Cloud computing και ασφάλεια

Οι προοπτικές για τη βελτίωση της αποδοτικότητας και ευελιξίας καθώς και την εξοικονόμηση κόστους που ανοίγονται με την υιοθέτηση της τεχνολογίας του cloud computing σε επιχειρήσεις και Οργανισμούς, είναι πολλές και σημαντικές. Τι γίνεται όμως με το θέμα της ασφάλειας;
To Cloud Computing στις μέρες μας θεωρείται μια εξελισσόμενη τεχνολογία, η οποία σταδιακά αρχίζει να γνωρίζει μεγάλη αποδοχή στο χώρο της πληροφορικής, μιας και υπόσχεται να προσφέρει μεγαλύτερη αποδοτικότητα στον τρόπο λειτουργίας μιας εταιρείας ή Οργανισμού.

Στο προηγούμενο τεύχος παρουσιάσαμε την αρχιτεκτονική του «υπολογιστικού σύννεφου», όπως συνηθίζεται πλέον να αποδίδεται στα ελληνικά, καθώς επίσης και τις λειτουργίες και εφαρμογές του. Απαντήσαμε σε όλα σχεδόν τα ερωτήματα γύρω από αυτήν την τεχνολογία, εκτός από ένα: «Τι γίνεται με το θέμα της ασφάλειας»;
Σε αυτό το άρθρο λοιπόν θα παρουσιάσουμε και θα αναλύσουμε την κρίσιμη πτυχή της ασφάλειας του Cloud Computing. Οι απόψεις γύρω από το θέμα είναι αρκετές και πολλές είναι και αντιφατικές μεταξύ τους – όπως άλλωστε και σε κάθε τεχνολογία – αλλά τελικά αυτό που μετράει είναι από ποια πλευρά το βλέπουμε. Ο Prof. Whitfield Diffie του Royal Holloway University of London και πρωτοπόρος σε θέματα κρυπτογραφίας, δίνει ένα πολύ εύστοχο παράδειγμα, λέγοντας: «Όλοι κατά γενική ομολογία εμπιστευόμαστε το Gmail ή την τηλεφωνική μας εταιρεία για να στείλουμε εμπιστευτικές πληροφορίες. Θεωρούμε πως υπάρχει η απαραίτητη ασφάλεια για να μεταδώσουμε μία εμπιστευτική πληροφορία τηλεφωνικά και εμπιστευόμαστε τον πάροχό μας. Υπάρχει όμως και μία μερίδα ανθρώπων που δεν μιλάνε στο τηλέφωνο αν δεν πάρουν περισσότερα μέτρα ασφαλείας – πέρα από αυτά που παρέχονται από τις εταιρείες τηλεφωνίας».
Στο κείμενο που ακολουθεί θα εστιάσουμε στους κινδύνους που συνοδεύουν την τεχνολογία και τις υπηρεσίες του cloud computing, θα παρουσιάσουμε τα πλεονεκτήματα που προκύπτουν και θα δούμε τι ρίσκα παίρνουμε υιοθετώντας αυτήν την τεχνολογία. Τέλος, θα κάνουμε μία αναφορά σε γεγονότα τα οποία έχουν λάβει χώρα, ώστε να κατανοήσουμε την αιτία κάποιων προβλημάτων και θα κλείσουμε με τον απολογισμό όλων των στοιχείων του άρθρου αυτού.

