SW licence
46 280 Kč
Celkem
5 317 280 Kč
Cena nám v tomto případě stoupla přibližně dvojnásobně, přestože počet zaměstnanců stoupl na desetinásobek. U středně velké firmy s 300 zaměstnanci už je situace poněkud jiná. Počítal jsem se stejnými změnami jako u on-premise řešení a s tím, že jsem u takto velké firmy předpokládat mnohem větší přenos dat u datového úložiště. Tabulka 11 Cena virtuálního serveru pro 300 zaměstnanců
Cena virtuálního serveru na úrovni navrhovaného on-premise řešení pro 300 zaměstnanců Windows Virtual Machines Objem
přenesených
8 x 1.6GHz CPU, 14GB RAM
dat 500 GB
9 065 Kč 1 180 Kč
měsíčně Standardní podpora
Obsahuje neomezenou podporu pro
5 890 Kč
opravu chyb, telefonickou podporu 3 hovorů měsíčně a další standardní věci. Celkem
16 460 Kč
43
Tabulka 12 Cena cloudového datového uložiště pro 300 zaměstnanců
Cena datového uložiště na úrovni navrhovaného on-premise řešení pro 300 zaměstnanců Kapacita
8TB
13 000 Kč
Přenos dat
1 TB
2 360 Kč
Standardní podpora
Obsahuje neomezenou podporu pro
5 890 Kč
opravu chyb, telefonickou podporu 3 hovorů měsíčně a další standardní věci. Celkem
21 250 Kč
Následující tabulka opět přehledně srovnává finanční náročnost jednotlivých řešení u středně velké firmy. Tabulka 13 Porovnání ceny cloud a on-premise řešení u malé firmy s 300 zaměstnanci
Cloud
On-premise
Náklady na zaměstnance
1 800 000 Kč
3 600 000 Kč
Hardware
2 262 600Kč
369 000 Kč
Údržba
1 302 000 Kč
Licence
46 280 Kč
Celkem
4 062 600 Kč
5 317 280 Kč
Cena obou řešení se pomalu srovnává, u ještě větší firmy už bude cena cloudového řešení stejná jako on-premise řešení. Podobně to bude i s bezpečností. Větší firma si může dovolit zaměstnat profesionály na zabezpečení, kteří se budou věnovat jenom jemu. Bude moct zkrátka bezpečnosti věnovat mnohem více nejen finančních prostředků.
44
9.3 Velká firma s 3000 zaměstnanci Nyní si nastíníme situaci u ještě větší firmy. Představme si firmu o 3 000 zaměstnancích s již fungující infrastrukturou. U takto velkého podniku musí být IT řešení, pokud má dobře fungovat, na velmi vysoké úrovni. Můžeme předpokládat, že firma této velikosti má několik desítek IT zaměstnanců, kteří se o vše ohledně bezpečnosti starají. Do bezpečnosti investuje opravdu nemalé částky a nemůže si dovolit cokoliv riskovat. Delší výpadek, ztráta dat nebo únik informací pro takto velkou firmu může znamenat milionové, mnohdy i řádově větší ztráty. Proto se velkým mezinárodním podnikům skutečně vyplatí investovat do vlastního řešení, na které se může spolehnout. Zaměstnat několik vlastních odborníků a mít svá vlastní datová centra se pro firmu jednoznačně vyplatí hned z několika důvodů. Hlavním důvodem je bezpečnost dat. Firma si zpravidla nemůže dovolit všechna svá data dát do datacentra a nechat jinou firmu, aby se o ně starala, a vložit do ní svou důvěru. Ztráta nebo jakýkoliv únik dat by mohly zapříčinit příliš velké problémy na to, aby se na vlastním řešení vyplatilo šetřit a zároveň aby si firma mohla dovolit přesunout zodpovědnost na poskytovatele. Samozřejmě lze namítnout to, že od toho tady jsou smluvní podmínky, ale ty jsou jedna věc, realita je věc druhá. Pokud nějaký problém nastane, pro firmu to můžou být natolik velké škody, že nebude natolik podstatné to, že by se to podle smluvních podmínek stát nemělo. Pokud by ale i přes to takto velká firma chtěla používat alespoň částečně pro své interní účely cloud, svého poskytovatele si určitě najde a někdy se jí to vyplatí.
