Uvod
Organizacija EuroCloud je prva evropska organizacija, ki je pričela s ponudbo certificiranja storitve računalništva v oblaku pod imenom EuroCloud Star Audit. Ta shema je specifično namenjena za storitve infrastructure kot storitev (IaaS), razvojnega okolja kot storitev (PaaS), programske opreme kot storitev (SaaS) in zagotavlja točno določen nivo kvalitete v okviru posameznega področja delovanja ponudnika in kaže na njegovo zanesljivost pri delovanju.
Potrebno je visoko-strokovno znanje s področij pregleda kvalitete storitve, kot so podatkovna varnost, tehnično operativnih in organizacijskih procesov, ki dokazujejo kvaliteto delovanja storitve in skladnosti s pogodbenimi določili. S tem razlogom izjave v okviru certifikacijske sheme zagotavljajo natačen zapis o nivoju informacijskega varovanja in zanesljivosti delovanja ponudnika.
EuroCloud izdaja pečat kvalitete, ki izkazuje pogodbene, tehnološke in organizacijske zahteve, ki jih posamezni ponudnik zagotavlja. Ta pečat lahko uporabljajo samo ponudniki, ki so bili podvrženi natačnemu pregledu s strani kvalificiranih revizorjev in so prejeli pečat, ki izkazuje dosežen nivo kvalitete.
Skladnost
Mnogo ponudnikov storitev računalništva v oblaku trenutno ponuja svoje storitve pod drugo blagovno znamko ali preko skupnih portalov, ki zakrijejo njihovo identiteto kot ponudnika. V teh primerih svetujemo, da se ugotovi kdo je originalni ponudnik storitve.
Splošni pogoji skladnosti
Skladnost na spošno pomeni, da mora izvajanje operacije pri ponudniku storitev zagotavljati skladnost z zahtevami pravilnosti, poštenosti in celovitosti. Na področju računalništva v oblaku to pomeni preverjanje transparentnosti področij vezanih na določbe ponudbe, vkjučujoč lokacijo podatkov, celoten popis podatkov o ponudniku, kot tudi garantiranje nivoja kvalitete. Dodatno se ponudnik zaveže, da bo uporabnika seznanil z vsakršnimi spremembami posamezne storitve. V primeru, da se uporabnik s spremembami ne strinja, mora imeti možnost, da s pogodbo konča. V tem primeru mora ponudnik zagotoviti vrnitev podatkov v primerni obliki.
Pregled na kraju samem
Potreba po zagotavljanju kvalitete tudi pri zunanjih izvajalcih IKT storitev se bo v prihodnosti verjetno povečala. Mnogo zakonodaje s področja varovanja osebnih podatkov zahteva preverjanje ponudnika na kraju samem. V takšnih primerih pogosto naletimo na vprašanje: “Katero lokacijo” moramo pregledati – lokacijo ponudnika s katerim smo podpisali pogodbo ali lokacijo, kjer se izvaja storitev programske opreme zunanjega ponudnika? V primeru, da je odločeno, da se bo pregled izvajal pri zunanjem ponudniku, se je potrebno vprašati, kaj se lahko od takšnega pregleda pričakuje.
Brez podrobnega pregleda s strani kvalificiranih strokovnjakov na področjih varovanja podatkov, informacijske varnosti, kontrole procesov izvajanja in po možnosti tudi procesa razvoja programske kode, je nemogoče pridobiti ustrezno oceno ustreznosti ponudnika, ki ne bo vključevala samo kvantitativnih, ampak tudi kvalitativne preglede. Potrebno je dodati, da že samo vstopanje v računski center, kjer tečejo storitve, pomeni informacijsko tveganje, ki ga je potrebno primerno obravnavati, saj morajo že tudi osebe, ki te postopke izvajajo biti vključene v posebne postopke ocenjevanja stopnje tveganja.
