ewangelista.IT
Mariusz KędzioraIT Pro EvangelistMicrosoft Polska
Nazywam się Mariusz Kędziora i pracuję w polskim oddziale Microsoft w dziale Developer & Platform Group (DPG) jako IT Pro Evangelist.
W blogu postaram się przekazywać Wam ciekawe informacje o technologiach Microsoft w trochę luźniejszej formie niż to jest w dokumentacji czy na oficjalnych stronach Microsoft.
This post is provided "AS IS" with no warranties, and confer no rights. This weblog does not represent the thoughts, intentions, plans or strategies of Microsoft or any other company or organization. Because a weblog is intended to provide a semi-permanent point-in-time snapshot, you should not consider out of date posts to reflect current thoughts and opinions.
Jak obiecałem w poprzednim wpisie dot. bezpieczeństwa chmury - spróbuję się pomału zagłębiać w kolejne elementy chmury i opowiedzieć Wam więcej o tym, co Microsoft zrobił, żeby chmura mogła być określana jako bezpieczna.
Zanim zejdę do którejkolwiek warstwy zabezpieczeń, chciałbym w dzisiejszym poście zająć się kwestią formalnej ochrony ze strony Microsoft. Jest to o tyle ważne, że może nam rozwiązać kilka kwestii i odpowiedzieć na kilka pytań, które bardzo często słyszałem do tej pory.
Pewnie zastanawiacie sie jak formalne sprawy mogą gwarantować Wam bezpieczeństwo Waszych danych. I dlaczego niby tak ważna jest jakaś tam umowa podpisana z Microsoft albo standardy, które Microsoft spełnia w tym zakresie.
Zacznę więc trochę zaczepnie - gdybym zapytał ilu moich czytelników ma konto w banku - to pewnie twierdząco odpowiedziałoby 99% osób (nie ma chyba wśród Was osób, które korzystają z konta rodziców?). Uznajemy to za coś oczywistego i naturalnego.
I zapewne nikt już na dzień dzisiejszy nie zastanawia się czy Wasze pieniądze są bezpieczne w banku. Ale jakbyście chcieli zrobić ćwiczenie myślowe i odpowiedzieć sobie na pytanie "Dlaczego moje pieniądze są bezpieczne w banku?" to pewnie zaraz pojawiłoby się Wam w głowie kilka pytań pomocniczych:
Pewnie na wszystkie pytania odpowiedź będzie "NIE". Dlaczego więc uważacie, że Wasze pieniądze są bezpieczne??? Skoro nie macie kontroli nad systemem, aplikacją, fizycznym położeniem pieniędzy, danymi o Was, czy pracownikami banku?
Pierwsze co Was chroni w sytuacji banku (czy chmury) to umowa między Wami a dostawcą. To w niej zawarte są informacje o tym co dzieje się z Waszymi danymi, kto i w jaki sposób może nimi dysponować, co się stanie jak nagle stracicie dostęp do danych/aplikacji, itp.
Są też pewne rzeczy, które wynikają bardziej z prawa niż samej umowy - to, że pracownik zdefrauduje pieniądze czy wykradnie dane, będzie oznaczało, że poniesie tego konsekwencje (o tym będzie ciut więcej w kolejnym poście), ale Wy również będziecie mogli dochodzić swoich praw w sądzie (jeśli dostawca sam nie zaproponuje satysfakcjonującego Was rozwiązania).
Jest też coś co nazywa sie reputacją. Czy to w wypadku banku czy firmy takiej jak Microsoft, firmy takie nie mogą sobie pozwolić na to, żeby ktoś stracił dane, stracił pieniądze lub nawet i firmę tylko z tego powodu, że coś nie zadziała lub ktoś zrobi krzywdę chmurze. W takiej sytuacji podejrzewam, że wszystkie strony będą dążyły do porozumienia.
Żeby być już całkiem fair w stosunku do mojego porównania z bankiem... To w wypadku banków w gre wchodzi tez oczywiście Bankowy Fundusz Gwarancyjny, ale on też gwarantuje Wam odzyskanie straconych pieniędzy tylko do określonej kwoty i przy spełnieniu określonych warunków brzegowych. Tu takiego funduszy w wypadków dostawców chmur nie ma (poza gwarancjami samego dostawcy).
Ale wracając trochę do konkretów w sprawie chmury. W wypadku chmury Microsoft postawiono naprawdę duży nacisk na spełnienie pewnych uznanych, światowych standardów i uzyskanie odpowiednich certyfikatów.
Gwarantują one kilka rzeczy w zależności od danej certyfikacji/normy.
