Šiandien debesijos paslaugų siūlomi saugumo standartai – diskai, įrankiai bendradarbiauti kuriant dokumentus, grafiniai redaktoriai, vaizdo žaidimai ir kt., ypač tų, kuriems reikia prisijungti ir pasiūlyti mokamą prenumeratą – yra aukšti ir nuolat stebimi. Specialistai mumis rūpinasi.Praktiškai „tipiniam“ vartotojui nėra ko jaudintis. Seniai praėjo laikai, kai programa (tuomet vadinta programa) buvo pasitikima tik tada, kai ją buvo galima įdiegti vietoje kompiuteryje ir naudoti „įprastai“, ty neprisijungus. Prie šio mąstymo pasikeitimo labai prisidėjo sparčiojo interneto plitimas. Tuo tarpu informuotumas apie kibernetines grėsmes taip pat išaugo, o normos buvo sugriežtintos siekiant apsaugoti dideles vartotojų mases. Duomenų šifravimas debesyje naudojant 256 bitų algoritmą, „silpniausią“ iš tų, kurių nepaskandina žiaurios jėgos ataka, šiandien jau nieko nestebina. Atvirkščiai, jo nebuvimas gali sukelti vartotojų susidomėjimą.Tačiau internetas tapo toks nepakeičiamas, kad pagrindinius jo veikimo principus palikti specialistams ir susitelkti tik į naudojimą prilygsta spausdintinės spaudos skaitymui nežinant apie Gutenbergo pasiekimus. Todėl verta įgyti pagrindinių žinių apie techninę interneto pusę, net jei neketiname patys konstruoti modernių, skaitmeninių priemonių masinės komunikacijos tarnyboje.
Debesų duomenų šifravimas – lokaliai ar išoriškai?
Pradėkime nuo apibrėžimo. Debesų duomenų šifravimas skirtas užtikrinti, kad mūsų siunčiama ir gaunama informacija nebūtų skaitoma, modifikuojama ar ištrinta neleistinu būdu. Žvelgiant į paprasčiausią jo vidinio veikimo modelį, šifravimą galima paaiškinti taip, kad pradinė duomenų dalis, kurią norime apsaugoti, pirmiausia užkoduojama naudojant pakankamai stiprų kriptografinį algoritmą (variklį) ir unikalų šifravimo raktą. o tada siunčiami ir iššifruojami įgaliotam gavėjui, kuris naudoja unikalų turimą iššifravimo raktą, taip grąžindamas duomenis į pradinę, įskaitomą formą.Paprastai vartotojas net nežino apie tokių raktų egzistavimą. Tiesą sakant, paprastai viskas, ką turime padaryti naudojant komercinius debesies pagrindu veikiančius įrankius, kuriuose naudojamas šifravimas, yra prisijungti prie tokios sistemos kaip įgalioti vartotojai, o šifravimo procesas (failai ir ryšys) prasidės automatiškai. Šis šifravimo / iššifravimo procesas gali skirtis priklausomai nuo to, ar naudojame lokaliai įdiegtą klientą, pvz., naršyklės plėtinį ar programą, ar dirbame tiesiogiai debesyje (be papildinio).Pirmuoju atveju prisijungimo duomenys, pavyzdžiui, slaptažodis, gali būti saugomi arba nesaugomi vietoje (o tada jų naudojimas patvirtinamas dviem veiksniais, pvz., SMS žinute). Kai vartotojas prisijungia, vietinė programa užmezga šifruotą ryšį su serveriu arba užšifruoja duomenis vietoje, o tada siunčia tokių užkoduotų duomenų dalis į serverį ir pateikia juos gavėjui, kuris savo ruožtu gali iššifruoti informaciją vietoje. .Antruoju atveju visas šifravimas ir iššifravimas vyksta tiekėjo serveryje. Vartotojai veikia tik apsaugotos sąsajos lygiu, kuri nepasiekiama arba negali būti aptarnaujama neprisijungus.Akivaizdu, kad abu sprendimai turi savo stipriąsias ir silpnąsias puses. Neprijungiamų sprendimų privalumas yra visiškas vartotojo atleidimas nuo būtinybės rūpintis sistemos saugumu, neskaitant slaptažodžio ir prieigos prie įrenginio – juos galima perimti lengviau nei nuolat stebimą tiekėjo serverį, po to visi. Vietinių programų pranašumas yra išskirtinis vartotojo šifravimo raktų turėjimas. Teoriškai raktai neturėtų būti saugomi tame pačiame egzemplioriuje kaip ir duomenys, ty teikėjo debesyje. Todėl gali būti saugiau saugoti raktus savo įrenginyje (ypač finansinių programų atveju). Deja, gali būti nesąžiningi administratoriai ir kibernetiniai nusikaltėliai.Tačiau kodėl šie ar kiti šifravimo metodai yra tokie svarbūs, nepaisant jų privalumų ir trūkumų? Paprasčiau tariant, taip yra todėl, kad jie vis dėlto yra veiksmingi. Duomenų šifravimas debesyje naudojant patikrintus protokolus (IPsec, TLS ir kitus) yra plačiai pripažinta praktika, o reguliavimo institucijos reikalauja, kad ši praktika būtų taikoma, pvz., reguliuojamiems subjektams ir visur, kur duomenų atskleidimas gali turėti neigiamos įtakos ekonominiam ir nacionaliniam saugumui. . Šifravimas vykdomas pagal Lenkijos finansų priežiūros institucijos rekomendacijas, GDPR ir kitus reglamentus.
