Praca dla dostawcy usług chmurowych zobowiązuje:). I mimo, że chmura nad Wisłą już nie jest tylko marketingowym wymysłem ale realnym i dużym biznesem, nadal mało o niej wiemy. Wszyscy! Najmniej zdaje się wiemy o tym „całym bezpieczeństwie w chmurze”. „Ale jak wy w tej chmurze, Microsoft, dbacie o bezpieczeństwo?” – pada często pytanie. Do dzieła…
Zanim do technologii… Są 3 wymiary tego, co możemy nazwać szeroko pojętym bezpieczeństwem w chmurze. Czwartym wymiarem jest zaufanie, żadne umowy, technologia, kary czy certyfikaty nie przekonają tych, którzy… „lepiej się czuję, gdy mogę dotknąć swój serwer”.
- Umowa klienta – dostawca, warunki świadczenia usługi i posiadane certyfikacje
Ten aspekt zostawiam mądrzejszym od siebie. Mamy zarówno dział prawny jak i zewnętrzną kancelarię, która doradza w tych aspektach pod kątem danego sektora gospodarki i regulacji, które tam panują. Z perspektywy klienta jest jeden portal, który zarówno pokazuje wzory umowy, ogólne warunki świadczenia usług jak i posiadane certyfikacje, wraz z wynikami ostatniej analizy. Polecam zajrzeć, bardzo dużo wiedzy kryje się w tych wszystkich materiałach. Np. prawnie zagwarantowane jest to, że klient zawsze pozostaje właścicielem swoich danych a jego treści nie są np. indeksowane czy używane w inny sposób, niż przewiduje usługa. Czy choćby to, w jaki sposób kasowane są dane z kont składowania danych (jaka jest techniczna procedura) i jaka jest procedura niszczenia dysków w Centrum Danych. A na koniec, dwa słowa o tym, czym jest Red Team i Blue Team i dlaczego często zamieniają się miejscami.
- Technologie, użyte przez dostawcę, aby zapewnić bezpieczeństwo fizyczne jak i na poziomie dostarczania samej usługi
Te informacje rzadko są formalnie opisywane i prezentowane, nie jest to standardem rynkowym. A jednak w przypadku Azure wiemy coraz więcej jak wygląda architektura tego wszystkiego, co jest pod spodem. Bardzo dużo ciekawych informacji znajduje się tu. Wyjaśniona jest np.:
- izolacja tenantów Azure AD pomiędzy sobą ale także implemenacja RBAC’a
- pokazana jest uproszczona architektura separacji maszyn wirtualnych od siebie i od warstwy Fabric, czyli tego, co steruje całym Azure
- pokazana jest separacja usług PaaS na przykładzie Azure SQL
- czy wreszcie komunikacja sieciowa, która jeszcze dokładniej opisana jest tutaj
Jeśli „angielski” nie jest Twoją mocną stroną, napisz do mnie (mifurm at microsoft.com), wyślę Ci swój dokument, który staram się to wszystkie informacje zebrać w jednym miejscu i to po polsku.
Dla tych, którzy wolą oglądać, niż słuchać, Mark Russinovich opowiadał o tym w czasie konferencji Build i dawno temu, w czasie TechEd (pewnie część tych informacji jest nieaktulana ale warto posłuchać aktualnego CTO Azure)
Jeśli ciągle Ci mało, cała dokumentacja na temat różnych aspektów zabezpieczeń jest zebrana tu https://docs.microsoft.com/en-us/azure/security/, tylko czytać i testować. Można też całą stronę zapisać sobie do PDF i czytać do poduszki. Tu masz link Azure Security Overview, pobrałem dla Ciebie :), ponad 1000 stron!
- Rozwiązania, które możesz już samodzielenie wybrać by Twoje rozwiązanie (a nie sama platforma chmurowa), było bezpieczne
Zaraz, zaraz… jestem w bezpiecznej chmurze i dalej muszę sam coś robić? Nie musisz… ale na pewno chcesz mieć pewność, że na żadnej z Twoich maszyn nie wisi sobie otwarty i samotny port 22 albo czy Twoje konto Storage Account bynajmniej przez nieuwagę, jest dostępne dla całego świata (głośno o tym ostatnio). Albo zapomniałeś o poprawkach do swojego WordPress’a na swoim CentOS. I tu znowu… rozwiązań jest dużo, żeby tylko wspomnieć o Log Analytics, Security Center, rozwiązaniach typu JIT czy PIM.
Nie sposób to wszystko naraz zrozumieć i wdrożyć pierwszego dnia ale nie mając o tym wiedzy, trudno się rozmawia o bezpieczeństwie w chmurze 🙂 Przynajmniej w rzeczowy sposób!