Úvod
Eurocloud je prvou organizáciou, ktorá ponúka certifikáciu cloudových služieb v Európe pod názvom Eurocloud Star Audit. Táto certifikácia je presne upravená pre IaaS, PaaS a SaaS a definuje jednotlivé stupne výkonnosti, ktoré zodpovedajú špecifickým otázkam dotazníka prevádzkovateľov spoľahlivých cloudových služieb.
Pre kvalitatívne testovanie výkonnosti v oblasti bezpečnosti dát, technickej prevádzky a procesného riadenia sú potrebné rozsiahle odborné znalosti a skúsenosti, aby bolo možné potvrdiť, že poskytované služby spĺňajú požiadavky stanovené v rámci záruky. Z tohto dôvodu, certifikáty kvality všeobecne obsahujú stručné vyhlásenie o zabezpečení bezpečnosti dát a spoľahlivosti poskytovateľa služieb.
EuroCloud navrhol a používa špeciálnu pečať, ktorá potvrdzuje splnenie zmluvných, technických a organizačných požiadaviek. Toto potvrdenie smú použiť iba poskytovatelia cloudových služieb, ktorých služby boli dôkladne testované kvalifikovanými audítormi a ktorí obdŕžali certifikát, potvrdzujúci, že parametre služieb poskytovaných prevádzkovateľom cloudu spĺňajú požadované parametre.
Súlad a dodržiavanie podmienok
Mnoho cloudových služieb je v súčasnosti marketovaných pod rôznymi obchodnými značkami alebo sú ponúkané prostredníctvom portálov, ktoré maskujú totožnosť poskytovateľa. V takýchto prípadoch je žiadúce zistiť, kto je skutočným poskytovateľom služieb.
Všeobecné požiadavky súladu
Dodržiavanie súladu vo všeobecnosti znamená, že prevádzka spoločnosti musí spĺňať všetky požiadavky na formálnu a vecnú správnosť poskytovania cloudovej služby, na integritu a bezúhonnosť posyktovateľa. V oblasti cloud computingu, je možné overiť dodržiavanie súladu poskytovateľa služieb s požiadavkami len prostredníctvom zodpovedajúcej transparentnosti všetkých informácií, týkajúcich sa poskytovaných služieb, vrátane skutočného umiestnenie dát, všetkých potrebných údajov o poskytovateľovi služieb a funkciách, ktoré ponúka, a istoty, že zmluva poskytuje všetky potrebné záruky na služby. Okrem toho, poskytovateľ cloudových služieb je povinný informovať užívateľa o všetkých zmenách, ktoré súvisia s poskytovanými službami. Ak v objednaných službách dochádza k zmenám, užívateľ musí mať možnosť odstúpiť od zmluvy, ak nebude chcieť tieto zmeny prijať. V tomto prípade musí byť zabezpečené riešenie zamerané na odstránenie dát z dátového úložiska po prevode dát späť užívateľovi v dohodnutom formáte.
Návšteva na mieste
Potreba kontroly plnenia zmluvných povinností externých poskytovateľov IT v oblasti cloud computingu bude viesť k nárastu problémov v budúcnosti. Mnoho predpisov, súvisiacich s ochranou údajov požaduje testovanie poskytovateľov služieb priamo v dátovom centre. Je potrebné zodpovedať otázku, ktoré "miesto" je tým určené: pôsobisko zmluvného partnera, ktorý podpisuje zmluvu, pôsobisko, umiestnenie vedúceho počítačového strediska alebo adresa prevádzkovateľa softvéru? Ak sa zmluvné strany dohodnú, že relevantná adresa lokality je tá, kde sú fyzicky uložené dáta, potom je potrebné deklarovať, aké informácie je možné očakávať z osobnej návštevy vo výpočtovom, resp. dátovom stredisku.
Bez rozsiahleho testovania kvalifikovanými odborníkmi v oblasti ochrany dát, zabezpečenia dát, riadenie prevádzky a prípadne aj v oblasti vývoja softvéru, maximum, čo sa dá očakávať, je subjektívny dojem, či zmluvná strana sa zdá spoľahlivou. Takéto hodnotenie nebude obsahovať kvalitatívne posúdenie technických a organizačných opatrení. V tejto súvislosti je potrebné dodať, že návšteva výpočtového strediska predstavuje sama o sebe bezpečnostné riziko pre prevádzkovateľa, a prístupová kontrola môže byť povolená len kvalifikovaným osobám, ktoré musia prejsť bezpečnostnou previerkou.
