Percepcja vs. Rzeczywistość
Informatycy często postrzegają chmurę jako niepewną lub mniej bezpieczną niż przechowywanie aplikacji i danych we własnych centrach danych. Ale postrzeganie niekoniecznie pasuje do rzeczywistości.
Kiedy CA i Ponemon Institute zleciły badanie ponad 900 specjalistów IT w maju 2010 r., odkryli, że praktycy IT uważają, że trudniej jest ograniczyć zagrożenia bezpieczeństwa w chmurze, w tym zabezpieczyć fizyczną lokalizację zasobów danych i ograniczyć uprzywilejowany dostęp użytkowników do dane wrażliwe. Ankieta wykazała, że pracownicy IT przyznali, że mają niepełną wiedzę na temat tego, które z ich zasobów obliczeniowych są wdrażane w chmurze, głównie dlatego, że decyzje te są podejmowane przez użytkowników końcowych poza jakimkolwiek przeglądem IT. Około połowa wszystkich respondentów przyznaje, że wiele zasobów w chmurze nie jest ocenianych pod kątem bezpieczeństwa przed wdrożeniem w ich organizacjach.
Być może całe zamieszanie dotyczy bardziej niezabezpieczonych aplikacji internetowych niż samej chmury. Wiele z najczęstszych luk w zabezpieczeniach sieci Web, takich jak cross-site scripting i wstrzykiwanie SQL, to rzeczy, które istniały prawie od czasu wynalezienia serwerów sieci Web i z jakiegoś powodu nadal przeszkadzają one w wielu korporacyjnych instalacjach. Jak na ironię, raport Dereka Brinka z Aberdeen Group z maja 2010 r. pokazuje, że użytkownicy narzędzi bezpieczeństwa internetowego opartych na chmurze radzili sobie lepiej niż ich lokalnych odpowiedników, przy mniejszej liczbie incydentów związanych ze złośliwym oprogramowaniem.
Z pewnością istnieją mniej lub bardziej bezpieczne środowiska chmurowe, podobnie jak mniej lub bardziej bezpieczne lokalne centra danych. Cloud Security Alliance to organizacja non-profit utworzona w celu promowania zapewniania bezpieczeństwa wśród dostawców usług przetwarzania w chmurze. Sojusz promuje najlepsze praktyki bezpieczeństwa i tworzy konsensus wokół poszczególnych kwestii bezpieczeństwa. Założona dwa lata temu przez konsorcjum dostawców i menedżerów IT użytkowników końcowych, stworzyła kilka grup roboczych, takich jak te, które koncentrują się na operacjach centrum danych, eDiscovery i zarządzaniu cyklem życia.
Każdy, kto kupuje usługi w chmurze, powinien szukać jasnych i przekonujących odpowiedzi na cztery pytania:
W jaki sposób dane są szyfrowane, zarówno w użyciu, jak i w spoczynku, gdy są przechowywane w infrastrukturze chmury?
Czy istnieją szczegółowe kontrole dostępu?
Jaka część infrastruktury chmury jest nadmiarowa?
Jak dobrze chronione są aplikacje internetowe?
Każdemu z nich przyjrzymy się bardziej szczegółowo na kolejnych stronach.