Ποιοι κίνδυνοι ελλοχεύουν στο «σύννεφο»
Μέσα στο «σύννεφο» λοιπόν, οι μεγαλύτεροι κίνδυνοι σε θέματα ασφάλειας εντοπίζονται στα εξής σημεία:

Η παροχή υπηρεσίας του «σύννεφου» χρησιμοποιεί την υποδομή του πάροχου. Ουσιαστικά δηλαδή, ο χρήστης παραχωρεί κομμάτι του ελέγχου στον πάροχο. Την ίδια στιγμή, η συμφωνία σε επίπεδο υπηρεσιών μεταξύ πελάτη-πάροχου (SLA) δεν διασαφηνίζει αυτό το θέμα, αφήνοντας ερωτηματικά και κενά σε επίπεδα ασφάλειας. Τι θα μπορούσε αλήθεια να συμβεί αν χανόταν ο έλεγχος από τον πάροχο;
Αυτή τη στιγμή τα εργαλεία που προσφέρονται, οι διαδικασίες, το πρότυπο τυποποιημένης μορφής και οι υπηρεσίες που μπορούν να παρέχουν ασφάλεια δεδομένων, φορητότητα και μετάβαση σε άλλο πάροχο, δεν μπορούν να θεωρηθούν ότι έχουν φτάσει σε ένα υψηλό επίπεδο. Με λίγα λόγια, αν θέλετε να αλλάξετε πάροχο υπηρεσιών «σύννεφου» έχετε δύο προβλήματα. Το ένα είναι ότι υπάρχει δυσκολία στη μεταφορά αρχείων και υπηρεσιών, ενώ ακόμα πιο δύσκολα γίνονται τα πράγματα αν θα θέλαμε να γυρίσουμε στην κλασική λύση με server και clients εντός της επιχείρησης. Εάν η φορητότητα των δεδομένων δεν είναι εφικτή, δεν γίνεται να γυρίσουμε πίσω στον παλιό κλασικό server. Σε αυτό το σημείο μάλιστα, τίθεται και θέμα εξάρτησης από τον πάροχο.
Η κοινή διαχείριση αρχείων και πόρων που προσφέρει το «σύννεφο» έχει ένα μειονέκτημα σε σχέση με τη multi-tenant αρχιτεκτονική. Για να καταλάβουμε τον όρο multi-tenant, με απλά λόγια φανταστείτε το δίκτυο σαν μια πολυκατοικία. Όλοι μπορούν να έχουν κοινή χρήση του ανελκυστήρα και μόνο ο διαχειριστής έχει πρόσβαση στο μηχανοστάσιο. Το πρόβλημα στη συγκεκριμένη περίπτωση είναι πώς διασφαλίζεται το δίκτυο από τους ενοίκους, συνολικά και ατομικά. Για παράδειγμα, το διαμέρισμα Α του 2ου ορόφου με το Β συγκοινωνούν με κοινή – ας πούμε – εσωτερική πόρτα. Έρχεται ο κλέφτης να μπει στο Α, αλλά η πόρτα ασφαλείας του διαμερίσματος είναι αδιαπέραστη και θωρακισμένη. Πάει λοιπόν στο Β, στο οποίο η πόρτα είναι κλασική και ξεκλείδωτη. Με την ταυτότητα και μόνο ανοίγει, μπαίνει εύκολα και το χειρότερο είναι ότι αποκτάει πρόσβαση και στο διαμέρισμα Α. Θεωρητικά, μόλις καταλάβατε πώς θα μπορούσε να επιτευχθεί μία επίθεση τύπου guest-hopping. Βάλτε στο μυαλό σας εικονικές μηχανές (διαμερίσματα) και τον επόπτη τους (hypervisor ή virtual machine monitor). Στην πραγματικότητα βέβαια, ο βαθμός δυσκολίας μιας τέτοιας επίθεσης είναι μεγάλος σε σχέση με τις κλασικές επιθέσεις στο παραδοσιακό λειτουργικό.
Επειδή ασφάλεια δεν είναι μόνο το τεχνικό επίπεδο και ο κώδικας ενός υπολογιστή, ένας κίνδυνος που αφορά στις επιχειρήσεις είναι και ο παρακάτω. Μία επένδυση που χρειάζεται απόλυτη συμμόρφωση με συγκεκριμένους όρους για την εκπόνησή της, ίσως να μην είναι καλή ιδέα να εμπλακεί με το «σύννεφο». Ειδικά στην περίπτωση όπου ο πάροχος δεν δίνει αποδεικτικό ότι η υπηρεσία θα δουλεύει σύμφωνα με τις απαιτήσεις. Μεγάλη προσοχή λοιπόν χρειάζεται σε θέματα που αφορούν σε κανονιστικά πλαίσια και πρότυπα λειτουργίας.
Το «σύννεφο» προσφέρει πρόσβαση μέσω παγκόσμιου ιστού και κοινόχρηστων δικτύων. Είναι ευνόητο πως υπάρχει ένα αυξημένο ρίσκο στην ασφάλεια, ειδικά όταν συνδυάζεται και με απομακρυσμένη σύνδεση.
Πόσο σίγουροι είμαστε ότι τα δεδομένα μας είναι ασφαλή; Πόσο κατοχυρωμένοι είμαστε ότι δεν θα χαθεί ένα σημαντικό αρχείο; Είναι γνωστό ότι τα αρχεία μας στο «σύννεφο» ταξιδεύουν μεταξύ δικτύων ανά τον κόσμο. Η ερώτηση είναι, ποιος τα ελέγχει; Και, αν κάποιος ελέγχει πού θα πάνε, τα διαχειρίζεται με σωστό και νόμιμο τρόπο; Γενικά, είναι απαραίτητο να γνωρίζουμε την πολιτική του πάροχου. Κάποιοι παρέχουν μάλιστα και πιστοποιητικά. Στο θέμα των αρχείων, ένας κίνδυνος εμφανίζεται κατά τη διαγραφή τους. Στην πραγματικότητα, αν θέλαμε να σβήσουμε τα πάντα από το δίσκο υπάρχουν άπειρες τεχνικές. Από ένα απλό delete έως και πιο σύνθετες, που κάνουν δυσκολότερη έως αδύνατη την ανάκτηση των δεδομένων. Στο «σύννεφο» όμως, δεν θα μπορούσαμε να κάνουμε κάτι τέτοιο. Μην ξεχνάτε ότι μοιραζόμαστε το δίσκο και με άλλους πελάτες και ότι στην πραγματικότητα το σβήσιμο δεν γίνεται πάντα σε πραγματικό χρόνο.
Ας υποθέσουμε ότι το «σύννεφο» είναι σωστά διασφαλισμένο εξωτερικά. Τι θα γινόταν όμως στην περίπτωση που το κακό ξεκινάει μέσα από την υποδομή; Εμείς πώς διασφαλιζόμαστε;