Je potrebné uvažovať aj kombinácie IT služieb (samoobslužné, súkromný IT outsourcing, privátny a verejný cloud), ku ktorým sa pripájajú ďalšie základné služby, akými sú správa identít a rozhranie pre správu dát a pod. Ďalej je potrebné zobrať do úvahy, že väčšina verejných cloudových služieb je štruktúrovaných vo forme dodávateľských reťazcov, v ktorých spolupracuje a je prepojených mnoho subdodávateľov zabezpečujúcich dodávanú službu (výpočtové stredisko, IaaS poskytovateľ, infraštruktúrny operátor, SaaS dodávateľ, broker služby a iní.)
Jediný spôsob, ako vyriešiť túto zmätočnú situáciu je využiť certifikáciu, realizovanú uznávanou certifikačnou autoritou. Tieto zohrávajú čoraz významnejšiu úlohu pri objasňovaní a dokumentovaní kvality produktov a služieb v tomto ako aj v ďalších odboroch.
Zručnosti
Dôkladné testovanie všetkých relevantných funkcií, musí byť založené na rozsiahlych odborných znalostiach a skúsenostiach. To je dôvod, prečo sa vyžaduje certifikácia uznávanými certifikačnými autoritami, aby sa potvrdila kvalita služieb dodávateľa cloudového riešenia.
Kvalita cloudových služieb je kontrolovaná predovšetkým s ohľadom na technické požiadavky, ďalej vo vzťahu k všeobecným požiadavkám na bezpečnosť, na ochranu dát, na kompatibilitu a dodržiavanie predpisov. Audit musí vychádzať z kritérií a požiadaviek testov, ktoré kontrolujú viac, než čisto technické predpoklady. Skutočnosť, že tieto audity sú v podstate rozsiahle a časovo náročné, a vyžadujú špeciálne odborné znalosti v oblasti testovania, viedla postupne k vývoju certifikačných postupov.
To vyžaduje stanovenie všeobecných požiadaviek v rámci štandardizovaného testovacieho protokolu, ktorý sa spravidla vykonáva kvalifikovanými audítormi. ISO norma 27001 (Informačné technológie - Bezpečnostné techniky – Manažment informačnej bezpečnosti - Požiadavky) uvádza podrobnosti najznámejších skúšobných postupov v oblasti IT bezpečnosti.
Bezpečnosť je len jedným z aspektov, ktoré sa majú testovať v oblasti cloud computingu. Špecifikácie (SLA) súvisiace s úrovňovou a kvalitou poskytovaných služieb a zmluvné formulácie požiadaviek na ochranu údajov sú tiež veľmi dôležitými informáciami. Vzhľadom k skutočnosti, že cloudové služby sú často poskytované pre väčší počet užívateľov, je potrebné testovať splnenie požiadaviek v celom dodávateľskom reťazci.
V prípade, že poskytovateľ SaaS riešení má certifikáciu ISO-27001, to nestanovuje bezpečnosť systémov používaných poskytovateľmi v celom dodávateľskom reťazci, napríklad vplyv vložených platforiem alebo poskytovateľov infraštruktúry.
Požiadavky
Audit pokrýva vybrané právne aspekty, spoľahlivosť realizácie technických služieb, akými sú napr. je ochrana dát, zabezpečenie dát a zabezpečenie základných noriem kvality prevádzkových procesov a aplikácií. Poskytovateľ služieb musí predložiť konkrétne dôkazy súvisiace s informáciami, ktoré sú predmetom auditu. Poskytovateľ sa musí zaviazať k nahlasovania významných zmien podmienok poskytovania služby (akou je napríklad lokalizácia kontrahovaných činností alebo zmeny v subdodávateľských zmluvách) a musí okamžite reagovať a posielať oznámenia užívateľom v prípade kritických incidentov.
What needs to be addressed?
