A felhőalapú számítástechnika nagy jövő előtt áll. Az új szemléletet és technológiákat ötvöző cloud computingban lévő lehetőségeket ugyanis a vállalatok előbb utóbb ki fogják aknázni. Különösen akkor, ha mindez költséghatékony IT-rendszereket eredményez. A Gartner eddig többnyire meglehetősen bizakodó előrejelzéseket tett közzé a felhőalapú technológiák térhódításával kapcsolatban. A cég elemzői tavaly októberben a cloud computing-ot besorolták azon tíz legfontosabb technológia, illetve trend közé, amelyeket már 2010-ben érdemes számításba venniük azoknak a szakembereknek, akik az IT-infrastruktúrák fejlesztésének stratégiai tervezésével foglalkoznak. A Gartner szerint 2012-ben a cégek 20 százaléka már nem foglalkozik majd a saját hardverkörnyezetének jelentős bővítésével. Könnyen elképzelhető ugyanis, hogy a felhőalapú infrastruktúrák használatára való átállással egy időben a hardverbérlés válik népszerűvé, ami tovább csökkentheti majd a vállalkozások beruházásokkal kapcsolatos terheit.

A cloud computing elterjedése azonban nem lesz olyan gördülékeny, mint ahogy az elsőre hangzik. Az egyik legjelentősebb és legnehezebben leküzdhető akadályt az adatbiztonság fogja jelenteni. A Gartner már 2008 nyarán előrevetítette azokat a biztonsági nehézségeket, amelyeket a közeljövőben mindenképpen meg kell oldani, különben a vállalati felhasználók nem lesznek hajlandók áttérni ezen szolgáltatások használatára. De mitől is tartanak leginkább a cégek? Elsősorban az adataik harmadik fél által történő kezelésétől. A felhőlapú technológiák azon előnye, mely szerint a szolgáltató és az ügyfele bárhol lehet a nagyvilágban, az adatbiztonság esetében éppen a visszájára fordul, és hátrányként jelentkezik. Az ügyfél ugyanis sokszor nem is tudja, hogy az elmentett adata éppen mely országban található. További aggályként merül fel a cloud computing rendszerekkel szemben, hogy nehéz átlátni, hogy azok mennyire képesek elkülönítve tárolni az egyes ügyfelek adatait.  Emellett a napjainkban egyre fontosabb szemponttá váló megfelelőség terén is számos kérdés merül fel e környezetek esetében.

További dilemma, hogy a rendszerek és az adatok rendelkezésre állása miként biztosítható. Noha a cloud computing az elosztott megoldások révén nagy rendelkezésre állású működéssel büszkélkedhet, mindez hosszútávon már nem biztos, hogy garantálható. Felvetődhet például a kérdés, hogy mi történik azzal a vállalattal, amelynek a cloud computing szolgáltatóját egyik napról a másikra felvásárolják, vagy csődöt jelent. Mivel speciális rendszerekről és nagy mennyiségű adatról van szó, ezért egy szolgáltatóváltás komoly fennakadásokkal járhat.

Hargitai Zsolt, a Novell Magyarország kereskedelemtámogatási vezetője a Biztonságportálnak adott interjújában kitért azokra a szempontokra, amelyeket a felhőalapú szolgáltatások kiválasztásánál mérlegelni kell. A szakember felvázolta azokat a legfontosabb biztonsági kritériumokat és lehetőségeket is, melyeket érdemes végiggondolni az új technológiák kapcsán.

BP: Milyen biztonsági és adatvédelmi kérdésekre érdemes odafigyelni a felhőalapú megoldásokat biztosító szolgáltatók közötti választás során?

H.ZS.: Szolgáltató választásnál rendkívül fontos, hogy olyan céget válasszunk, amely a biztonsági igényeinket maradéktalanul képes kielégíteni, adjon garanciát adataink bizalmas kezelésére és garantálja azt, hogy ne kerülhessenek azok illetéktelen kezekbe. A jogi garanciák mellett nagyon fontos a használt technológia is. Ezen a területen figyeljünk arra, hogy olyan szolgáltatót válasszunk, aki a biztonsági szoftverek területén elismert és szabványos technológiákat használ. A szabványosság azért fontos, hogy a felhőben futtatott szolgáltatást képes legyen csatlakoztatni a mi biztonsági rendszerünkhöz, és így erre is érvényesek legyenek a vállalaton belül beállított és kikényszerített biztonsági irányelvek.

