Usługi chmurowe są coraz powszechniej wykorzystywanym narzędziem przez przedsiębiorstwa i użytkowników prywatnych na całym świecie. Te obecnie oferowane to m.in. całe platformy czy aplikacje, infrastruktura oraz oprogramowanie hostowane przez zewnętrznych dostawców i udostępniane użytkownikom za pośrednictwem Internetu. Wykorzystanie clouda usprawnia przepływ danych użytkowników (front-end np. serwery użytkowników, tablety, komputery stacjonarne, laptopy – wszystkiego po stronie użytkowników), przez sieć publiczną (Internet) do systemów dostawcy danej usługi i z powrotem. Użytkownicy mogą uzyskać dostęp do usług w chmurze za pomocą komputera, urządzenia mobilnego, systemu operacyjnego i łączności internetowej lub VPN praktycznie z każdego miejsca na świecie (o ile sieć jest dostępna :)), co jest niekwestionowaną zaletą tego typu rozwiązań.

Rodzaje usług cloudowych

Infrastruktura czy aplikacje, do których użytkownicy uzyskują dostęp przez Internet bez konieczności pobierania dodatkowego oprogramowania, można uznać za usługi przetwarzania w chmurze. Możemy wyróżnić następujące rodzaje dostarczanych usług chmurowych:

  • Software-as-a-Service (SaaS)

Oprogramowanie jako usługa (SaaS) to model dystrybucji oprogramowania, w którym dostawca chmury hostuje aplikacje i udostępnia je użytkownikom końcowym przez Internet. W tym modelu niezależny dostawca oprogramowania może zlecić hosting aplikacji zewnętrznemu dostawcy chmury. W przypadku większych firm, takich jak choćby Microsoft, dostawcą oprogramowania może być również dostawca clouda.

  • Infrastructure-as-a-Service (IaaS)

Infrastruktura jako usługa (IaaS) obsługuje infrastrukturę w chmurze publicznej i prywatnej zamiast w tradycyjnym lokalnym centrum danych. Infrastruktura dostarczana jest klientom na żądanie, będąc w pełni zarządzana przez usługodawcę.

  • Platforms-as-a-Service (PaaS)

W modelu platformy jako usługi (PaaS) programiści zasadniczo wynajmują wszystko, czego potrzebują do zbudowania aplikacji, polegając na dostawcy chmury w zakresie narzędzi programistycznych, infrastruktury i systemów operacyjnych. PaaS znacznie upraszcza tworzenie aplikacji internetowych, ponieważ z perspektywy dewelopera całe zarządzanie backendem odbywa się „za kulisami”.

  • Function-as-a-Service (FaaS)

Funkcja jako usługa (FaaS) to rodzaj usługi przetwarzania danych w chmurze, która umożliwia programistom tworzenie, obliczanie, uruchamianie i zarządzanie pakietami aplikacji jako funkcjami bez konieczności utrzymywania własnej infrastruktury. Tworzenie aplikacji z wykorzystaniem modelu FaaS jest sposobem na wykorzystanie architektury tzw. „bezserwerowej”.

Normy, dobre praktyki, standardy i przepisy prawa dot. usług chmurowych

  • ISO 27001

Każda organizacja, dla której bezpieczeństwa informacji nie jest jedynie pustym frazesem, może powinna wdrożyć wymagania normy ISO 27001. Zawiera ona kompleksowy opis i specyfikację Systemu Zarządzania Bezpieczeństwem Informacji (ISMS, pol. SZBI). Wyróżniono w niej jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji, są to m.in.: organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo fizyczne i środowiskowe, zarządzanie ciągłością działania i incydentami czy zapewnienie zgodności z wymaganiami prawnymi i własnymi standardami. Zgodność z normą ISO 27001 to informacja dla odbiorców usług cloudowych, że ich dostawca poważnie traktuje bezpieczeństwo informacji i wdrożył najlepsze praktyki bezpieczeństwa informacji.

  • ISO 27017

Norma ISO 27017 zawiera wytyczne dotyczące mechanizmów zabezpieczeń informacji, które mają zastosowanie do świadczenia i korzystania z usług chmurowych, a także wskazówki implementacyjne zarówno dla dostawców, jak i użytkowników usług chmurowych. W praktyce jest ona rozszerzeniem normy ISO 27001, a zgodność z normą ISO 27017 należy rozpatrywać równolegle z ISO 27001.

  • ISO 27018

Norma ISO 27018 wskazuje mechanizmy kontrolne i wytyczne dotyczące implementowania środków ochrony informacji umożliwiających identyfikację tożsamości (PII), zgodnie z zasadami ochrony prywatności zawartymi w normie ISO 29100 w zakresie szeroko dostępnych usług cloudowych. Chociaż standard ten jest skierowany głównie do dostawców publicznych rozwiązań cloudowych takich jak AWS lub Azure, to np. dostawca SaaS przetwarzający dane osobowe klientów w AWS nadal w pewnym stopniu za nie odpowiada.