9.4 Shrnutí a doporučení jednotlivým firmám Z předchozích výpočtů a úvah lze tedy jednoduše vyvodit závěr a doporučení pro jednotlivé firmy z ekonomicko-bezpečnostního pohledu. Pro malou firmu do 100 zaměstnanců je doporučení jasné. Jak finančně, tak z pohledu bezpečnosti nám lépe vychází cloudové řešení od extérního poskytovatele. Firma si nemůže dovolit investovat příliš mnoho prostředků do svého řešení a do jeho naprostého zabezpečení. Pokud by se pro investici přece jenom rozhodla, dostane se na částku, za kterou v cloudu získá mnohem lepší služby. Pouze v případě velmi citlivých dat by připadalo on-
45
premise řešení v úvahu, ale i tak lze data šifrovat a přemýšlet o kombinaci cloudu a onpremise. U středně velké firmy od 100 do 500 zaměstnanců už výběr tak jasný není. Hodně záleží na skutečnosti, jaké oblasti se firma věnuje. Pokud se firma nevěnuje IT, doporučil bych zpravidla cloudové řešení. Finančně vyjdou obě řešení podobně, ale co se týká bezpečnosti a spolehlivosti, má firma u cloudu větší jistotu. Zodpovědnost za zabezpečení převezme extérní poskytovatel, který s ním má velké množství zkušeností a samotná firma se s ním už nemusí zabývat. U firem větší velikosti už je řešení zcela individuální. U podniků nad 1000 zaměstnanců už zpravidla investice do bezpečnosti nehraje takovou roli, a tak je lepší mít řešení svoje, zaměstnávat své profesionály a nemuset do interních záležitostí firmy tahat externí firmu. Mluvil jsem se zástupci nejmenované mezinárodní IT firmy s 12 000 zaměstnanci a z diskuze jasně vyplynulo, že cloud od externího poskytovatele zde už postrádá smysl. Firma si vše řeší sama, má svá profesionální data centra nastavená přesně pro svoje účely, připojené jen do interní sítě. Pro firmu takového měřítka není problém mít své cloudové řešení, je to pro ni dokonce i jednodušší. Tato skutečnost ovšem platí jen pro opravdu velké mezinárodní společnosti. Zbývá tedy otázka, jak lze určit, jestli je cloud právě pro naši firmu ideálním řešením. Pro pomoc při volbě jsem vypracoval několik otázek, na které si firma může odpovědět sama a tím si zvolit pro ni nejlepší řešení. Nelze se rozhodovat jen podle jednoho parametru, ale je nutno si volbu dobře promyslet a přihlédnout na všechny hlediska.
9.4.5 Velikost firmy Pokud se jedná o malou firmu do 100 zaměstnanců, cloud bude téměř vždy nejlepší volbou. V tomto případě je totiž ekonomicky nejvýhodnější a hlavně nejbezpečnější. Firma si zpravidla nemůže dovolit investovat velké částky do kvalitního zabezpečení a mít opravdu profesionální personál, který se o bezpečnost stará. U střední a větší firmy se vyplatí využívat cloud jen částečně, například pro zálohování. 46
9.4.6 Druh a velikost ukládaných dat Představme si, s jakými daty náš systém pracuje. Jestli je možné mít data šifrovaná a taky to, o jaký objem dat jde. Pokud pracujete s obrovským množstvím dat, třeba až terabajty, a jejich ztráta pro vás není zase tak zásadní, cloud nebude mít příliš smysl a doporučil bych ho využít spíše jen částečně. V ostatních případech, kdy se operuje s malými, ale důležitými daty, u kterých je ztráta kritická, lze cloud, který je dobře zálohovaný, doporučit.
