Odgovor na pitanje iz podnaslova je – DA! Bez obzira na to slažete li se ili ne, barem odmah na početku članka možete odlučiti vrijedi li nastaviti s čitanjem. Pitate li vlasnika tvrtke, predsjednika uprave, direktora financija, sve šefove i šefiće do stvarnog krajnjeg korisnika infrastrukture i softvera oblaka, “Koji je glavni preduvjet korištenja cloud usluga?”, svi će bezrezervno odgovoriti – sigurnost! Odgovorio bih isto, a vjerujem i vi.

Kako za koga! Krenemo li od korisnika, promatramo li sigurnost s gledišta kupca cloud usluga, kada će vlasnik podataka bez ikakve zadrške i razmišljanja pohraniti i obrađivati svoje poslovne podatke u oblaku? Samo u slučaju da na podsvjesnoj razini vjeruje do te mjere da može reći kako zna da će uvijek dobiti točno ono što i očekuje. Sami smo odličan primjer sigurnosti, ostvarenja takvog podsvjesnog očekivanja kada svakodnevno, zajedno sa svojom djecom, sjedamo u automobil očekujući, podsvjesno znajući, da ćemo stići kako smo i kamo smo naumili stići. Zašto smo uvjereni u to, ne sumnjajući i uopće ne razmišljajući o tome?

Promet je reguliran pravilima i znakovima, kontroliran je i nadziran, vozači su u školi naučili pravila i položili su vozački ispit, stoljeće razvijani i stalno unapređivani standardi automobilske industrije primjenjuju se uz rigorozne kontrole u svim fazama proizvodnje, vozila se tehnički provjeravaju i održavaju barem jednom godišnje, i sve nas to čini podsvjesno sigurnima kada sjedamo za upravljač svog vozila.

Kako stoje stvari s korištenjem cloud usluga u svakodnevnom poslovanju? Naravno – želimo postići jednak osjećaj sigurnosti i povjerenja korisnika u primjenu cloud tehnologija!

Povjerenje – ključ primjene

S gledišta profesionalaca informacijske sigurnosti, subjektivan osjećaj koji korisnik uvijek i jedino opisuje riječju “sigurnost”, označuje stečeno POVJERENJE na podsvjesnoj razini. Povjerenje se gradi dugo, gubi se u trenu! Povrh toga, sigurnost i povjerenje subjektivni su osjećaji binarne prirode. Povjerenje imaš ili ga nemaš!

Kako s korisnikove subjektivne razine “osjećaja sigurnosti” prijeći na “objektiviziranu razinu upravljanja informacijskom sigurnošću”?

Izgradnjom povjerenja! Eto pravog izazova i zadatka za junake sigurnosnih bespuća kibernetskog prostora! Assurance, engleski termin koji u ovom kontekstu u jednoj riječi znači “Izvjesnost ili Jamstvo”, u dvije riječi “potkrijepljeno uvjerenje” temeljeno na višestrukim provjerivim, dokumentiranim i dokazivim kriterijima je alat, sredstvo sigurnosnih profesionalaca prema ostvarenju povjerenja, a time i osjećaja sigurnosti kupaca i korisnika cloud usluga. Vrijedi ponoviti: provjerivo, ponovljivo, dokumentirano, “objektivno i mjerivo” upravljanje informacijskom sigurnošću. Priupitamo li sada ponovno već spomenute predsjednike uprava i direktore financija kako im se ovo sviđa, vjerujem da bi odgovor bio: “To nam treba! Je li to ostvarivo?”.

“Unleashing the Potential of Cloud Computing in Europe” i “Cutting through the jungle of standards” ciljevi su Strategije EU/EC računalstva u oblaku i Ključne aktivnosti broj 1 provedbe te Strategije Europske unije i Komisije. Iako prva rečenica doslovno glasi “Razuzdajmo mogućnosti računalstva u oblaku u Europi”, drugom je rečenicom dan zadatak Agenciji Europske unije za mrežnu i informacijsku sigurnost (ENISA – European Network and Information Security Agency) da u džungli postojećih standarda na općeprihvaćenim pravilima EU transparentnog i liberalnog pristupa podastre rješenje odabira kvalitativnog certifikacijskog standarda u području računalstva u oblaku građanima Unije (i šire).