Οι παραπάνω κίνδυνοι θεωρούνται οι πιο σημαντικοί και πάνω σε αυτούς θα χτίσουμε και την άλλη πλευρά του νομίσματος. Ας δούμε τώρα τι προσφέρει το «σύννεφο» και ποια είναι τα πλεονεκτήματα στην ασφάλειά του.

Πλεονεκτήματα Ασφαλείας στο cloud computing
Το «σύννεφο» σαν τεχνολογία έχει μεγάλες προοπτικές να αναδείξει την ασφάλειά του σε όλους τους τομείς. Καταρχήν έχει το πλεονέκτημα ότι τα μέτρα ασφαλείας κοστίζουν λιγότερο, καθώς φτιάχνονται για δίκτυα μεγάλης κλίμακας. Είναι σαφές ότι τα ίδια μέτρα θα καλύπτουν και τα μικρότερα δίκτυα που υπάρχουν μέσα στο «σύννεφο». Άρα ο χρήστης υπηρεσιών cloud, σίγουρα θα έχει πολύ καλά εγκατεστημένη ασφάλεια με φίλτρα, αναβαθμίσεις και διασφαλίσεις στο «σύννεφο», αλλά και σε τοπικό επίπεδο. Οι περισσότεροι πάροχοι κάνουν αναπαραγωγή δεδομένων σε πολλές περιοχές, ώστε να διασφαλίσουν ότι τα δεδομένα θα είναι πάντα διαθέσιμα. Με αυτόν τον τρόπο μπορούμε να είμαστε σίγουροι ότι δεν θα χάσουμε αρχεία. Οι αποθηκευτικοί χώροι καθώς και η ταχύτητα των δεδομένων κατά τη λήψη τους, παρέχουν βέλτιστη απόδοση στο τοπικό σύστημα. Οι καθυστερήσεις σχεδόν δεν υπάρχουν – και ακόμα και σε περίπτωση βλάβης τοπικού δικτύου θα είναι τοπικές, σε συγκεκριμένα υποδίκτυα, παρά σε όλη την επιχείρηση ή Οργανισμό. Πολύ σημαντικό κομμάτι της ασφάλειας είναι ότι οι πάροχοι του «σύννεφου» έχουν την πολυτέλεια να προσλάβουν ειδικευμένο προσωπικό με συγκεκριμένα καθήκοντα στον τομέα ασφάλειας. Οι μικρότερες εταιρείες συνήθως έχουν μικρό αριθμό ανθρώπων που ασχολούνται με όλα τα προβλήματα.
Είναι ευνόητο λοιπόν ότι ένας μεγάλος πάροχος υπηρεσιών cloud computing μπορεί να προσφέρει καλύτερες, πιο εξελιγμένες και πιο φθηνές υπηρεσίες ασφάλειας στους πελάτες του. Το ίδιο συμβαίνει και με τους πόρους δικτύου. Ο πάροχος μπορεί να φιλτράρει ή να διαμορφώσει την κίνηση στο δίκτυο. Μπορεί επίσης να προσφέρει κωδικοποίηση με σκοπό να αυξήσει την αποδοτικότητα των μέτρων που λαμβάνει, ώστε να αποφεύγει απειλές. Στο «σύννεφο», oι εικονικές μηχανές που χρησιμοποιούνται από τους πελάτες είναι από πριν ελεγμένες και διασφαλισμένες με τις τελευταίες ενημερώσεις για ιούς, απειλές ή κενά ασφάλειας. Ένα πρόσθετο χαρακτηριστικό είναι ότι κάθε εικόνα (image) που χρησιμοποιείται σε μία εικονική μηχανή επανελέγχεται συχνά, με στόχο να βεβαιωθούμε ότι – για παράδειγμα – οι κανόνες του firewall δεν έχουν αλλάξει.