BP: Hogyan célszerű átformálni a biztonsági szabályokat egy vállalatnál akkor, amikor az felhőalapú megoldást kíván igénybe venni?

H.ZS.: A biztonsági szabályokat mindenképpen érdemes kiegészíteni a következő két fontos szempont figyelembe vételével. Egyrészt olyan alkalmazások használatát célszerű először kihelyezni külső szolgáltatóhoz, amelyre a legkevésbé szigorú törvényi előírások vonatkoznak. Másrészt elő kell írni a szolgáltatónak, hogy a vállalati hálózaton belül érvényes biztonsági szabályok maradéktalanul jussanak érvényre a külső rendszerben is. Vonatkozik ez a felhasználók azonosítására, a jelszókezelésre, a jogosultságokra és az auditra egyaránt.

BP: Adatvédelmi szempontból miként oszlik meg a felelősség a felhőalapú megoldást nyújtó szolgáltató és annak ügyféle között?

H.ZS.: Mindenképpen célszerű a szolgáltatói szerződésbe garanciákat beépíteni az adatkezeléssel kapcsolatban, beleértve a kártérítési felelősséget is. Azt azonban mindenképpen érdemes tudni, hogy ha egy cégre vonatkozik valamilyen törvényi vagy iparági előírás (pl. Sarbanes-Oxley törvény, illetve Magyarországon a HPT vagy a PSZÁF előírások), akkor hiába történik ennek az előírásnak a megsértése a szolgáltató hibájából, a törvényi felelősséget a cégnek kell állnia, maximum a károkat próbálhatja továbbhárítani a szolgáltatóra.

BP: Milyen nehézségeket jelentenek a biztonsági auditálások során a felhőalapú megoldások?

H.ZS.: Ha garantálni szeretnénk azt, hogy a biztonsági auditálások során a felhőalapú megoldások ellenőrzése is zökkenőmentes legyen, mindenképpen célszerű az ott futó szolgáltatásokat is beintegrálni a vállalati biztonsági rendszerbe. Ebből a szempontból a legfontosabb annak a garantálása, hogy a biztonsági irányelvek itt is érvényesek legyenek, valamint az, hogy a naplóállományok innen is átkerüljenek valamilyen központi logmenedzsment megoldásba, mint amelyen például a Sentinel Log Manager.

BP: Mely technológiai megoldásokkal lehet csökkenteni a felhőalapú számítástechnika kockázatait?

H.ZS.: Olyan megoldással, amely biztonságossá teszi a kommunikációt a felhő és a vállalati hálózat között, biztosítja a felhasználói adatok és jelszavak biztonságos kezelését, a felhasználók azonosítását, a hozzáférések felügyeletét valamint az auditot. A Novell dolgozik vállalati biztonsági szoftvereinek továbbfejlesztésén. Hamarosan elkészül a Novell Cloud Security Service nevű termék, amely biztosítani fogja a felhőalapú számítástechnika biztonságos használatát. Az új termék a Novell Identity és Access Manager valamint a Sentinel termékek továbbfejlesztése lesz új csatolókkal (pl. Amazon EC2, GoGrid, Google Apps, Salesforce.com) és új szolgáltatásokkal. Ez utóbbiak felelnek majd többek között a biztonságos kommunikációs csatorna kiépítéséért a szolgáltató és a vállalat között.

BP: A jövőben milyen tendenciák lesznek megfigyelhetők a felhőalapú számítástechnikát érintő kockázatok és az ezekre reagáló védelmi megoldások tekintetében?

H.ZS.: Első lépésben a biztonsági szempontból kevésbé kritikus alkalmazások fognak megjelenni a külső felhőkben, és elsősorban az ott elhelyezett adatok védelmére fognak koncentrálni a biztonsági megoldások. Aztán, ahogy egyre kritikusabb szolgáltatások kerülnek itt is beüzemelésre, úgy fognak kiegészülni újabb technológiákkal a biztonsági rendszerek, majd itt is megjelenik a teljes körű, központosított auditálás, jogosultság-, jelszó- és hozzáférés-felügyelet.

Kristóf Csaba cikke  computerworld