Je Microsoft Azure bezpečný?

  • Article

Nacházíme se v období, kdy cloudové technologie představují pro firmy stále častěji zajímavou cestu, jak rozšířit a transformovat své IT. Spolu s tím vyvstávají mimo jiné i otázky spojené s bezpečností: „Je v pořádku, když má data opustí bezpečí serverovny a přesunou se do cizího datacentra? Co dělá poskytovatel pro to, aby se nedostala do nepravých rukou?“ Pojďme nahlédnout pod pokličku Microsoftu, konkrétně jeho platformě Microsoft Azure.

Bezpečnost uvnitř

Platforma Microsoft Azure je multitenantní a poskytuje zázemí pro aplikace a servery milionů zákazníků. Stovky milionů aktivních virtuálních strojů jsou rozděleny do více než 80 datacenter rozmístěných do geografických regionů po celém světě. Cloudové služby Microsoftu denně odolávají nejrůznějším kybernetickým útokům, proto je nezbytné, aby byly postaveny na robustní architektuře s trvalým dohledem operačních center.

Základním prvkem jsou lidé. Setkáváme se s přesvědčením, že jakýkoliv zaměstnanec Microsoftu se může podívat na data zákazníka a třeba mu pomoci s jeho problémem. To je omyl – administrátoři datacentra jsou speciálně vyškolení pracovníci, mají osobní prověrky, musí používat autentizaci osobní čipovou kartou a nemají globální přístup k datům zákazníků. Každý vystupuje v systému pod svým jménem a všechny operace se logují pro potřeby auditu.

Technologie

Srdce každého technologického nadšence zaplesá, když se začne nořit hlouběji do technických detailů fungování datacenter. Microsoft má v oblasti virtualizace léta zkušeností a v Azure je zužitkoval naplno. Klíčovým konceptem je absolutní izolace. Na fyzických serverech běží hostující operační systém ořezaný až na hypervizor a nad ním se vytváří virtuální stroje zákazníků. Hostující OS je od svých hostů oddělen a jednotliví hosté jsou izolováni od sebe navzájem. Jako večírek by to nebylo moc zajímavé, ale z hlediska bezpečnosti je toto uspořádání nedocenitelné.

image

Veškerá komunikace uvnitř datacenter a mezi geografickými lokalitami je šifrovaná , každý hostující operační systém je navíc vybaven filtry paketů, takže se nemůže stát, že by virtuální stroje zákazníků aktivně zachytávaly komunikaci, která jim není určena.

Azure přiděluje pouze nezbytně nutná oprávnění a drží se tak osvědčené bezpečnostní praktiky „least privilege access“. Zákazníci například nemají administrátorský přístup k virtuálním strojům a platformní aplikace ve výchozím nastavení běží v režimu omezených práv.

Z vod internetu jsou zdroje v Azure přístupné pouze prostřednictvím veřejné adresy (a DNS jména), za kterou je load-balancer, jenž směruje požadavky na správná místa a zároveň dokáže rozpoznat útok DDoS. Pokud to výslovně nedovolíte, není žádný virtuální stroj přímo adresovatelný z internetu.

IaaS (Infrastructure as a Service) však tvoří i přes svou oblíbenost pouze zlomek nabídky služeb Microsoft Azure. Platformní část (PaaS, Platform as a Service) je rozsáhlejší a zabezpečení je doslova zabetonováno do jejích základů. Například SQL Server hostovaný jako služba je v základu vybaven firewallem, jenž nedovolí žádné připojení zvenku – jako správce musíte explicitně stanovit rozsahy IP adres, které k němu budou mít přístup. Díky technologiím jako „data masking“ a „row-level security“ nemusíte spoléhat, že aplikace konzumující data se správně postará o zabezpečení citlivých údajů, protože je dostane již maskované nebo dokonce zašifrované. Nedílnou součástí je také auditování až na úroveň záznamu jednotlivých dotazů na databázi, takže je dílem okamžiku podívat se, co se s daty dělo.

Penetrační testy, DDoS

Ochrana před útoky DDoS (Distributed Denial of Service) je přirozenou součástí řízení a monitoringu infrastruktury Azure. Systém je navržen nejen pro ochranu před útoky zvenčí, ale také zevnitř. Microsoft provádí pravidelné penetrační testování a dokonce má vlastní týmy, které se snaží zabezpečení systému prorazit. Na základě těchto testů se pak vylepšují interní procesy a technologie.

