Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost
Jakub Šimeček
05. 02. 2024
Cloud má své uživatele zbavit starostí s výkonem, kapacitou, zajištěním provozu nebo dostupností. A většina cloudových služeb to opravdu umí. Jak ale poznat, které z nich jsou navíc ještě bezpečné pro vaše data? Jedním z hlavních vodítek by měly být standardy a certifikace jako například ISO nebo SOC 2.
Využívání cloudu ve světě
Míra využívání cloudových služeb v posledních letech strmě roste. Jasně to potvrzuje platnost hlavních argumentů pro přenos podnikových aplikací a systémů do veřejného cloudu, mezi něž patří vyšší efektivita a dostupnost, stejně jako méně starostí s provozem a využíváním cloudových služeb. Podle analytiků dosáhl objem globálního trhu cloudových služeb v loňském roce více než 626 miliard dolarů a do roku 2028 se má dokonce zdvojnásobit na 1,27 bilionu.
Podle aktuální studie společnosti Check Point, vypracované na základě dotazování více než tisícovky bezpečnostních specialistů, provozuje 39 % firem a organizací přes polovinu svých aplikací právě v cloudu. Veřejný cloud se tak postupně může stát převažujícím prostředím pro podnikové aplikace a systémy. Bohužel to ale neznamená, že by byl jejich přenos do cloudu úplně bezstarostný.
Cloud je bezpečný. Ale pouze, je-li správně nastavený
Zmíněná studie totiž uvádí, že v naprosté většině organizací (76 %) panují zásadní obavy o bezpečnost dat ve veřejném cloudu. Bezpečnostní experti se obávají především špatné konfigurace cloudových platforem, úniku citlivých dat nebo neoprávněných přístupů k jejich cloudovému prostředí.
Že nejde jen o plané obavy, prokazuje zjištění, že skoro čtvrtina organizací (24 %) využívajících služby veřejného cloudu zaznamenala v souvislosti s nimi během posledních 12 měsíců nějaký bezpečnostní incident. Nejčastěji šlo o špatnou konfiguraci cloudových zdrojů nebo účtů, kompromitaci uživatelských účtů nebo zneužití zranitelností. Znamená to tedy, že veřejný cloud není dostatečně bezpečný? Určitě ne, jen musíte pečlivě vybírat, do jakého cloudu svoje aplikace a data pustíte.
Vybíráme cloud – na co se zaměřit?
Poskytovatelů služeb veřejného cloudu a konkrétních nabídek existuje nepřeberné množství. Liší se v mnoha parametrech a samozřejmě také cenou. Odlišný je ale také přístup poskytovatelů cloudových služeb k bezpečnosti dat jejich zákazníků. A právě na bezpečnost byste se měli při výběru vhodné cloudové služby zaměřit především.
K posouzení spolehlivosti poskytovatele cloudových služeb a jeho přístupu k bezpečnosti může posloužit několik vodítek:
- Pozice na trhu, zkušenosti a reference. Poskytování cloudových služeb není vůbec snadné a klade značné nároky na příslušnou infrastrukturu (datová centra, připojení k internetu atd.), týmy pro provoz a bezpečnost cloudu i nastavení procesů. Při výběru z nabídek veřejných cloudů se proto vyplatí preferovat poskytovatele s prokazatelně dostatečným zázemím a referencemi od zákazníků podobné velikosti a oboru podnikání.
- Transparentnost, technická podpora a komunikace. Důvěryhodný a spolehlivý poskytovatel cloudových služeb se nesnaží nic tajit nebo zamlčet. Jeho cenový model je transparentní, na vyžádání předloží všechny certifikace a zodpoví jakékoli otázky ohledně fungování jeho cloudových služeb.
- Lokalizace a dostupnost dat. Spolehlivost cloudu je založena na geografické distribuci datových center, jejichž rychlé propojení pomáhá zajistit dostupnost cloudových služeb za všech okolností. V některých případech je ale legislativou vyžadována lokalizace dat. To znamená, že určitá data nesmí opustit území Evropské unie. Umí poskytovatel cloudu takový požadavek splnit?
- Zabezpečení dat a rychlost odezvy. Na jaké úrovni plní poskytovatel cloudových služeb závazek zabezpečení a dostupnosti dat svých zákazníků? Jakou úroveň klasifikace bezpečnosti splňují jeho datová centra? Jak rychlou odezvu jeho datová centra poskytují?