- Cloud Specific Assessment
- Security Assessment
- Legal Compliance Assessment
- Data Privacy Assessment
- Common Scope - no negotiations
- Complete Cloud Supply Chain covered
- publicly available Controls
Comparison of certification schemes:
Study of the University of Cologne: CLOUD SERVICE CERTIFICATIONS: MEASURING CONSUMERS’ PREFERENCES FOR ASSURANCES
Authors: Lansing Jens, Schneider Stephan; Sunyaev Ali
Table 2 provides an overview of the ten identified assurances and their corresponding representation in research, existing cloud certifications and interviews. Existing certifications vary, among other aspects, by provided assurances. Most current cloud service certifications focus on security and privacy, which is in line with major concerns of (potential) cloud users. However, our results indicate that security and privacy are not the only assurances that need to be provided by effective certifications.
Katalóg
Zoznam testovacích požiadaviek bol vypracovaný v úzkej spolupráci s reprezentantmi oficiálnych orgánov, výskumnými ústavmi, právnymi expertmi a účtovníckych firiem.
Hodnotenie cloudových služieb sa vykonáva na základe komplexného kontrolného zoznamu, ktorý obsahuje nasledujúce kategórií:
Profil
- Všeobecné informácie
- Fyzické umiestnenie zákazníckych dát
- Manažment služieb
- Podrobný profil spoločnosti
- Referenčné informácie súvisiace s cloudovými službami
- Certifikáty
Zmluvy a zhoda
- Nastavené zmluvné podmienky
- Pravidlá pre manažment dát
- Zmluvné podmienky ochrany dát
- Zmluva o servisných podmienkach a zabezpečení služieb
- Záväzky pre prípad bankrotu
- Záväzný cenník výkonov a rozpad nákladov
Bezpečnosť a ochrana osobných údajov
- Manažment bezpečnosti
- Technická bezpečnosť
- Technické údaje opatrenia na ochranu citlivých a osobných údajov
- Integrita údajov
- Auditovateľnosť
Prevádzka a infraštruktúra
- Celkové hodnotenie dátového centra
- Prístupové práva
- Hodnotenie lokality a jej okolia
- Odolnosť
- Prevádzka dátového centra
Prevádzkové procesy
- Podpora zákazníkov
- Manažment služieb
- Proces zabezpečenia zálohy údajov
- Zabezpečenie kvality
Hodnotenie špecifických typov služieb
- Infraštruktúra ako služby (IaaS)
- Platforma ako služby (PaaS)
- Software ako služba (SaaS)
Viac sa dozviete o katalógu v položke menu:
PUBLIKÁCIE
Ochrana dát
Splnenie náročných národných požiadaviek na ochranu údajov je základnou úlohou všetkých spoločností, ktoré uchovávajú a spracovávajú osobné údaje v digitálnej podobe vo svojich IT systémoch.
Pojem "osobné údaje" sa vzťahuje na všetky informácie o súkromných, profesionálnych alebo verejných aktivitách človeka. Tieto údaje môžu zahŕňať napríklad meno osoby, fotografiu, e-mailovú adresu, bankové spojenie, príspevky publikované osobou na webových stránkach sociálnych médií, lekársky relevantné údaje alebo IP adresu osobného počítača. Podľa Charty základných práv Európskej únie, každý má právo na ochranu svojich osobných údajov vo všetkých oblastiach svojho života - doma, v práci, pri nákupoch, u lekára, v kontakte s políciou a na internete.
Ak sú služby poskytované treťou stranou, je nutné veľmi transparentne dokumentovať, od koho sa dajú získať vybrané infromácie, v akej forme a v akom množstve môžu byť spracované a ako je garantovaná ochrana osobných práv a údajov fyzických osôb, ktorých údaje sú spracovávané.
Dátová bezpečnosť
Koncepcia dátovej bezpečnosti a ochrany dát sa dá rozdeliť do dvoch kategórií:
- funkčná bezpečnosť údajov z pohľadu ich dôvernosti, integrity a jednoduchej manipulácie (zvyčajne sa označuje ako "ochrana");
- technické zabezpečenie systému proti poruchám a zlyhaniu, strate dát a ďalším akciám, ktoré môžu zabrániť riadnemu spracovaniu dát (zvyčajne sa označuje ako "bezpečnosť").
V širšom slova zmysle, bezpečnosť sa môže chápať ako celková bezpečnosť IT, zahŕňajúca celý systém spracovania a mix využívania vlastných IT prostriedkov, súkromných a verejných cloudových služieb.
V širšom slova zmysle, bezpečnosť sa môže chápať ako celková bezpečnosť IT, zahŕňajúca celý systém spracovania a mix využívania vlastných IT prostriedkov, súkromných a verejných cloudových služieb.
