Nincs csodaszer a felhőben tárolt adatok teljes biztonságára, de az adatok megfelelő titkosítása alapvető része a felhő biztonságának – állítja Richard Moulds, a Thales stratégiai elnökhelyettese.

Hatékony titkosításra van szükség a felhőben történő adattárolás során olyanra, amely nem csak, hogy titkosítja az adatokat, hanem az irányítja és ellenőrzi az adtok visszafejtését úgy, hogy legyen is értelme az információknak.

A felhőben történő adattárolás elsődleges célja a takarékosság, de emellett fontos a könnyű elérhetőség, a rugalmasság, az adatforrások megosztása, de az a gond vele, hogy így könnyen kikerülhetnek az adatok az ellenőrzés alól. Sok szervezet számára a nem megfelelő biztonság nagyon fontos akadályt jelent a felhő használatában, és ez lényeges szempont, amikor mérlegeljük a titkosítás szerepét.

Felmérés a felhőről

Kinek ez elsődleges felelőssége megvédeni az érzékeny vagy bizalmas adatokat a felhőben? A Thales e-Security és az Pomenon Institute legújabb felmérés szerint, amely a felhőben tárolt adatok titkosítását vizsgálja, a válaszadók 44 százaléka úgy látja, az adatok védelme elsődlegesen a felhőszolgáltató feladata. Viszont a megkérdezettek 30 százaléka azt gondolja, hogy a felhasználó felel az adataiért. Ebből is látszik, hogy ma még vitatott kérdés, kié is a felelősség a felhő biztonságáért.

Kulcskezelés

A titkosítási algoritmusok védelme középpontjában a kódolás és annak ellenőrzése áll. Hiába a biztonságos zár, ha a kulcsot az ajtóban vagy a lábtörlő alatt tartjuk, esetleg bárkinek másolatot adunk, aki kéri.
Amikor a felhőszolgáltató állítja, hogy az adatainkat biztonságban tudhatjuk, mert titkosítja azokat, akkor azért kérdezzünk rá a szolgáltatónak a kulcskezelési gyakorlatára.

• Ugyanazokat a titkosítási kulcsokat kapja-e több ügyfél is, netán versenytársak is?
• Mennyire védett a titkosítás folyamata?
• Mi garantálja, hogy nem vesznek el az adataink?

A szolgáltató valószínűleg nem fog pontos választ adni ezekre a kérdésekre. Igazság szerint nagyon kevés felhőszolgáltató akar valóban felelősséget vállalni a kulcsokért. Azonban a szolgáltatók sokkal hamarabb vállalják felelősségüket, ha látják, hogy az ügyfél figyel erre a kérdésre. Azonban ez néhány újabb kérdést vet fel.

Szabvány

Vonzó az az elképzelés a felhő alapú alkalmazások és tárolás esetén, hogy az ügyfél kezében legyen a titkosítás kulcsa. Ebben az esetben a vállalaton belül elkülönül a titkosítás és az alkalmazások használata, és ez növeli a biztonságot. De ehhez ma már szükség van az alkalmazás és a felhő közötti titkosítás folyamatának szabványosítására. Ezt az eltérő platformok, a beléptetőrendszerek különféle filozófiái és az érvényben lévő egyedi biztonsági intézkedések igénylik.
Szerencsére már, van egy új szabvány, a Key Management Interoperability Protocol (KMIP). Azonban arra is figyelni kell, hogy a titkosítás csak egy lépése az adatkezelésnek. Az adatokat az adatkezelés teljes életciklusa alatt védeni kell, tehát ott is, ahol keletkezik az adat, ahol tárolják és ott is, ahol végül megsemmisítik. Tehát azzal, hogy megoldotta a felhőben tárolt adatok titkosítását, könnyen hamis biztonságérzetbe ringathatja magát mind a szolgáltató, mind az ügyfél.

Angol nyelvű videó a szabványról (Key Management Interoperability Protocol, KMIP)

 A felhőben történő adattárolás esetén fontos a bizalom a szolgáltatóban, de mellette lényeges az ellenőrzés is. Értékelni és számszerűsíteni kell az adatkezelést: szükséges biztonsági auditot készíteni, ellenőrizni, hogy megfelelünk-e az előírásoknak, szabványoknak, jogszabályoknak.

Az alkalmazott üzleti modell lehet eltérő, de a szabályokat be kell tartani. A szolgáltatók keresik az ügyfelek bizalmát a felhőalkalmazások kapcsán. A különböző felhőszolgáltatókat a kritikus pontokon föltett kérdésekre adott válaszok különböztetik meg:

• Hogyan és hol használják a titkosítást a felhőben történő adattárolás során?
• Ki vigyáz a titkosítás kulcsaira?

A megfelelő válaszok esetén fontos még, hogy azok kiállják az idő próbáját is.

Richard Moulds, a Thales stratégiai elnökhelyettese 

Forrás: www.ifsecglobal.com

Az OASIS (Organization for the Advancement of Structured Information Standards) angol nyelvű cikke a szabványról (Key Management Interoperability Protocol, KMIP)