DataCenter Microsoft spełniają m.in. bardzo znaną normę ISO/IEC 27001:2005. Standaryzuje ona systemy zarządzania bezpieczeństwem w danej firmie/organizacji.
W ramach tej normy określono 11 obszarów w których firma powinna spełnić określone kryteria. Obszary te to m.in.: Polityka bezpieczeństwa, Organizacja bezpieczeństwa informacji, Bezpieczeństwo fizyczne i środowiskowe, Zarządzanie systemami i sieciami, Kontrola dostępu, Zarządzanie incydentami związanymi z bezpieczeństwem informacji, Zgodność z wymaganiami prawnymi i własnymi standardami.
Dzięki tej certyfikacji wiemy, że to co dzieje się wewnątrz takich DataCenter ma ściśle określone zachowania i procedury. I na bezpieczeństwo formalne (i praktyczne) położony jest naprawdę duży nacisk.
O ile ISO 27001 jest dosyć dobrze znane i rozpoznawane w Polsce i Europie to juz SAS 70 trochę mniej (patrząc na to, że tylko 2 osoby na mojej 300 osobowej sesji na MTS kojarzyły co to jest). Jest to pewien rodzaj raportu po audycie, który wykonywany jest na infrastrukturze danej firmy (w tym wypadku Microsoft) przez zewnętrzne podmioty.
Założenia takiego raportu powstały po tym jak jakiś czas temu wiele firm chciało skorzystać z outsourcingu w IT (oraz usługach finansowych). Firmy te chciały być pewne, że ich dane będą przetwarzane w odpowiedni sposób i że firma, która będzie się nimi opiekowała będzie robiła to dobrze.
Raport SAS 70 zawiera opis tego co działa w środku takiej firmy pod kątem kontroli, zarządzania ryzykiem, itp. Pokazuje on klientom takich firm jak wygląda jakość usług outsourcingowych świadczonych przez dostawcę.
Raport SAS 70 ma dwa typy:
Microsoft regularnie zamawia takie audyty i jest w posiadaniu oczywiście raportów obu typów.
Dodatkowo Microsoft (DataCenter) spełniają wymagania innych ważnych dokumentów m.in.:
Mimo, że część dokumentów może mniej dotyczy polskiego rynku, ale z drugiej strony są bardzo rygorystycznymi ustawami, których spełnienie nie jest takie proste. Jednak Microsoft robi wszystko, aby wymogi takich ustaw były spełniane.
SLA czyli Service Level Agreement określa poziomy dostępności danej usługi. Microsoft w zależności od usługi (lub nawet głębiej, pojedynczych elementów) określa różne wartości SLA.
Są one mierzone w procentowej ilości czasu kiedy serwis jest niedostępny. Jeśli serwis jest niedostepny dłużej niż przewiduje to SLA to Microsoft w takiej sytuacji zwraca pieniędze za brak dostępu.
Ważnym elementem jest to, że niedostępność mierzona jest na poziomie pojedyńczych minut a nie ich wielokrotności jak np. u konkurencji. W konkurencyjnej firmie SLA przestaje być spełnione, jeśli przerwa w dostępnie do danych trwa dłużej niż 10 minut. Jeśli jest to krótsza przerwa, to może ich być nieskończenie wiele w ciągu roku, a nadal SLA będzie dotrzymane.
Generalnie temat SLA spokojnie nadałby się na osobny post i jeśli starczy mi kiedyś sił i czasu to napiszę więcej na ten temat.
Security Development Lifecycle to standard stworzony przez Microsoft a dotyczący pewnych ściśle określonych reguł tworzenia oprogramowania tak, aby można było powiedzieć, że zrobiono wszystko aby było ono bezpieczne.
I tu oczywiście całe oprogramowanie tworzone na potrzeby chmury jest również włączone do tego cyklu.
W kolejnych odcinkach cyklu opowiem Wam więcej o realnych zabezpieczeniach chmury (bo te były stricte formalne i umowne). Mam nadzieję, że cały cykl wyjaśni Wam kilka rzeczy. Ja z wielką chęcią dowiem się, czy treści Wam przekazywane są jasne i zrozumiałe, oraz czy dostarczają Wam odpowiedzi na Wasze pytania.