Τα ρίσκα στο . «σύννεφο»
Το θέμα της ασφάλειας στην τεχνολογία του «σύννεφου» δεν θα πρέπει να μας απασχολεί μόνο σε επίπεδο απειλών δικτύου και κενών ασφάλειας. Οι παρεχόμενες υπηρεσίας μιας εταιρείας πρέπει να αξιολογηθούν πριν την επιλογή πάροχου, ώστε να γίνει σαφές ποια είναι η καλύτερη επιλογή προκειμένου η εταιρεία να χρησιμοποιήσει σωστά το «σύννεφο».
Για παράδειγμα, ας δούμε την περίπτωση κλειδώματος (lock-in) στα τρία μοντέλα Saas, PaaS και Iaas. Στο SaaS οι πληροφορίες των πελατών αποθηκεύονται σε μία βάση δεδομένων. Οι περισσότεροι πάροχοι προσφέρουν μία διαδικασία (μέσω API) για την εξαγωγή δεδομένων. Στην περίπτωση που ο πάροχος δεν προσφέρει αυτήν τη διαδικασία, δεν μπορούμε να αλλάξουμε πάροχο, διότι δεν μπορούμε να ανακτήσουμε τα αρχεία σε μια μορφή που να μπορούν να αναγνωριστούν από το νέο. Από πάροχο σε πάροχο μπορεί να υπάρχει διαφορά στο σκελετό και τη δομή της βάσης δεδομένων. Ο νέος πάροχος μπορεί να προσφέρει βοήθεια για τη μεταφορά (με κάποιο κόστος) ώστε να συγκροτηθεί η βάση στο καινούριο περιβάλλον. Αντίστοιχα, θα ήταν καλό να έχουμε γνώση αν ο πάροχος που επιλέγουμε προσφέρει διαδικασία μεταφοράς των αρχείων μας στον παλιό κλασικό server μας. Σε επίπεδο εφαρμογών για μια επιχείρηση ισχύει το ίδιο. Σε περίπτωση αλλαγής πάροχου, η εφαρμογή θα πρέπει να ξαναγραφεί ουσιαστικά ακολουθώντας το νέο API
Στο PaaS το κλείδωμα προκύπτει και στο ΑΡΙ και στο υλικό που δίνει πρόσβαση σε ένα πολύ γρήγορο αποθηκευτικό σύστημα. Αν λοιπόν γίνει αλλαγή πάροχου, τόσο η εφαρμογή όσο και το πρόγραμμα που ελέγχει την πρόσβαση στο αποθηκευτικό σύστημα, πρέπει να ξαναγραφούν. Είναι φανερό ότι αυτό θα επιφέρει μεγαλύτερο κόστος. Ακόμα και στην περίπτωση που το ΑΡΙ είναι το ίδιο, ο κώδικας για το αποθηκευτικό μοντέλο μπορεί να διαφέρει. Πρέπει να γνωρίζουμε ότι οι εφαρμογές του cloud είναι γραμμένες ξανά, για να λειτουργούν στο cloud. Για παράδειγμα, μία εφαρμογή Java μπορεί να έχει ξαναγραφεί και να της έχουν αφαιρεθεί λειτουργίες που θα μπορούσαν να προδώσουν την ασφάλεια του «σύννεφου». Το PaaS μοντέλο μπορεί να προκαλέσει κλείδωμα στον πελάτη – και σε αυτήν την περίπτωση το βάρος εξαγωγής των αρχείων πέφτει αποκλειστικά στον ίδιο.