Rezultat ovog “krčenja džungle” su dva besplatna i svima dostupna logički povezana web-portala: Cloud Certification Scheme List i Cloud Certification Scheme Metaframework (CCSL i CCSM https://resilience.enisa.europa.eu/cloud-computing-certification). Ukratko, oba kupcima pomažu pri odabiru najpovoljnije, za njih najbolje cloud usluge, prema svemu do sada napisanom, ne samo, i ne inicijalno najjeftinije, već prema kriterijima Jamstva (Assurance) najprikladnije, za kupca optimalne usluge računalstva u oblaku, neizbježno uključujući i zadovoljen kriterij sigurnosti!

Sigurnosne posebnosti i razine mjera u oblaku

Višezakupništvo (multitenancy) i posljedično nužna izolacija podataka desetaka pa i stotina tisuća istovremenih korisnika na svim razinama tehnološkog stoga cloud usluga, jedinstveno su svojstvo i zahtjev u okruženju računalstva u oblaku, uza sve ostale poznate ranjivosti i prijetnje “predoblačne” primjene informacijsko-komunikacijske tehnologije u poslovanju!

Na tehnološkoj razini sve izraženiji trend kontejnerizacije “jednim zahvatom rješava dvije krupne muhe”, značajno podižući inače izuzetnu profitabilnost podatkovnih centara računalstva u oblaku, istovremeno by design rješavajući izolaciju u kontejnerima značajno bolje od postojećeg stanja na četiri razine višezakupničke arhitekture: na sistemskoj infrastrukturi hipervizora, virtualnih strojeva i unutar njih na razini upravljanih procesa OS-a, na podatkovnoj platformi sustava za upravljanje bazama podataka, na aplikacijskoj platformi (interpretacijski middleware) te na razini visokopersonalizirane aplikacijske logike.

S druge strane, primjenjujući koncept “dubinske obrane” (defense in depth), primjena kriptografije i kriptografskih tehnologija nužna je i neizbježna uz već uobičajene mjere na svim razinama tehnološkog stoga cloud usluga: na razini pohrana i obrada podataka, na razini mreže, na razini upravljanja, posebice naglašeno pri upravljanju identitetom i ključevima, na razini aplikacija za kontrolu pristupa te na interpretacijskoj razini informacije.

Za zaključak – mišljenje i preporuke

Pružatelji cloud usluga mogu si (i moraju) priuštiti višestruko veća ulaganja u sigurnost svoga višezakupničkog cloud podatkovnog centra od ulaganja pojedinačnog vlasnika u svoj klasični uradi-sam (Do-It-Yourself DIY) podatkovni centar. U pravilu je sigurnost cloud podatkovnog centra na nedostižno višoj razini od sigurnosti takvog klasičnog DIY podatkovnog centra. No nužna je provjera certifikata u svakom pojedinačnom slučaju. Kojeg ili kojih certifikata iz džungle standarda?

Prema uobičajenoj klauzuli: “Sve napisano i navedeno u članku isključivo je osobno mišljenje i stav autora, a uredništvo se ograđuje od autorskih pogleda...” iznosim svoje mišljenje temeljeno na sada već šestgodišnjem iskustvu.

Treba li staviti naglasak na sigurnost te provjeriti samo sigurnost u okruženju računalstva u oblaku, moj je izbor Cloud Security Alliance CSA STAR (Security, Trust, Assurance Registry).

Treba li opet staviti naglasak na kvalitetu usluga te provjeriti cijeli specifični lanac isporuke cloud usluga, uključujući i sigurnost, što gotovo redovito treba s gledišta kupca korisnika usluge, izbor je certifikacijski katalog kontrola EuroCloud StarAudit. Jedino je upitno treba li meni vjerovati u ovom slučaju!? EuroCloud je vlasnik certifikacijskog programa i kataloga kontrola StarAudit, a predsjednik sam nacionalne organizacije EuroCloud Hrvatska i potpredsjednik krovne organizacije EuroCloud Europe. Ako sam ja kokoš, onda je ipak u ovom slučaju prvo bilo jaje: naime, svojedobno sam se, uporno tražeći i proučavajući više od godinu dana kvalitativne kriterije i standarde primjenjive u cloud okruženju, odlučio angažirati u partnerskom ekosustavu EuroCloud upravo zbog odgovora, rješenja i perspektive koju pruža kvalitativni certifikacijski standard EuroCloud StarAudit.

 NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža.