Nové postupy pro ochranu dat v cloudu
RSA, bezpečnostní divize společnosti EMC, dnes publikovala nový bezpečnostní dokument RSA Security Brief s názvem „Identity and Data Protection in the Cloud: Best Practices for Establishing Environments of Trust“ (Ochrana identit a dat v prostředí cloud: osvědčené postupy pro vytváření důvěryhodných prostředí). Dokument poskytuje rady a proveditelné osvědčené postupy pro organizace, které stojí před problémem, jak zabezpečit identity a data v prostředí cloud. Nový bezpečnostní dokument RSA Security Brief je souhrnem zkušeností předních technologů na poli zabezpečení v prostředí cloud. Napomáhá organizacím pochopit, jak budovat vztahy důvěryhodnosti pro propojení služeb v prostředí cloud, chránit se před podvody a vyrovnat se s novými problémy, které s sebou nese zajištění shody s předpisy v prostředí cloud.
Na vytvoření bezpečnostního dokumentu RSA Security Brief se podílelo mnoho předních odborníků v otázkách zabezpečení a virtualizace ze společností EMC a VMware. Mezi jinými Bret Hartman, ředitel pro informační technologie bezpečnostní divize RSA společnosti EMC, Dr. Stephen Herrod, ředitel pro informační technologie a senior viceprezident pro výzkum a vývoj u společnosti VMware, a další zkušení technologové společnosti EMC. Autoři tohoto nového dokumentu se shodují na tom, že zabezpečení v prostředí cloud má nesmírný potenciál k tomu, aby předčilo běžnou úroveň zabezpečení informací, jaké lze dnes dosáhnout. V prostředí cloud je možné zabudovat bezpečnostní protokoly do virtualizační vrstvy, zatímco nyní se typicky zavádějí pouze na aplikační úrovni. Pokud podniky zabudují zásady zabezpečení hlouběji do technologické vrstvy a rozprostřou je napříč celou virtuální infrastrukturou prostředí cloud, mohou vytvořit silnější a chytřejší zabezpečení na ochranu uživatelů a jejich dat.
Vytváření vztahů v prostředí cloud: rozhodování o tom, komu věřit
Dokument RSA Security Brief přináší názor, že mnoho technologií, služeb, metodologií a velká část know-how potřebného pro zabezpečení dat a identity uživatelů v prostředí cloud už v podnicích existuje a je třeba je strategicky rozšiřovat do prostředí cloud. Hlavní překážkou toho, aby se prostředí cloud stalo vskutku všudypřítomnou platformou služeb, je nedostatečná důvěra, zejména mezi vlastníky/poskytovateli zdrojů v prostředí cloud a společnostmi, které si tyto zdroje pronajímají. Autoři dokumentu radí organizacím, jak mohou zvýšit důvěru v prostředích cloud, když přistoupí na vynutitelné standardy pro výkon a zabezpečení v prostředích cloud. V dokumentu jsou dále uvedeny nově vznikající osvědčené postupy pro správu důvěryhodnosti v architekturách private cloud.
Ochrana před podvody: lumpové dovnitř nesmějí
Vedle technologie cloud computing se vyvíjí „temný mrak“, jehož stále rychlejší růst je poháněn podvody. Pro podniky a jejich uživatele je možnost podvodu velkou brzdou přijetí služeb, které prostředí cloud nabízí. Podniky musí rozšířit své funkce pro silné ověřování a odhalování podvodů, aby se ochránily před neoprávněnými přístupy, útoky typu phishing, malwarem nebo dokonce krádežemi duševního vlastnictví. Dokument RSA Security Brief nabízí konkrétní rady, jak nejlépe implementovat víceúrovňové služby ověřování založené na rizicích a jak zajistit ochranu před stále důmyslnějšími útoky podvodníků.
Řízení souladu dat s legislativou v prostředí cloud
Jednou z velkých výhod technologie cloud computing je, že virtualizační vrstvy nabízejí nebývalý přehled o prakticky všech činnostech, které probíhají při poskytování aplikačních služeb. Virtualizační vrstva nabízí funkce pro vysoce přesné monitorování. Díky nim je možné nesmírně vylepšit procesy vytváření sestav pro účely auditování a zajištění shody s předpisy v prostředích cloud. Je ovšem pravdou, že v prostředích cloud při zajištění shody s předpisy vystávají určité nové problémy. Jelikož v prostředí cloud neexistují fyzické hranice, může být obtížné dosáhnout shody s legislativou na ochranu soukromí, platnou na určitém území.
Dokument RSA Security Brief nabízí konkrétní návrhy pro vylepšení souladu s předpisy. Příkladem je importování žurnálů prodejců v prostředí cloud do systémů pro správu bezpečnostních informací a událostí nebo implementace „datově uvědomělých“ („data aware“) platforem úložišť v prostředí cloud. Ty pak inteligentně alokují data v souladu s postupy a nařízeními.
Rady profesionálům pro ochranu dat a identity v prostředích cloud
Závěr dokumentu RSA Security Brief tvoří doporučení týkající se technologických řešení a služeb, s jejichž pomocí mohou profesionálové v oblasti zabezpečení lépe ochránit data a identity uživatelů v prostředí cloud. Zmiňovaná řešení a služby věnují hlavní pozornost monitorování datových center, technologii multi-tenancy pro sdílení zdrojů, šifrování a tokenizaci dat, správě federovaných identit, silnému ověřování založenému na rizicích, předcházení podvodům, odhalování malwaru, správě a auditu událostí v prostředí cloud, předcházení ztrátám dat a zajištění souladu s předpisy.
Cílem dokumentů RSA Security Briefs je poskytnout předním odborníkům na zabezpečení nezbytné rady pro ty otázky rizik a příležitostí u zabezpečení informací, které dnes mají největší naléhavost. Pro vytvoření každého bezpečnostního dokumentu je sestaven tým vybraných odborníků z různých organizací, kteří jsou připraveni podělit se o své specializované znalosti určitého zásadního nově vznikajícího tématu. Dokumenty RSA Security Briefs poskytují přehled na obecné úrovni i praktické technologické rady. Jsou nepostradatelným čtením pro dnešní pokrokové profesionály v oblasti zabezpečení informací. Dnešní oznámení doprovází publikování druhého bezpečnostního dokumentu společnosti RSA, „Identity and Data Protection in the Cloud: Best Practices for Establishing Environments of Trust“ (Ochrana identity a dat v prostředí cloud: osvědčené postupy pro vytváření důvěryhodných prostředí). Tento dokument je nyní k dispozici ke stažení na webu společnosti RSA na této adrese.