Στο IaaS τώρα, το κλείδωμα προκύπτει σε επίπεδο υποδομών και κατανάλωσης πόρων. Για παράδειγμα, ένας πελάτης που χρησιμοποιεί αποθηκευτικό χώρο, δεν θα έχει πρόβλημα αν χρησιμοποιήσει μη συμβατή μορφή (format) εικονικών μηχανών. Τα προγράμματα και οι πληροφορίες εικονικών μηχανών μπορούν να μετακινούνται στο ίδιο «σύννεφο» προσφέροντας φορητότητα. Η αλλαγή πάροχου όμως, θα είναι πρόβλημα μέχρι να υιοθετηθούν από όλους κάποια κοινά πρότυπα όπως το OVF.
Αντίστοιχα προβλήματα εντοπίζονται στην περίπτωση όπου για κάποιους λόγους χαθεί ο έλεγχος της διαχείρισης. Όπως προαναφέραμε, ένα κομμάτι του έλεγχου ασφάλειας μεταφέρεται στον πάροχο υπηρεσιών «σύννεφου». Προκειμένου να διασφαλιστεί η θέση, η πολιτική και τα συμφωνητικά της εταιρείας, είναι απαραίτητο να μελετηθεί το συμφωνητικό του πάροχου ώστε να μη συγκρούεται με την εταιρεία. Αν για παράδειγμα θέλετε να κάνετε penetration testing και ο πάροχος το απαγορεύει, τότε υπάρχει πρόβλημα. Είναι επίσης καλό να θυμάστε πως οι όροι του πάροχου μπορούν να αλλάξουν ανά πάσα στιγμή. Αυτό μπορεί να επηρεάσει μία από τις εφαρμογές σας, με αποτέλεσμα τη δυσλειτουργία ή – ακόμα χειρότερα – τη διακοπή της. Κάποιες φορές οι πάροχοι αναθέτουν σε τρίτους διάφορες ειδικευμένες εργασίες. Ας πάρουμε τον τομέα ασφάλειας. Σκεφτείτε λοιπόν ότι ό πάροχος που διαλέξατε, έχει αναθέσει την υπηρεσία διαχείρισης ταυτότητας σε τρίτους. Σε περίπτωση διακοπής της υπηρεσίας λόγω διακοπής της σύνδεσης ή μιας αδυναμίας στο δικό τους σύστημα, τα δεδομένα εύκολα μπορούν να διαρρεύσουν. Αν κάνετε έρευνα αυτήν τη στιγμή προσπαθώντας να αποφασίσετε ποιον πάροχο να διαλέξετε, μία συμβουλή που ίσως είναι χρήσιμη είναι η εξής: Ένας πάροχος που δεν λέει ποιον πυρήνα από υπηρεσίες χρησιμοποιεί, συνήθως αναθέτει σε τρίτους διάφορα καθήκοντα. Εάν δεν υπάρχει διαφάνεια στο συμβόλαιο για αυτό το θέμα, ο πελάτης δεν μπορεί να εκτιμήσει σωστά τι κίνδυνο μπορεί να αντιμετωπίσει. Ρεαλιστικά, οι πάροχοι δεν μπορούν να παρέχουν λίστες για όλους τους συνεργάτες, καθώς αυτοί αλλάζουν συχνά.
Τέλος, πρέπει πάντα να έχουμε στο μυαλό μας ότι υπάρχουν και απειλές και ατέλειες που δεν καθορίζονται από το «σύννεφο» αλλά έχουν άμεση σχέση με αυτό και μπορούν να προκαλέσουν προβλήματα ασφάλειας. Λάθος παραμετροποίηση του συστήματος θα αποφέρει κενό ασφάλειας. Ευπάθεια του συστήματος ή του λειτουργικού επηρεάζει άμεσα την ασφάλεια του «σύννεφου» και οι πόροι του συστήματος πρέπει να απομονωθούν σωστά. Αν δεν γίνει αυτό, είναι πιθανό κάποιος να υφαρπάξει την πληροφορία που θέλει.