9.4.7 Použití cloudu Je nutné si dobře promyslet, co si od cloudu slibujeme a na co ho budeme používat. Pokud v něm poběží naše aplikace pro zákazníky, je důležité promyslet to, jak bude aplikace využívána a k čemu. Cloud je výhodný u malých služeb, které nebude využívat mnoho zákazníku, a u služeb, u kterých jsou velké špičky v návštěvnosti. Vzhledem ke škálovatelnosti se cloud přizpůsobí a přidělí aplikaci dočasně více výkonu. V těchto případech bude cloud naprosto ideální. Pokud chce firma používat cloud pouze jako firemní server a zálohované úložiště dat, je nutno koukat na ostatní parametry. Nelze ho v každém případě jednoznačně doporučit.
9.4.8 Spolehlivost Pokud je spolehlivost pro firmu důležitým parametrem, lze cloud jednoznačně doporučit. Hardwarové řešení, na kterém cloud ve velkých data centrech běží, jsou maximálně spolehlivá a odolná proti různým výpadkům. Firemní řešení je spolehlivé jen tak, jak si ho firma spolehlivým udělá.
9.4.9 Legislativa Dalším důležitým parametrem, který je třeba promyslet, je legislativa. Pokud by firma chtěla zvolit cloud, je třeba si zjistit, jak je to s daty, které je v plánu do cloudu ukládat, a legislativou. Zdali je v pořádku, aby data opustily zemi, v případě cloudu uloženého v zahraničí, nebo je třeba volit z cloudových řešení, které mají servery ve stejné zemi.
47
Závěr Před psaním jsem si zvolil několik cílů práce. Chtěl jsem zjistit, jak je to s bezpečností cloudu a jak se k ní staví legislativa jednotlivých zemí. Některé informace byly poměrně překvapivé. V současné době je bezpečnost provozu aplikací v cloudu velkým problémem. Nejvíce mě zaskočily značné rozdíly mezi legislativou jednotlivých států a jak velký rozdíl je v tom, kde je cloud umístěn. Naštěstí už, alespoň v Evropské unii, vznikají snahy o minimální sjednocení a na jednotlivé země jsou kladeny značné požadavky. Například i v Česku se legislativa modernizuje a chystají se její změny. Velmi zajímavé jsou také podmínky poskytovatelů některých cloudových služeb a co vše si díky nim můžou s vašimi daty dělat. Po prostudování některých z nich musím jednoznačně doporučit si podmínky před zřízením cloudové služby dobře prostudovat. Dalším problémem je samotná bezpečnost, technické řešení je na čím dál lepší úrovni, ale lidské chyby se neustále opakují. Dále jsem zjistil, jaké problémy v minulosti u cloudů pro veřejnost nastaly a potvrdilo se, že většina z nich se objevila právě kvůli lidskému faktoru. Bylo to zapříčiněno buď nedostatečným testováním, nebo jen nedomyšlením funkčností. Ke konci práce jsem porovnal ekonomické aspekty cloudu a došel k závěru, který jsem předpokládal. Pro malou firmu se cloud jednoznačně vyplatí. Jak finančně, tak kvůli bezpečnosti. U středně velké firmy finančně cloud vyjde podobně jako vlastní řešení, jen nám odpadnou starosti se zabezpečením a jeho aktuálnost. U velké firmy cloud většinou nepřipadá příliš v úvahu. Firmy s několika tisíci až desetitisíci zaměstnanci většinou budou mít své, dost často cloudové, řešení, na které se mohou spolehnout. Práce pro mě byla velmi přínosná, při vypracování práce jsem si uvědomil velké množství věcí, které by si v dnešní době měl promyslet každý. Ukládáme svá data do cloudu, předáváme je do rukou cizímu člověku, a to dost často s odsouhlasenou smlouvou, kterou jsme ani nečetli. Do cloudu nahráváme fotky, své dokumenty a ani nepřemýšlíme nad tím, kdo se o ně stará a kdo by se k nim mohl dostat a zneužít je. V posledních pár letech vzniklo hned několik vážných bezpečnostních problému u největších poskytovatelů a nikdo nám nezaručí, 48
že se nebudou opakovat. Cloud je ještě pořád na začátku a k dokonalosti a 100% bezpečnosti bude ještě dlouhá cesta, jestli vůbec jde dosáhnout cíle.