Široko používaný prístup k testovaniu funkčnej bezpečnosti je COBIT (Control Objectives for Information and Related Technology je podporný nástroj pre premostenie požiadaviek kontrolných procesov a podnikateľským rizikom),(ktorý vychádza z ESAE 3402, predtým SAS 70 II), ktorý sa zameriava na účtovné štandardy, napríklad v súvislosti s internou súvahou spoločnosti.
Kvalitatívne vyhlásenie o zhode s takýmito normami môže byť poskytnuté iba po dôkladnom preskúmaní cieľov hodnotenia a ich aplikácie na požiadavky testovania cloudových služieb.
Ďalšou oblasťou, kde sa stále častejšie vyžaduje dôkladné testovanie je otázka kybernetickej bezpečnosti. V čase, keď malware, DDoS (distribuované odmietnutie služby), spyware a mnoho ďalších "vírusov" sú tak rozšírené je dostupnosť služby a integrita dát je vystavená vysokému riziku. Táto hrozba sa neobmedzuje len na cloudové riešenia, ale ovplyvňuje všetky aspekty prevádzky IT, od koncového zariadenia používaného pre prístup k dátam, až po zdroje cloudu.
Technická prevádzka
Hlavné požiadavky na cloud computing sa takmer nelíšia od tradičných požiadaviek na IT outsourcing. Cloudové služby sú poskytované z počítačových centier, kde je nutné dodržiavať štandardné predpisy, súvisiace s fyzickou bezpečnosťou prístupu (bezpečnosť prístupu do dátového centra, systém prístupových práv, bezpečnosť pripojenia k sietiam a internetu). Podobne je potrebné garantovať podmienky a záruky prevádzkyschopnosti (viacnásobné napájanie DC, chladenie infraštruktúry, redundantné pripojenie k Internetu).
Procesy a poskytovanie služieb
Všetky technické služby samozrejme vyžadujú obslužný personál, ktorý musí prejsť školením a musí mať prevádzkové predpisy, ktorých dodržiavanie garantuje úroveň poskytovaných služieb, ktoré sú predmetom dodávateľskej zmluvy a SLA. IT Infrastructure Library (ITIL) je knižnica, súbor celosvetovo uznávaných osvedčených postupov a testov cieľov v tejto oblasti, ktoré môžu byť použité, aby sa predišlo problémom a zabezpečilo sa primerané a požadované poskytovanie služieb.
Zavedenie technológie virtualizácie zmazalo tradičné hranice medzi sieťami, systémami a softvérom v oblasti cloudových služieb. V dôsledku toho poskytovatelia cloudových služieb a manažéri infraštruktúry si musia byť veľmi dobre vedomí svojej zodpovednosti za stav a prevádzku systémov.
Interoperabilita
Vo väčšine prípadov sa do cloudu presúva len časť IT operácií. Z toho dôvodu je nesmierne dôležité skontrolovať dostupnosť rozhraní, ktoré umožňujú obojsmerný prenos dát z a do cloudu, spolu s aplikáciami a službami, ktoré sú pre prenos potrebné.
Ďalším veľmi dôležitým aspektom je možnosť spätného získania všetkých údajov a dát vo vhodnej forme (počítačovo čitateľných a so zachovaním integrity logických vzájomných vzťahov dát).
Takéto rozhrania a vstupno-výstupné zariadenia tiež musia spĺňať osobitné bezpečnostné normy, pretože v niektorých prípadoch má poskytovateľ služieb plný prístup k veľkému množstvu klientskych údajov a dát.
Podpora užívateľov
Všeobecná ergonómia a vhodná podpora užívateľa s zrozumiteľným, kontextovým systémom pomoci, podpora na telefónnej linke zabezpečujú akceptáciu cloudových služieb a ich efektívne využívanie v rôznych spoločnostiach. Užívateľská podpora sa môže aj rozšíriť podľa potreby a prispieť k prekonávaniu všetkých zbytočných prekážok na ceste k využívaniu cloudových služieb.
Úrovne kvality
ECSA rozoznáva tri úrovne kvality cloudových služieb, ktoré závisia na výsledkoch testovania:
- Dôveryhodná cloudová služba – tri hviezdičky
- Rozvinutá dôveryhodná cloudová služba – štyri hviezdičky
- Rozvinutá dôveryhodná cloudová služba s vysokou dostupnosťou – päť hviezdičiek