Kombinacija IKT storitev (samonaročniške, privatno zunanje izvajanje IKT-ja, storitve privatnega in javnega oblaka), ki ji dodamo še storitve kot npr. upravljanje z identitetami in upravljanje s podatkovnimi vmesniki, je potrebno posvetiti še dodatno pozornost. Potrebno se je zavedati, da je večina storitev v javnem oblaku sestavljena iz poddobaviteljskih verig, kjer nastopa več različnih dobaviteljev (podatkovni centri, ponudniki storitev Infrastrukture kot Storitev – IaaS, operater razvojnega okolja – PaaS, ponudnik programske opreme kot storitev – SaaS kot tudi “marketplace” operaterji), ki delujejo skupaj pri zagotavljanju posamezne storitve.
Edina pot k izhodu iz tega labirinta je uporaba certifikacijskih shem s strani uveljavljenih organizacij, ki igrajo vedno večjo vlogo pri zagotavljanju kvalitete na strani ponudnikov.
Znanja
Podroben pregled vseh delov storitve je potrebno pregledati s strani visoko usposobljenega in izkušenega kadra. Zato je tako pomembno, da izvajajo certifikacijo usposobljene organizacije, ki omogočajo ustrezen pregled kvalitete storitev računalništva v oblaku.
To kvaliteto najprej primerjamo z referenčnimi tehničnimi zahtevami, nato pa še z zahtevami s področja varovanja informacij, varovanja podatkov, kompatibilnosti in skladnosti z zakonodajo. Takšen pregled temelji na kriterijih in testnih zahtevah, ki presegajo samo pregled tehnologij. Dejstvo, da takšni pregledi zahtevajo več časa in so bolj kompleksni, je vodilo k pripravi procedur za izvajanje certificiranja.
To vključuje vzpostavitev generalnih zahtev znotraj standarnega testnega protokola, ki ga izvajajo kvalificirani revizorji. ISO standard 27001 (Informacijska tehnologija – varnostne tehnike – “Information security management systems” – Zahteve) podaja natančenjšo testno proceduro za področje IKT informacijske varnosti.
Kakorkoli, varovanje infoirmacij je samo eden od vidikov, ki ga moramo upoštevati pri pregledu storitev računalnitva v oblaku. Specifikacija Pogodbe o nivoju storitev (“Service Level Agrement”-SLA) in pogodbena določila s področja varovanja osebnih podatkov so pravtako pomemben element pregleda. Ker storitve računalništva v oblaku ponavadi uporablja veliko število uporabnikov, je pomembno, da se pregleda celotna poddobaviteljska veriga.
Tudi če ima ponudnik programske opreme kot storitve (SaaS ponudnik) ISO-27001 certifikat, to še ne pove nujno tudi o nivoju varnosti pri poddobavitelju posamezne komponente storitve, kot je to npr. ponudnik infrastrukture kot storitev (IaaS ponudnik), itd
Zahteve
Revizijski pregled vključuje pravne vidike, zanesljivost delovanja tehničnih komponent kot npr. varovanje podatkov, informacijsko varnost in doseganje osnovnih standardov zagotavljanja kvalitetne storitve pri izvajanju podpore procesom in programske opreme. Ponudnik storitev mora tako predložiti dokaze o pogojih, pod katerimi ponuja storitve z namenom revizijskega pregleda, kot tudi vse spremembe, ki pomembno vplivajo na izvajanje storitve (kot npr. lokacijo izvajanja storitev poddobaviteljev) in zagotavljanje takojšnjega informiranja v primerih kritičnih incidentov.
Kaj moramo pregledati?
- Specifične zahteve oblačnih storitev
- Pregled varnosti
- Skladnost z zakonodajo
- Varovanje osebnih podatkov
- Skupni obseg – brez pogajanj
- Celotna poddobaviteljska veriga
- Javno dostopne kontrole
Primerjava certifikacijskih sheme:
Študija Koelnske universe - Oblačne certifikacijske sheme: merjenje uporabniške želja po zavarovanju
Avtorji: Lansing Jens, Schneider Stephan; Sunyaev Ali
Tabela 2 podaja pregled 10ih najbolj pogostih zavarovanj in ustreznih obstoječih certifikacijskih shem. Obstoječe sheme se razlikujejo po ponujenih ukrepih. Večinoma se sheme osredotočajo na varnost in zaščito zasebnosti, kar pokriva večino uporabniških bojazni. Vendar naše raziskave kažejo, da to še zdaleč niso vsa zagotovila, ki jih je potrebno pri ponudniku pregledati.
Katalog
Seznam testnih zahtev mora biti oblikovan skupaj z uradnimi predstavniki, raziskovalnimi organizacijami, pravnimi eksperti, računovodskimi podjetji
Pregled Storitev računalništva v oblaku se izvaja skladno z Listo pregleda po naslednjih kategorijah:
Profil
- Splošne informacije
- Fizična lokacija podatkov – podatki uporabnika
- Upravljanje storitve
- Razširjen profil podjetja
- Referenčni podatki o storitvi
- Certifikati
Pogodbe in skladnost
- Primerna pogodbena določila
- Pravila za upravljanje s podatki
- Pogodbena določila s področja varovanja osebnih podatkov
- Pogodbe o nivoju storitev
- Pogoji v primeru likvidacije podjetja ponudnika
- Cenovni pogoji in parametri cene storitve
Varovanje informacij in podatkov
- Upravljanje z informacijsko varnostjo
- Tehnična varnost
- Ukrepi s področja varovanja osebnih podatkov
- Celovitost podatkov
- Revizijske sledi
Operativni postopki in infrastruktura
- Splošni pregled podatkovnega centra
- Kontrola dostopa
- Področje in pregled okolja
- Odpornost
- Upravljanje podatkovnega centra
Operativni procesi
- Podpora uporabniku
- Upravljanje storitve
- Procesi hranjenja podatkov
- Postopki zagotavljanja kvalitete
Specifičen pregled glede na posamezno storitev
- Infrastruktura kot storitev (Infrastructure as a Service - IaaS)
- Razvojno okolje kot storitev (Platform as a Service – PaaS)
- Programska oprema kot storitev (Software as a Service-SaaS)
Več informacij o katalogu:
Publikacije
Varovanje podatkov
Zagotavljanje nacionalnih pogojev s področja varovanja osebnih podatkov je stalni izziv podjetij, ki uporabljajo in hranijo osebne podatke v digitalni obliki v svojih IKT sistemih.
Izraz ‘osebni podatek’ pokriva celotno področje uporabe v privatnem, poslovnem ali javnem življenju. Takšni podatki so npr. ime, slika, elektronski naslov, podatki o banki, objave na socialnih omrežjih, medicinski podatki, internet IP naslov računalnika. Skladno s poglavjem osnovnih pravic posameznika v evropski uniji ima vsak posameznik pravico varovanja svojih osebnih podatkov v vseh okoljih: v privatnem življenju, pri delu, ob nakupovanju, pri zdravniku, pri policiji, na internetu.
Kadar storitve zagotavlja tretja oseba, je potrebno zagotoviti transparentno evidence, kdo te podatke lahko uporablja in pod kakšnimi pogoji, v kakšni obliki in kako se zagotavlja varovanje osebnih podatkov pri njihovi obdelavi.
Varovanje podatkov
Varovanje podatkov v splošnem delimo v dve kategoriji:
- Funkcijska varnost podatkov na način zagotavljanja zaupnosti, celovitosti in način uporabe (splošno označujemo z izrazom “varovanje”)
- Tehnična varnost IKT sistema, ki zagotavlja delovanje, ukrepe proti izgubi podatkov in drugi dogodki, ki ogrožajo pravilno obdelavo podatkov (splošno označujemo z izrazom “varnost”).
V širšem pomenu lahko varnost pomeni IKT varnost v celoti, če pokriva celotno obdelavo podatkov, vključujoč lastne IKT informacijske vire, kot tudi storitve javnih in privatnih oblakov.