49
Seznam obrázků a tabulek Tabulka 1 Statistika žádostí o data uživatelů ............................................................................. 26 Tabulka 2 Ceny DDoS řešení od firmy F5 Networks .................................................................. 32 Tabulka 3 Náklady na zaměstnance, správce IT ........................................................................ 36 Tabulka 4 Pořizovací cena hardwaru on-premise řešení pro 30 zaměstnanců ......................... 37 Tabulka 5 Investice do hardware za 5 let u on-premise řešení pro 30 zaměstnanců ............... 38 Tabulka 6 Náklady na údržbu on-premise řešení u firmy s 30 zaměstnanci ............................. 38 Tabulka 7 Náklady během 5 let u on-premise řešení u malé firmy o 30 zaměstnancích ......... 39 Tabulka 8 Cena virtuálního serveru pro 30 zaměstnanců ......................................................... 40 Tabulka 9 Cena cloudového datového uložiště pro 30 zaměstnanců ....................................... 41 Tabulka 10 Celkové náklady na on-premise řešení u malé firmy o 300 zaměstnancích ........... 43 Tabulka 11 Cena virtuálního serveru pro 300 zaměstnanců ..................................................... 43 Tabulka 12 Cena cloudového datového uložiště pro 300 zaměstnanců ................................... 44 Tabulka 13 Porovnání ceny cloud a on-premise řešení u malé firmy s 300 zaměstnanci ......... 44
Obrázek 1: Cloud computing..................................................................................................... 10 Obrázek 2 Škálovatelnost cloudu .............................................................................................. 11 Obrázek 3 Legislativa – státy ..................................................................................................... 19
50
Zdroje 1. Lejsek, Zdeněk. Bezpečný cloud – realita, nebo zbožné přání? COMPUTERWORLD. *Online+ 24. 6 2012. http://computerworld.cz/securityworld/bezpecny-cloud-realita-nebo-zbozneprani-48519. 2. Alliance, Business Software. GLOBAL CLOUD COMPUTING SCORECARD. *Online+ Business Software Alliance, 2012. http://portal.bsa.org/cloudscorecard2012/countries.html. 3. Google. Zásady a pravidla. *Online+ Google, 1. 3 2012. http://www.google.co.uk/intl/cs/policies/terms/regional.html. 4. Microsoft. Smlouva o poskytování služeb společnosti Microsoft. *Online+ Microsoft, 27. 8 2012. http://windows.microsoft.com/cs-CZ/windows-live/microsoft-services-agreement. 5. UOOU. Úřad pro ochranu osobních údajů. Často kladené otázky. *Online+ Úřad pro ochranu osobních údajů, 2012. http://www.uoou.cz/uoou.aspx?menu=14&loc=331#a71. 6. Google. Transparency Report. *Online+ Google, 1-6 2012. *Citace: 15.12.2012.+ http://www.google.com/transparencyreport/userdatarequests/ . 7. Cloud.cz. Cloud CZ. *Online+ 2012. http://www.cloud.cz. 8. Krčmář, Petr. ROOT.CZ. The Pirate Bay mení infrastrukturu na neprůstřelný cloud. *Online+ 17. 