Bilo da planirate prelazak na rešenja za računarstvo u oblaku ili ste već to učinili i sada tražite prostor za nadogradnje, sigurno vas brine bezbednost vaših podataka.
Detaljnije ćemo istražiti šta treba imati na umu prilikom usvajanja modela skladištenja podataka u oblaku. Razmotrićemo aspekte i elemente koji čine sigurnost podataka u oblaku, kao i ponuditi nekoliko saveta o tome kako možete osigurati bezbednost vaših informacija.
Sigurno skladištenje podataka u oblaku
Kada radite sa SaaS pružaocem, sigurnost vaših podataka je njihova obaveza. To znači da je važno izabrati pružaoca na koga možete da se oslonite – proverite njihove recenzije, postavljajte prava pitanja i izrazite sve svoje brige pre početka saradnje. Više smernica za izbor pravog SaaS pružaoca možete pronaći ovde. U narednim pasusima, naznačićemo tačno koje obaveze su na pružaocu, a koje obično ostaju na partnerovoj kompaniji.
CIA model
Svi pružaoci trebalo bi da se pridržavaju CIA modela. Ovaj model definiše tri osnovna aspekta sigurnosti podataka u oblaku, i to su:
- Poverljivost, što znači da podacima ne može pristupiti ni otkriti ih neko ko nema ovlašćeni pristup,
- Integritet, što znači da podaci ne mogu biti izmenjeni od strane neovlašćenih lica i da im se može verovati,
- Dostupnost, što znači da će osoba koja ima ovlašćeni pristup uvek moći pristupiti podacima.
Ova trojka pravila se generalno prihvata kao univerzalna u SaaS svetu, i pružalac koji ne poštuje ovo može biti zakonski kažnjen. Ipak, bez obzira na najbolje napore pružaoca da osigura da su vaši podaci poverljivi, dostupni i očuvani, postoje i drugi rizici.
Na primer, neovlašćeni pristupi podacima i sajber napadi koje izvode hakeri, nažalost, nisu retki. U tom slučaju, pružalac je odgovoran za osiguranje ponovnog preuzimanja kontrole sa minimalnim prekidima poslovanja. Međutim, ako rezultat bude curenje informacija, organizacija je odgovorna za kontolu štete u vezi sa ugledom brenda i potencijalnim štetama za krajnje korisnike.
Upravljanje identitetom i saveti o bezbednosti
Najčešće, SaaS pružalac i partner kompanija (klijent) će definisati model deljenih odgovornosti u okviru ugovora o saradnji. Ovaj dokument definiše koje će obaveze biti dužnost pružaoca, a koje će biti na teretu kompanije. Na ovaj način, obe strane sarađuju kako bi održali poslovanje stabilnim i zadovoljili krajnje korisnike.
Ono što obično spada u odgovornost klijenta poznato je kao upravljanje identitetom. Ovaj model se sastoji od tri osnovna principa:
- Vidljivost, što znači da postoji efikasna kontrola pristupa,
- Federisani pristup, što znači da se manuelno održavanje eliminiše kroz korišćenje Active Directory ili sličnog sistema,
- Nadgledanje, što znači da organizacija utvrđuje da li je pristup podacima ovlašćen ili ne.
Da bi se ovaj model učinio efikasnim, preporučuje se da što više od njega bude automatizovano. Takođe je važno mudro birati i često pratiti korišćene bezbednosne alate.
Osim upravljanja identitetom, evo nekoliko drugih najboljih praksi za obezbeđenje sigurnosti podataka:
- Šifrujte podatke. Idealno, podaci će biti šifrovani kako u prenosu, tako i u mirovanju. To ponekad može biti pokriveno od strane SaaS pružaoca, ali klijent može implementirati dodatni sloj šifrovanja od trećih strana kako bi ojačao zaštitu.
- Napravite rezervnu kopiju podataka. SaaS pružaoci obično imaju postupke za rezervno kopiranje, ali ponovno lokalno pravljenje rezervne kopije može samo dodatno ojačati bezbednost. Kako biste bili dodatno bezbedni, preporučujemo da pratite pravilo 3-2-1 – čuvajte 3 kopije na 2 različita medija, sa barem 1 kopijom na drugom mestu (u ovom slučaju to uključuje i SaaS pružaoca).
- Implementirajte IAM. Upravljanje identitetom i pristupom osigurava da samo oni sa ovlašćenim pristupom mogu videti i menjati podatke.
- Implementirajte politiku lozinki. Najlakši način za to je kroz rešenja za upravljanje lozinkama.
- Implementirajte MFA. Multi-Factor Authentication osigurava da u slučaju da neko bez ovlašćenog pristupa pokuša da uđe, ima dodatne prepreke pre nego što ošteti integritet vaših podataka.
Zaključak
Hajde da se osvrnemo na to kako može izgledati model deljene odgovornosti. Pružalac će pratiti CIA model (poverljivost, integritet, dostupnost), dok će klijent sprovesti upravljanje identitetom i druge najbolje prakse.
Pregovaranje o uslovima deljene odgovornosti nije neobično, posebno kod kompanija koje cene fleksibilnost, poput Valcona.
Ako ima još neodgovorenih pitanja, ili imate teme koje biste želeli da vidite pokrivene u budućim izdanjima, slobodno nam pišite!