Koniecznie zostawcie więc Wasz komentarz! A ja zachęcam do dyskusji ze mną w komentarzach :)
To ja mam temat do rozważań odnośnie chmury, przy czym nie do końca specyficzny dla chmury Microsoftu. Zamknę go w jednym słowie: compliance. A teraz trochę rozszerzę - firma oferująca chmurę (zakładam, że korzystamy z dostawcy, nie budujemy własnej) musi działać w zgodzie z przepisami prawa. Dobrym pytaniem byłoby "którego prawa". Czy moje dane są równie dobrze chronione, jeśli aktualnie w tej chwili znajdują się w Polsce, USA czy, przykładowo, Chinach? Czy mogę mieć pewność, że w jakimś kraju, w którym działa "część chmury" i moje dane przez przypadek tam zawędrują, nie zostanie uchwalone prawo, które potencjalnie da dostęp do nich "uprawnionym organom"? Oczywiście wszystko w imię "obrony demokracji, wolności i praw obywatelskich"... A co się stanie w chwili, gdy takie prawo rzeczywiście zostanie uchwalone? Jaka będzie "bariera wyjścia" z chmury, która nagle przestała oferować akceptowalny dla nas poziom bezpieczeństwa?
Dobry przykład z bankiem, choć z drugiej strony banki działają na trochę innych zasadach (prawie) niż jakakolwiek inna branża. I tak gwoli ścisłości, napisałeś: "Są też pewne rzeczy, które wynikają bardziej z prawa niż samej umowy". Umowa jest formą aktu prawnego (zgodnie z art.353 KC). Stąd oczywisty wniosek, że w umowie można zawrzeć wszystko, co jest niezbędne do współpracy dwóch podmiotów, nie powołując się jednocześnie na np. KC (co jest często
praktykowane). A co do norm, standardów i certyfikatów, to obawiam się, że w polskich warunkach jest to raczej rodzaj marketingu, niż faktyczny atut, którym firma może się "chwalić" przed potencjalnym klientem. I tak zawsze pada pytanie: za ile?
@Paweł Goleń: Na Twoje pierwsze pytanie odpowiedź brzmi: podmiot mający swe oddziały poza granicami kraju działa na podstawie prawa kraju, w którym ma siedzibę i w zgodzie z prawem lokalnym kraju, w którym lokalizuje oddziały (mam nadzieję, że jest czytelne). Drugie pytanie: tak i to jest oczywiste i wynika z podpisanej umowy. Trzecie pytanie: oczywiście, że nie. Tej pewności nie da Ci nikt, nigdy i nigdzie (vide w zgodzie z prawem lokalnym). Kolejne pytanie: nic lub stracisz wszystko. Choć prawdę mówiąc, są to dywagacje trochę "dziecinne". Równie dobrze można zapytać: a co by się stało, gdyby w Polsce pozwolono zatłuc każdego, kto zaczyna zdanie od 'A co się stanie w chwili...'. I zapewniam, że to nie jest złośliwość z mojej strony. ;)
@Paweł: Tak jak odpisał Amandi... Chmura Microsoft działa w oparciu o prawo amerykańskie (bo to firma z USA), ale w zgodzie z prawem konkretnego kraju.
Dlatego czasem przez dłuższy czas dana usługa nie jest dostępna w określonym kraju czy regionie - bo musi potrwać zanim albo zostanie dostosowana do prawa, albo aż prawo się zmieni. Nie wiem czy wiecie, ale np. Azure nie jest aktualnie dostępny w Rosji :)
W Polsce jest jak najbardziej dostępny, co daje gwarancję tego, że działa zgodnie z polskim prawem.
Jeśli chodzi o dane i ich lokalizację - pozwól, że wrócę do tego w kolejnych postach - ale w skrócie Ty sam decydujesz w którym regionie świata przetwarzane są Twoje dane.
Wyjście z chmury? Nie wiem o jaką barierę pytasz (czasową, finansową, prawną, technologiczną), ale generalnie Microsoft nie utrudnia wyciągnięcia danych z chmury (są nawet narzędzia i będzie powstawać ich więcej). Możesz je wyjąć z chmury praktycznie w dowolnym momencie i przenieść je do siebie do serwerowni.
W wypadku Microsoft jest ten dodatkowy plus, że środowiska on-premise (Twoje DC) i off-premise (chmura) są dosyć zbliżone, więc przerzucane aplikacji/danych nie powinno być bardzo trudne. W wypadku niektórych innych dostawców może być to trudniejsze albo nawet niemożliwe.
@Amandi: Z umową/prawem - masz rację i z tym, że banki działają na innej zasadzie również. Aczkolwiek podobnie jest z instytucjami zdrowotnymi, itp. - czyli takimi gdzie są ważne informacje, nad którymi też nie zawsze masz kontrolę (a w zasadzie prawie nigdy).
Certyfikaty i standardy - są po to, żeby określać pewne poziomy świadczenia usług. Bo na tym głównie można opierać się przy wyborze dostawcy oraz poczuciu gwarancji tego, że coś zostanie wykonane zgodnie ze sztuką.
@Amandi: Pytanie "którego kraju" dotyczyło przede wszystkim danej chwili. Ponownie - abstrahując od konkretnej implementacji chmury, zasoby do realizacji "naszej części usług" mogą być dobierane dynamicznie. Może być tak, że w jednej chwili dane są przetwarzane i przechowywane w innym miejscu niż chwilę wcześniej podlegając pod inne prawo lokalne. W niektórych implementacjach jest możliwość wskazania gdzie one mają być, co jest pewnym sposobem ograniczenia ryzyka, o którym piszę.
Po drugie absolutnie nie mogę się z Tobą zgodzić odnośnie "dziecinności" dywagacji "co się stanie, jeżeli...". Polecam dokument "Cloud Computing Risk Assessment" (www.enisa.europa.eu/.../cloud-computing-risk-assessment), w tym kontekście rozdział LEGAL RISKS, a w nim ryzyko RISK FROM CHANGES OF JURISDICTION. Decydując się na korzystanie z szeroko pojętej chmury trzeba być świadomym tego, co może pójść nie tak, z jakim prawdopodobieństwem coś może pójść nie tak i co się stanie, jeśli coś pójdzie nie tak.
@Mariusz: Przez "barierę wyjścia" miałem na myśli nakłady potrzebne na stworzenie "czegoś", co będzie działać dokładnie tak samo, jak nasza "aplikacja w chmurze", jeśli okaże się, że nagle z tej aplikacji w chmurze korzystać z jakiegoś powodu nie możemy. Obejmuje to w zasadzie wszystkie elementy, które wymieniłeś.
@Paweł: A propos informacji do @Amandi - w wypadku Microsoft wskazujesz w którym DataCenter mają być uruchamiane Twoje aplikacje (i przechowywane dane). W wypadku Polski będzie to Dublin i Amsterdam zapewne (jako centrum zapasowe). Ale fakt jest to pewne ryzyko w wypadku może innych rozwiązań.
A jeśli chodzi o "barierę wyjścia" - pewnie nikt nie kalkulował jeszcze tego, ale tak jak pisałem. Aplikacje pisane na chmurze Microsoft (w .NET przy wykorzystaniu SQL Azure) powinny bez większego problemu dać się przenieść do tradycyjnego środowiska. Ale postaram się sprawdzic czy już jakiś takich dokumentów Microsoft nie przygotował.
Dzieki Mariusz za ten interesujacy artykul. Na pewno bylbym w przyszlosci zainteresowany artykulem na temat SLA. Szczegolnie co sie stanie jezeli gwarancje nie zostana dotrzymane ? Jezeli Azure nie bedzie dzialac przez 24h to dostane dodatkowe 24h za darmo czy cos bardziej konkretnego.
Rozumiem, ze uptime jest tak naprawde gwarantowany przez reputacje firmy jak podkresliles w artykule, ale nawet najwiekszym sie zdazaja wpadki. I jako IT manager w takiej sytuacji musze swoim szefom przedstawic, ze SLA oferowane przez dostawce chmury cos znaczy (w zakresie rekompensaty).
Co to znaczy ze Azure jest oferowane w Polsce ? SLA gwarantuje Microsoft Polska ? Service endpoints ida przez polskie serwery ?
Trzecia sprawa, w jaki sposob mozna skorzystac z Azure za darmo, jakie programy oferuje tzw. free tier, 750 pierwszych godzin za darmo etc. MSDN ? Bizspark ? cos jeszcze ? co z tego jest dostepne w Polsce ?
Czwarta sprawa, czy jezeli mam problem z Azure, mam do kogo przedzwonic ? Czy pomoc jest w jezyku polskim ? Czy dodatkowo kosztuje ?
Fundusz Gwarancyjny zapewnia zwrot pieniędzy do określonej kwoty.
Na tej samej zasadzie firmy (w tym MS) dbają o klienta od pewnej kwoty.
Dla użytkowników indywidualnych MS o ile w ogóle udzieli odpowiedzi będzie ona brzmiała typu: nie możemy, nie nasza wina. Jeśli ani jedno ani drugie nie jest wiarygodne to się wszystkie pisma pod ziemię zapadną.
Czy będą kolejne części cyklu o bezpieczeństwie chmur?
@Bartek: Jeśli tylko znajdzie się chwila czasu to na pewno. Obawiam się tylko, że najwcześniej będzie to po MTS 2011.