- Standardy a certifikace. Splnění nejvyšších nároků na bezpečnost dat a řízení rizik může spolehlivě prokázat jen získání certifikací na základě bezpečnostních auditů. Naprostým základem je certifikace podle norem ISO 27017 a 27018, další úrovní je získání certifikace SOC 2 (SOC 3). Tyto certifikace zákazníkům garantují, že jsou cloudové služby poskytovány podle nejvyšších požadavků na bezpečnost, dostupnost, integritu, důvěrnost a soukromí jejich dat.
Splnění všech podmínek poskytování cloudových služeb v souladu s nejvyššími bezpečnostními standardy vyžaduje obrovské investice do technologických řešení, vysoce kvalifikovaných zaměstnanců a komplexních procesů. Jen taková cloudová služba ale může splnit všechna očekávání firem a organizací, které se rozhodly přenést do cloudu své aplikace a data.
Cloud od O2 získal certifikaci SOC 2
Nejvyšší standardy dostupnosti a zabezpečení aplikací i dat splňuje naše služba O2 Cloud, kterou poskytujeme prostřednictvím nejrozsáhlejší telekomunikační sítě v České republice a vlastních datových center, designovaných podle standardu Tier III.
Společnost O2 je držitelem certifikací podle norem ISO 27017 a 27018 o kybernetické bezpečnosti a systému řízení rizik.
Pro své cloudové služby získala společnost O2 rovněž certifikaci SOC 2 Type II. Tato certifikace potvrzuje, že jsme splnili nejvyšší nároky na bezpečnost a dostupnost dat v cloudu. Získání certifikace SOC 2 vyžaduje zásadní investice do procesů zajištění bezpečnosti a ochrany dat. Splnění náročných podmínek auditu ukazuje, že jde o služby vhodné i pro provoz kriticky důležitých systémů nebo na míru vyvinutých aplikací.
Bezpečnost a ochrana zákaznických dat jsou pro O2 prioritou. Certifikace SOC 2 potvrzuje, že v rámci O2 Cloudu dodržujeme přísné bezpečnostní normy a naše pravidelné interní kontroly jsou v souladu s nejvyššími požadavky na bezpečnost, dostupnost, integritu zpracování, důvěrnost a soukromí dat.
Certifikaci SOC 2 jsme získali po náročném šestiměsíčním auditu bezpečnostních opatření. Vztahuje jak na cloudové služby, tak i na služby a řešení O2 v oblasti kybernetické bezpečnosti (Next Generation Firewall, AntiDDoS, Antispam a O2 Security Expert Center). Na základě tohoto auditu jsme získali také zprávu SOC 3, která je určena k prezentaci výsledků směrem k veřejnosti.
Standardy SOC, vyvinuté Americkým institutem certifikovaných účetních (AICPA), představují mezinárodně uznávaný auditorský standard pro hodnocení a certifikaci bezpečnosti informací u poskytovatelů cloudových i ostatních IT služeb.
Zpráva SOC 2 pokrývá řadu osvědčených postupů v oblasti bezpečnosti napříč celou infrastrukturou IT včetně řízení rizik nebo kontroly přístupu. Popisuje systém vnitřních kontrol organizace z hlediska bezpečnosti, dostupnosti, integrity zpracování, důvěrnosti a ochrany osobních údajů.
Zpráva SOC 3 představuje výtah z informací obsažených ve zprávě SOC 2, která je určena ke sdílení s dalšími stranami na základě NDA. Zpráva SOC 3 je naopak určena široké veřejnosti jako potvrzení o úspěšném absolvování auditu.
Naše služba O2 Cloud poskytuje také možnost flexibilních úprav konfigurace a nastavení optimálního poměru potřebných zdrojů v prostředí ovládacího portálu. Nad celým řešením probíhá nepřetržitý aktivní dohled a všem zákazníkům je dostupná technická podpora. Kompletní infrastrukturu provozujeme ve vlastních datových centrech O2 v České republice. Proto můžeme garantovat lokalizaci všech zákaznických dat na fyzických serverech v rámci České republiky.
Jak poznat, že se poskytovatel služby veřejného cloudu soustředí na bezpečnost aplikací a dat svých zákazníků?
- Zjistěte si, z jakých datových center jsou cloudové služby poskytovány. Provozovatel služby by měl využívat datová centra designovaná podle standardu Tier III.
- Poskytovatel cloudových služeb by měl splňovat certifikace podle norem ISO 27017 a 27018 a úspěšně projít auditem podle certifikace SOC 2.
- Spolehlivý poskytovatel veřejného cloudu je transparentní, poskytne všechny požadované informace a svou pozici na trhu prokáže referencemi.
Jakub Šimeček
Product Manager - Cloud
Byl pro vás článek užitečný?