  • ISO 27036-4

Norma ISO 27036-4 zawiera wskazówki jak zidentyfikować podatności i zagrożenia dla bezpieczeństwa informacji przetwarzanych w środowiskach chmurowych, sformułować dla nich ryzyka oraz w jaki sposób na nie reagować. Zebrane wytyczne służą w dużej mierze poprawnemu wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji przy wykorzystaniu usług chmurowych przez organizację.

  • RODO

Dostawca usług chmurowych podlega pod przepisy RODO, jeśli jest administratorem danych lub przetwarza dane obywateli Unii Europejskiej (UE) w imieniu administratora danych. W zależności od sposobu i celu przetwarzania danych, administrator danych osobowych i jego dostawca usług cloudowych mogą również stać się współadministratorami, co wiąże się z istotnymi obowiązkami i odpowiedzialnością. Jak widać, przede wszystkim dostawca musi doprecyzować swoją rolę (administratora, współadministratora, podmiotu przetwarzającego) w kontekście zasad opisanych w RODO, aby wdrożyć odpowiednie rozwiązania mające na celu osiągniecie zgodności z przepisami. Określenie tej roli ma kluczowe znaczenie. Ułatwia identyfikację obowiązujących wymagań RODO. Zatem określenie ról i obowiązków stanowi pierwszy krok w kierunku opracowania odpowiedniej polityki ochrony danych. Obecnie od dostawców usług cloudowych oczekuje się zdecydowanego i proaktywnego podejścia w spełnianiu wymagań RODO, bo przecież każdy z ich klientów chce mieć więcej pożytku niż problemów z faktu wykorzystywania chmury w organizacji.

  • Klauzule umowne

RODO określa obowiązkowe klauzule, które muszą znajdować się w umowach między administratorami danych osobowych a podmiotami przetwarzającymi te dane w przypadku, gdy przetwarzający przetwarzają dane osobowe UE w imieniu takich administratorów danych. Zarówno obowiązkowe, jak i zalecane klauzule, zostały zebrane przez Komisję Europejską dla wygody stron w jednym dokumencie i opublikowane. Należy jednak pamiętać, że nie można ich modyfikować – można rozszerzyć ich treść lub włączyć jako część większej umowy, o ile takie uzupełnienia nie są sprzeczne ani nie umniejszają wartości tych zapisów.

  • SOC 2

SOC 2 (czyli Service and Organization Controls 2) to procedura audytu, która potwierdza usługodawcom bezpieczne zarządzanie danymi w celu ochrony interesów organizacji i prywatności jej klientów. Dla firm odpowiednio dbających o bezpieczeństwo informacji zgodność z SOC 2 jest minimalnym wymogiem przy rozważaniu nawiązaniu współpracy z dostawcą usług cloudowych SaaS. Standard ten został ustanowiony przez Amerykański Instytut Biegłych Rewidentów (AICPA). Definiuje on kryteria zarządzania danymi w pięciu kluczowych obszarach: bezpieczeństwo (zarówno fizyczne, jak i cyberbezpieczeństwo), dostępność, integralność, poufność, prywatność.

  • NIST Special Publication 800-145

NIST SP 800-145 podaje jednozdaniową definicję przetwarzania w chmurze jako „modelu umożliwiającego wszechobecny, wygodny dostęp sieciowy na żądanie do wspólnej puli konfigurowalnych zasobów obliczeniowych, które można szybko udostępnić i zwolnić przy minimalnym zaangażowaniu lub interakcji z dostawcą.” Definicja clouda wg NIST składa się z 14 powiązanych ze sobą terminów:

  • Pięć podstawowych cech
    • Samoobsługa, usługi na żądanie
    • Szeroki dostęp
    • Pula zasobów
    • Elastyczność
    • Usługa mierzalna
  • Trzy modele usług
    • Oprogramowanie jako usługa (SaaS)
    • Platforma jako usługa (PaaS)
    • Infrastruktura jako usługa (IaaS)
  • Cztery modele wdrażania
    • Publiczny
    • Prywatny
    • Społecznościowy
    • Hybrydowy

Jak widać, wraz z postępującym rozwojem systemów IT i coraz powszechniejszym wykorzystaniem usług chmurowych wzrasta potrzeba ich standaryzacji oraz zapewnienia coraz wyższego poziomu bezpieczeństwa przetwarzanych przy ich wykorzystaniu danych. Skutkuje to opracowywaniem coraz to nowych norm i standardów dla usług cloudowych, dzięki czemu ich odbiorcy mogą łatwiej weryfikować czy dany dostawca jest godny zaufania i warto skorzystać z jego oferty.

Autor: Tomasz Cieślik