Τοπίο στην ομίχλη
Αυτήν την περίοδο υπάρχει μία έντονη διχογνωμία από τους ειδικούς για το τι είναι ασφαλές και τι όχι, σε σχέση με το cloud computing. Ο μεταδιδακτορικός ερευνητής Eran Tromer, με βάση το MIT στο εργαστήριο Computer Science and Artificial Intelligence Lab, ισχυρίστηκε πρόσφατα ότι θα παρουσιάσει στοιχεία που δείχνουν ότι η Amazon παρουσιάζει ευπάθεια σε επιθέσεις. Η Amazon από την πλευρά της, αρνείται ότι τα ευρήματά του ανταποκρίνονται στην πράξη. Ο αναλυτής πληροφορικής John Pescatore από τους Financial Times, σημειώνει «.το cloud computing σήμερα είναι όπως ήταν τα windows το 1999. Το μόνο κακό είναι πως είναι εκτεθειμένο στο διαδίκτυο και ξέρουμε ότι μπορεί κάτι κακό να συμβεί. Στο Black Hat USA στο Λας Βέγκας παρουσιάστηκαν μέθοδοι επίθεσης στο cloud, ενώ τελικά η μεγαλύτερη ερώτηση του άρθρου είναι η εξής: «Μήπως το «σύννεφο» βάζει εμάς και τις πληροφορίες μας σε κίνδυνο»; Και για να σας προλάβω, η επόμενη ερώτηση είναι «μπορώ να προστατευτώ»;
Η ιστορία έχει δείξει πως το «σύννεφο» μπορεί σε κάποιες περιπτώσεις να μην είναι απόλυτα ασφαλές. Η Salesforce.com με SaaS κατακρίθηκε, καθώς στις 06/01/2009 άφησε 900,000 συνδρομητές χωρίς υπηρεσίες. Το κλείδωμα προκλήθηκε από ένα κομμάτι του δικτύου που δεν δούλεψε λόγω κακής διαχείρισης της μνήμης. Όπως λοιπόν επισημαίνει και η Google, η αντιγραφή δεδομένων σε διαφορετικά σημεία είναι το κλειδί της επιτυχίας, ώστε να είναι πάντα διαθέσιμες οι πληροφορίες και τα δεδομένα μας. Αυτός είναι και ένας λόγος για τον οποίο οι βιομηχανίες δεν προχωρούν εύκολα στο cloud, καθώς υπάρχουν κανόνες οι οποίοι πρέπει να τηρούνται και να συμφωνούν με τα στάνταρ και την πολιτική της κάθε εταιρείας.
H Amazon, με το Elastic Compute Cloud (EC2) δίνει τη δυνατότητα να χτίσουμε μια εικόνα συστήματος (ΑΜΙ) που περιέχει τις εφαρμογές, τις βιβλιοθήκες και αρχεία του συστήματος. Μπορούμε λοιπόν να διαλέξουμε ένα έτοιμο σύστημα ή να χτίσουμε το δικό μας γρήγορα και εύκολα. Αν και σας φαίνεται πολύ απλό και σίγουρο, υπάρχει μια μικρή λεπτομέρεια που μας ξεφεύγει. Οι πρώτες 47 εικόνες χτίστηκαν από την Amazon. Οι υπόλοιπες όμως χτίστηκαν από χρήστες. Μπορείτε να είστε σίγουροι πως οι εικόνες αυτές χτίστηκαν σωστά και με ασφάλεια; Το βασικό αρχείο περιγράμματος (templates) είναι βασισμένο σε αρχείο που φτιάχτηκε από απλούς χρήστες.
Το Google Docs παρέχει πραγματικά αρκετές δικλείδες ασφαλείας και όμως ο λογαριασμός μας είναι τόσο ασφαλής, όσο η ασφάλεια που παρέχει ο κωδικός. Ένα σκάνδαλο ξέσπασε με το όνομα Twittergate, όταν ένας hacker απέκτησε πρόσβαση μέσω του Twitter στους λογαριασμούς χρηστών και έκλεψε ευαίσθητα εταιρικά αρχεία. Αντί λοιπόν τα αρχεία αυτά να μένουν στην εταιρεία πίσω από έναν τοίχο προστασίας, υπήρχαν σε μία υπηρεσία, που για να σπάσει ήταν αρκετό και μόνο να βρεθεί ο σωστός κωδικός. Τα ευαίσθητα αρχεία λοιπόν, ίσως είναι καλό να φυλάσσονται τοπικά και – κατά την προσωπική μου άποψη – κλειδωμένα σε ασφαλείς χώρους. Εννοείται πως οι υπολογιστές με τα δεδομένα δεν πρέπει να έχουν καμία σύνδεση με τον έξω κόσμο μέσω εσωτερικού δικτύου η διαδικτύου.