10 2012. http://www.root.cz/zpravicky/the-pirate-bay-meni-infrastrukturu-naneprustrelny-cloud/. 9. DATARAMA. Nový Megaupload bude nezničitelný, slibuje Kim Dotcom. *Online+ 18. 11 2012. http://datarama.aktualne.centrum.cz/clanek.phtml?id=763098. 10. Digitální Česko 2.0. VLÁDA ČESKÉ REPUBLIKY. *Online+ 20. 3 2012. *Citace: 9. 5 2013.+ http://www.vlada.cz/assets/media-centrum/aktualne/Digitalni-Cesko-v--2-0_120320.pdf. 11. Národní centrum kybernetické bezpečnosti. NBÚ. *Online+ 15. 4 2013. *Citace: 9. 5 2013.+ http://www.govcert.cz/download/nodeid-622/ . 51
12. Europa. *Online+ 7. 2 2013. *Citace: 9. 5 2013.+ http://europa.eu/rapid/press-release_IP13-94_cs.htm. 13. Facebook, Dropbox app security holes are shocking in their stupidity (updated). Venture Beat. *Online+ 6. 4 2012. *Citace: 9. 5 2013.+ http://venturebeat.com/2012/04/06/facebookdropbox-security-hole/. 14. Security update & new features. The Dropbox Blog. *Online+ 31. 7 2012. *Citace: 9. 5 2013.+ https://blog.dropbox.com/2012/07/security-update-new-features/comment-page-2/. 15. Yesterday’s Authentication Bug. The Dropbox Blog. *Online+ 20. 7 2011. *Citace: 9. 5 2013.+ https://blog.dropbox.com/2011/06/yesterdays-authentication-bug/. 16. Dirty Secrets of Dropbox, Google Drive and Other Cloud Storage Services. CIO. *Online+ 16. 11 2012. *Citace: 9. 5 2013.+ http://blogs.cio.com/cloud-computing/17574/dirty-secretsdropbox-google-drive-and-other-cloud-storage-services. 17. Security concerns in SkyDrive Hotmail integration. Techulator. *Online+ 11. 2 2012. *Citace: 9. 5 2013.+ http://www.techulator.com/resources/5662-Serious-security-concerns-usingSkyDrive.aspx. 18. Polesný, David. České zpravodajské weby čelily masivnímu útoku. Živě. *Online+ 4. 3 2013. *Citace: 9. 5 2013.+ http://www.zive.cz/clanky/ceske-zpravodajske-weby-celily-masivnimuutoku/sc-3-a-167837/default.aspx. 19. Weber, Filip. DoS a DDoS útoky a ochrana proti nim. Svět sítí. *Online+ 7. 4 2008. *Citace: 9. 5 2013.+ http://www.svetsiti.cz/clanek.asp?cid=DoS-a-DDoS-utoky-a-ochrana-proti-nim-1742008. 20. Zábranská, Ingrid. Máte ochranu proti DoS a DDoS útokům? ARROW. *Online+ 20. 3 2013. *Citace: 9. 5 2013.+ http://www.arrowecs.cz/web/infobaze.nsf/0/CBCFEBBDC230C451C125799C002D9523. 21. Check Point Price List. Check Point. *Online+ *Citace: 9. 5 2013.+ https://pricelist.checkpoint.com/pricelist/US/Global/welcome.jsp. 52
22. Cloud Computing: Slovník pojmů. BusinessIT. *Online+ 8 2011. *Citace: 13. 5 2013.+ http://www.businessit.cz/cz/cloud-computing-slovnik-pojmu-saas-paas-iaas.php. 23. IW: DLP: Viete, kde sa túlajú vaše firemné dáta? INFOWARE. *Online+ 3. 11 2010. *Citace: 14. 5 2013.+ http://www.itnews.sk/tituly/infoware/2010-11-03/c136604-iw-dlp-viete-kde-satulaju-vase-firemne-data. 24. Bezpečnost cloud computingu. T-Systems Czech Republic a.s. *Online+ 1 2011. *Citace: 14. 5 103.+ http://www.t-systems.cz/produkty-a-reseni/cloudcomputing/677144_1/blobBinary/pdf5-ps.pdf.
53