Zákazníci mohou na svých aplikacích vyzkoušet penetrační testy také, ale nejprve musí zažádat o povolení. Takový test totiž může být nerozeznatelný od skutečného útoku a pravděpodobně bude neúspěšný, neboť jej infrastruktura zarazí.

Důvěra a ochrana soukromí

Ochrana před útoky zvenku je jedna věc, důvěra ve spolehlivost poskytovatele pak druhá. Microsoft si uvědomuje, že pro zákazníky je velmi důležité vědět, že jejich data jsou používána pouze k deklarovaným účelům a že je nepoužívá ke komerčním účelům bez jejich výslovného souhlasu, proto přijal jako první globální poskytovatel cloudových služeb podmínky ochrany soukromí ISO 27018. Co to prakticky znamená?

Certifikát například vyžaduje, že poskytovatel služby bude zpracovávat osobní údaje v cloudu pouze k účelům, k nimž dal uživatel explicitní souhlas. Zároveň musí poskytovatel dát možnost vrátit uživatelům jejich data nebo je přesunout k jinému poskytovateli, a nakonec je bezpečně vymazat v garantované lhůtě. A pokud dojde na nutnost vydat osobní údaje uživatelů třetím stranám, tak pouze na základě závazných požadavků (tj. např. soudní příkaz) a uživatele o tom vždy co nejdříve informovat. Žádné skenování dokumentů za účelem personalizace reklamy!

Certifikace

Podobně jako techničtí specialisté absolvují certifikační zkoušky, aby prokázali, že jsou odborníky na danou oblast, procházejí cloudové služby pravidelnými audity, kde se prověřuje, zda splňují požadavky na ně kladené. Díky certifikacím nemusí zákazníci testovat cloudové služby sami, protože to již udělala důvěryhodná autorita.

Microsoft Azure splňuje náročné podmínky různých mezinárodních certifikací a kdybychom je měli vyjmenovávat, nebude nám stačit virtuální papír. Proto se podíváme jen na některé.

image

Certifikát ISO 27001 potvrzuje, že Microsoft zavedl mezinárodně uznávané kontrolní mechanismy pro řízení bezpečnosti informací. Společně s 27001 probíhá od února 2015 také audit standardu ISO 27018 na ochranu soukromí v cloudových službách. Azure také splňuje podmínky 1. úrovně certifikátu DSS (Data Security Standards) od organizace PCI (Payment Card Industry), což je globální certifikační standard pro organizace, které přijímají většinu platebních karet a ukládají, zpracovávají nebo přenášejí údaje držitelů platebních karet.

Je potřeba mít na paměti, že konkrétní aplikace zákazníků si musí vždy ošetřit vyhovění patřičným zákonným požadavkům na své straně. Certifikace Microsoft Azure spolu s dalšími bezpečnostními mechanismy jdou často ještě nad rámec zákonů a platforma je tak vhodná i pro citlivé aplikace.

Lokalita

Co když si nepřejete, aby vaše data opustila Evropskou unii? Azure umožňuje u většiny služeb zvolit, kde na světě budou data uložena, a Microsoft zaručuje, že „data at rest“ danou geografickou oblast neopustí. Pro EU byste zvolili North nebo East Europe a máte jistotu, že tam zůstanou.

Antiviry a další

Dosud jsme se zabývali ochrannými prvky, které poskytuje platforma a o které se jako zákazník nemusíte starat. Pokud byste ale chtěli přidat další úroveň a nasadit do virtuálního stroje třeba antivirus nebo do sítě zapojit vlastní firewall (například od Barracudy), Azure má vlastní virtuální obchod, do něhož mohou partneři publikovat svá řešení a prodávat je zákazníkům prostřednictvím distribuční a účtovací sítě Microsoftu.

image

Kromě firewallů, VPN a dalších bezpečnostních prvků tam najdete i kompletní informační systémy připravené na jedno kliknutí.

Transparentnost

Detailnější informace najdete na stránkách Trust Center (https://azure.com/trustcenter) Microsoft Azure, kde jsou neustále aktualizovaná pravidla bezpečnosti a ochrany soukromí.

Martin Šimeček