Βασικά μέτρα προστασίας
Για να απαντήσουμε λοιπόν και στους υπόλοιπους προβληματισμούς, είναι πολύ βασικό να προσέχουμε τι ανοίγουμε. Ένα κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου ή ένας σύνδεσμος αρκούν για να κλέψουν άμεσα πληροφορίες. Ρωτάμε πάντα τι προσφέρει ο πάροχος και κάνουμε backup – ή αυτήν την υπηρεσία μας προσφέρει αυτόματα ο πάροχος. Η κωδικοποίηση στα δίκτυα προσφέρει μεγαλύτερη ασφάλεια. Μία αδυναμία του «σύννεφου» και των εικονικών μηχανών είναι ότι δεν υπάρχει καλή κωδικοποίηση, γεγονός που μπορεί να κάνει την πρόσβαση πιο εύκολη σε περίπτωση επίθεσης. Η ιδέα πίσω από το «σύννεφο» είναι να αποθηκεύετε όσο το δυνατό λιγότερη πληροφορία στο τερματικό σας. Στο «σύννεφο» υπάρχουν ειδικοί που ασχολούνται με την ασφάλεια, όμως πίσω από το εταιρικό laptop είναι μόνο ένας απλός χρήστης. Η εντύπωση που υπάρχει είναι ότι σε αυτήν την περίπτωση ίσως το laptop να μη χρειάζεται να έχει ασφάλεια. Το «σύννεφο» όμως στο οποίο βρίσκεται συνδεδεμένο, πρέπει να είναι πλήρως ασφαλισμένο. Εξασφαλίστε τη γνώση για τα πιστοποιητικά και για το πώς γίνεται μία ασφαλής συναλλαγή στο διαδίκτυο. Οι πάροχοι υπηρεσιών «σύννεφου» πρέπει να είναι ενήμεροι για τις ευπάθειες του συστήματος και όχι να μαθαίνουν αφού πρώτα γίνει ένα κακό. Ένα αρχείο ιστορικού (log) είναι πάντα χρήσιμο και θα πρέπει να φυλάσσεται για οποιαδήποτε περίπτωση. Μην το υποτιμάτε, καθώς μπορείτε να διαπιστώσετε πολλά πράγματα για τη χρήση του δικτύου σας, των χρηστών ή μια επίθεση που προσπαθεί να λάβει χώρα.