Tehnična varnost se pogosto zagotavlja s pomočjo sistema upravljanja informacijske varnosti (ISMS - Information Security Management System), njegovo kvaliteto pa potrjuje s certifikatom na osnovi ISO 27001 standarda.
Razširjen je tudi pregled varnosti s pomočjo COBIT-a (na osnovi ESAE 3402, pred tem SAS 70 II), ki se osredotoča na standarde računovodenja, npr. v povezavi z letnim poslovnim poročilom.
Vsekakor se lahko izjava o kvaliteti oz. skladnosti s takšnimi standardi podeli samo ob temeljitem pregledu storitve kot tudi testiranju le-te.
Drugo pomembno področje pregleda je področje digitalne varnosti. V času pogostih groženj zlonamerne programske opreme, napadov prekinitve delovanja storitve -DDoS (Distributed Denial of Services), virusov, itd, je izredno pomembno zagotavljanje dosegljivosti storitve kot tudi celovitosti podatkov. To tveganje ni omejeno samo na storitve računalništva v oblaku, zato vpliva tudi na druge elemente, kot npr. na naprave, s katerimi pristopamo do podatkov.
Tehnične operacije
Glavne zahteve pri storitvah v oblaku se v glavnem ne razlikujejo od tistih pri tradicionalnem poslovnem modelu zunanjega izvajanja IKT storitev (Outsourcing). Storitve v oblaku se izvajajo v podatkovnih centrih, kjer moramo upoštevati tipične kontrole fizičnega varovanja (dostopna kontrola, varovanje lokacije, informacijska varnost) in druge kontrole (napajanje, hlajenje, internet povezave).
Procesi in dostava storitve
Vse tehnične storitve vključujejo osebje, ki mora pridobiti ustrezno znanje in navodila, da lahko zagotavljajo nivo storitev skladno z določili pogodbe o nivoju storitev. IT Infrastructure Library (ITIL) so priporočila, ki jih v tem primeru upoštevamo.
Uporaba tehnologij virtualizacijskih tehnologij je zamegljilo meje med omrežjem, sistemi in programsko opremo, ki smo jih poznali pri uporabi tradicionalnih IT tehnologij. Zato se morajo odgovorni IKT upravitelji navdušeno zavedati svojih odgovornosti.
Interoperabilnost
V večini primerov je samo del IT virov preseljenih v oblake. Zato je še posebej pomembno, da se redno preverja dostopnost vmesnikov, ki zagotavljajo prenos podatkov v in izven oblakov, skupaj s potrebno programsko opremo in storitvami.
Nadaljni pomemben vidik je vračanje vseh podatkov lastniku v ustrezni obliki (strojno berljiva oblika, kot tudi zagotavljanje celovitosti logičnih podatkovnih relacij.
Ti vmesniki in izvozne funkcionalnosti morajo biti pravtako skladne z varnostnimi standardi, saj ima ponudnik oblačnih storitev v večini primerov popolnoma avtomatiziran dostop do velikih količin podatkov.
Uporabniška podpora
V splošnem so ergonomična in ustrezna uporabniška navodila s samo-pojasnjevalnim sistemom pomoči in online pomoči zahtevane za boljši sprejem oblačnih storitev s strani uporabnika in efektivno vključitev v delo s pomočjo oblačnih storitev. Uporabniška podpora v kar nekaj primerih gre še korak dlje pri uporabi orodij za popolno odpravo meja oz. nepotrebnih zadržkov pred uporabo oblačnih storitev.
Nivoji kvalitete
Razlikujemo tri nivoje kvalitete glede na rezultate testiranja:
- Zaupanja vredna oblačna storitev – tri zvedice
- Napredna in zaupanja vredna oblačna storitev – štiri zvezdice
- Napredna in zaupanja vredna oblačna storitev z visoko razpoložljivostjo- pet zvezdic