Ką iš tikrųjų mums suteikia šifravimas: ginant vientisumą
Pereikime prie mažo spoilerio. Viename iš populiariausių AMC televizijos serialo „Better Call Saul“ epizodų pagrindinis veikėjas Saulius Goodmanas, abejotinos reputacijos ir gana „lankstus“ požiūrio į teisinės valstybės principus teisininkas, bando diskredituoti savo vyresnįjį brolį. sėkmingas teisininkas, dėl etinių priežasčių stojantis Sauliui kelią profesiniams (ir socialiniams) proveržiams. Saulius vykdo planą pavogti brolio vedamoje byloje surinktus popierinius (sic!) dokumentus, o paskui juos kruopščiai apdoroja skalpeliu: pagrindinio kreipimosi dieną keičia skaitmenų tvarką, daro kokybiškas fotokopijas. kad paslėptų pjovimo žymes, o tada padirbtus sudeda vietoje originalų. Dėl operacijos jurisdikcija formaliai atmeta bylą ir klientas patiria nuostolių. Apgavikas išsisuka ir „paslydimas“ meta šešėlį jo brolio karjerai. Saulius sėkmingai trukdo duomenų vientisumui.Šis televizijos pavyzdys puikiai iliustruoja duomenų vientisumo svarbą, kuris šalia konfidencialumo ir prieinamumo yra vadinamosios CŽV triados (konfidencialumas, vientisumas, prieinamumas) dalis. Sauliaus istorija yra visiškai neįtikėtina dabartinėmis sąlygomis (siužetas vyksta 2000-ųjų pradžioje), tačiau šiandien galima įsivaizduoti situaciją, kai paciento medicininiai duomenys surašomi elektroniniu būdu ir patalpinami į debesį be šifravimo. Efektyvus įsilaužėlis gali patekti į tokį debesį, pakeisti pagrindinį dokumentacijos fragmentą – pavyzdžiui, pakeisti diagnozę ir palikti serverį beveik be pėdsakų. Rūpinimasis vientisumu, ty užtikrinti, kad bet kokie duomenys, saugomi faile ar perduodami internetu, jokiu būdu nebūtų modifikuoti pašalinių asmenų, yra viena iš pagrindinių šifravimo funkcijų.
Šifravimas gabenant ir ramybės būsenoje – koks skirtumas?
Tai, kas nutinka jūsų duomenims, kai jie šifruojami, gali būti aprašyta dviem pagrindiniais procesais. Debesų šifravimas ramybės būsenoje taikomas failams, saugomiems serveryje/kliente, kurie šiuo metu neperduodami tinklu arba tarp kliento ir serverio. Savo ruožtu šifravimas perduodamas yra susijęs su ryšio arba duomenų perdavimo tinkle arba tarp kliento ir serverio momentu.Priklausomai nuo debesies veikimo modelio, ramybės būsenos duomenys gali būti saugomi tam skirtoje, užšifruotoje virtualiojo disko vietoje, vietiniame diske arba sukurti vadinamuosius objektus. Antruoju atveju apsauga paprastai apima platesnį komponentų spektrą, pvz., API (ty vietinį platformos komponentą, leidžiantį naudoti tinkle), tinklo ryšį, debesies egzempliorių arba patį teikėjo fizinį diską. Šiuo atveju, bent jau teoriškai, atakos rizika yra didesnė. Tačiau duomenų apsauga yra kova už kompromisus ir čia nėra idealių sprendimų, yra tik praktiški ir… patikrinti.
Saas modelis – kaip šifravimas veikia FORDATA virtualiame duomenų kambaryje
Pereikime prie duomenų šifravimo metodo, naudojamo FORDATA debesyje. Mūsų VDR veikia SaaS modelyje (programinė įranga kaip paslauga). Tai reiškia, kad šifravimas, jo efektyvumas, atnaujinimas ir veikimo garantija yra visiškai mūsų, kaip paslaugų teikėjų, nuožiūra. Klientas atleidžiamas nuo pareigos garantuoti šių komponentų efektyvumą, kai, pavyzdžiui, įkelia saugomus duomenis (pvz., pagal GDPR) į VDR arba prižiūrimų subjektų atveju. Daugiau apie tai, kaip apsaugome failus debesyje, galite perskaityti straipsnyje „Duomenų saugojimas debesyje ir failų sauga“ (Angliška versija).
Išvardinkime svarbiausias duomenų šifravimo FORDATA funkcijas:
Praktiškai tai reiškia, kad FORDATA serveriuose saugomi duomenys (turime fiziškai atskirtą disko skaidinį, kurio kiti serverių patalpos klientai nenaudoja) yra tokie pat saugūs kaip ir elektroninėje banko sąskaitoje saugomos lėšos. Pakanka pasakyti, kad mūsų paslaugomis naudojasi tarptautinės finansų institucijos.Atsakomybė už duomenų šifravimą debesyje tenka mums. Dėl to galite būti tikri, kad jūsų darbas visada atitiks galiojančius ES teisės aktų reikalavimus duomenų apsaugos srityje.