Συμπεράσματα
Στο άρθρο αυτό παρουσιάσαμε τους βασικούς κινδύνους, τα πλεονεκτήματα και τα ρίσκα που παίρνει κανείς με την απόφασή του να υιοθετήσει το «σύννεφο» σαν τεχνολογία. Όπως διαπιστώσαμε, τόσο οι κίνδυνοι όσο και τα πλεονεκτήματα που προσφέρει είναι σημαντικά. Το «σύννεφο» είναι η εξέλιξη των σημερινών δικτύων και υπόσχεται πολύ σοβαρές αλλαγές, που θα μας λύσουν τα χέρια. Κάποιοι ίσως να μην το εμπιστεύονται – αν το καλοσκεφτούμε όμως, έχει πάρα πολλά θετικά. Στην πραγματικότητα, δεν είναι χειρότερο από τη σημερινή κλασική δικτυακή τεχνολογία. Το αντίθετο μάλλον συμβαίνει. Η μόνη διαφορά με την παρούσα κλασική προσέγγιση δικτύων και ασφάλειας, είναι ότι θα προσφέρει νέες προκλήσεις και προβλήματα που θα πρέπει να λυθούν. Με την εξάπλωση της τεχνολογίας θα επιβιώσουν οι πάροχοι που έχουν προσέξει τον πελάτη και τον έχουν διασφαλίσει όσο το δυνατόν καλύτερα. Το «σύννεφο» του 2010 ίσως να μη θεωρείται ακόμα απόλυτα ασφαλές. Όσο όμως περνάει ο χρόνος, είναι πιθανό να αρθούν όλες οι επιφυλάξεις και τελικά το cloud computing να αποδειχθεί η πλέον ασφαλής πλατφόρμα λειτουργίας των πληροφοριακών υποδομών μιας επιχείρησης ή Οργανισμού.

Του Αλέξανδρού Σουλαχάκη

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

Cloud computing και ασφάλεια

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Penetration Testing… με το βλέμμα του hacker

Διάπραξη διαδικτυακών εγκλημάτων από το χώρο εργασίας: Μία απροσδόκητη απειλή

Ηλεκτρονική Διακυβέρνηση: Βήματα για διαλειτουργικότητα και ασφάλεια, μέρος Β