UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE

UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE 2013 Tomáš ZACH

UNICORN COLLEGE Katedra informačních technologií BAKALÁŘSKÁ PRÁCE Cloud computing, jeho využití a dopad na korporátní prostředí Autor BP: Tomáš Zach Vedoucí BP: Ing. Tomáš Kroček 2013 Praha

Vzor: ZADÁNÍ BAKALÁŘSKÉ PRÁCE originál, kopie originálu, naskenovaná podoba dle jednotlivých prací (originál, 2 x kopie, elektronická verze)

Čestné prohlášení Prohlašuji, že jsem svou bakalářskou práci na téma Cloud computing, jeho využití a dopad na korporátní prostředí vypracoval samostatně pod vedením vedoucího bakalářské práce a s použitím výhradně odborné literatury a dalších informačních zdrojů, které jsou v práci citovány a jsou také uvedeny v seznamu literatury a použitých zdrojů. Jako autor této bakalářské práce dále prohlašuji, že v souvislosti s jejím vytvořením jsem neporušil autorská práva třetích osob a jsem si plně vědom následků porušení ustanovení 11 a následujících autorského zákona č. 121/2000 Sb. V Praze dne 7. 8. 2013. (Tomáš Zach)

Poděkování Děkuji vedoucímu bakalářské práce Ing. Tomáši Kročkovi za účinnou metodickou, pedagogickou a odbornou pomoc a další cenné rady při zpracování mé bakalářské práce.

Cloud computing, jeho využití a dopad na korporátní prostředí Cloud computing, implementation and impact in the corporate environment 6

Abstrakt Cílem bakalářské práce je vysvětlení v současnosti velmi populární problematiky technologie cloud computingu a její využití v prostředí malých, středních a velkých organizací a firem. Po osvětlení základní problematiky bychom se postupně zaměřili na konkrétní typy cloudů - IaaS, PaaS, SaaS atd. a jejich možná využití ve firemním prostředí. Zaměříme se na jednotlivá úskalí legislativního či technického charakteru a vyhodnotíme možné přínosy, rizika apod. Průzkumem trhu a jeho rozborem se pokusíme identifikovat největší možné hráče a pokusíme se odhadnout budoucí vývoj. Klíčová slova: cloud, cloud computing, enterprise, SaaS, PaaS, IaaS, virtualizace, dostupnost, škálovatelnost Abstract What I would like to achieve in this bachelor thesis is explanation of nowadays very popular cloud computing technology and problematic around that. I will have a look at how it can be used in wide range of companies, starting with small offices towards large enterprises. Once I've gone through the basics I will explain differences among various cloud types IaaS, PaaS, SaaS etc. and how each and every one can be used in the corporate environment. While looking at difficulties legislative or technical nature I will assess possible pros and cons, risks etc. Another part would be dedicated to a market research where I will identify largest players in there and I will try to depict the possible future development. Keywords: cloud, cloud computing, enterprise, SaaS, PaaS, IaaS, virtualization, availability, scalability 7

OBSAH 1. Úvod 10 2. Teorie cloud computingu 11 2.1 Historie 11 2.2 Definice 11 2.3 Standardy 14 2.4 Rozdělení mraků 17 2.4.1 Dle umístění - Privátní, veřejné, hybridní, komunitní 18 2.4.2 Dle servisního modelu - SaaS, PaaS, IaaS, XaaS 19 3. Dopad na korporátní prostředí 22 4. Bezpečnost cloudu a bezpečnost v cloudu 24 4.1 Fyzické zabezpečení datových center 24 4.2 Zabezpečení dat v cloudu 26 4.3 Kontrola rizik 27 5. Data v cloudu 30 5.1 Vlastnictví 30 5.2 Uchovávání 32 5.3 Přenositelnost 32 6. Výkon 35 6.1 Kapacita, elasticita 36 6.2 Dostupnost, spolehlivost 36 7. Legislativní dopady 38 8

7.1 Fyzické umístění 38 7.2 Důvěrnost 39 8. Ekonomické dopady 41 9. Možné trendy v horizontu několika následujících let 43 10. Závěr 48 11. Conclusion 50 12. Seznam použité literatury 52 13. Seznam použitých symbolů a zkratek 54 14. Seznam obrázků 55 9

1. ÚVOD Cílem této práce je poskytnout kompletní a komplexní pohled na problematiku cloud computingu. Snahou je poskytnout čtenáři nejen shrnutí teoretických poznatků, ale hlavně rozbor různých technologických, bezpečnostních a právních aspektů, upozornit na možné výhody a rizika, která jsou s používáním této technologie spojená. Práce si neklade za cíl kompletní mapování dostupných poskytovatelů cloud služeb a jejich technologií. Zabývám se pouze vybranými lídry trhu a analýzou jejich služeb. Na základě těchto informací se, v závěrečné části práce, pokusím o shrnutí dosavadních poznatků a následnému možnému odhadu budoucího vývoje. 10

2. TEORIE CLOUD COMPUTINGU 2.1 Historie Cloud Computing, jeden z nejvýznamnějších trendů v informačních technologiích několika posledních let, má ve skutečnosti již poměrně dlouhou historii. Poprvé byla základní myšlenka principů cloud computingu zmíněna v řeči u příležitosti oslav 100 let university MIT v roce 1961. Profesor John McCarthy tehdy předpověděl, že sdílení počítačových prostředků více uživateli by v budoucnu mohlo vést k obchodnímu modelu, kde by výpočetní výkon a dokonce jednotlivé aplikace bylo možné prodávat tak, jako elektřinu, plyn, vodu apod. Tato myšlenka, jakkoliv v té době populární, byla postupně opuštěna, neboť tehdejší hardwarové, softwarové a především telekomunikační technologie nebyly na tento model připraveny. Znovu byla oživena kolem roku 2000, především díky prudkému rozvoji Internetu. Název Cloud, v češtině znamenající Mrak, byl převzat od telekomunikačních společností, kde byl používán k vyobrazení telekomunikační sítě. Obrázek 1: Historie Cloud Computingu Zdroj: http://doi.ieeecomputersociety.org Prudký rozvoj dalšího z moderních trendů IT, virtualizace, vede k rychlému rozvoji a masovému nasazení cloud computingu. 2.2 Definice 11

Cloud computing je velmi často skloňován zejména IT manažery velkých společností. Tento termín nalezneme na nespočetných místech, při čtení různých IT webových portálů, v odborných diskusích, je to i časté téma odborných konferencí. Nicméně každý má trochu jinou představu, co cloud computing vlastně je, jaké jsou jeho charakteristické rysy apod. Též různé organizace nabízí různé definice, které již tak nejednotné představy dále komplikují. V této práci použiji zřejmě nejrozšířenější definici Národního institutu pro normalizaci a standardy (NIST) Spojených státu amerických. Ačkoliv je cloud computing ve své podstatě stále se rozvíjející model poskytování IT služeb, NIST definice je přesná, pokud jde o popis současných řešení, která IT dodavatelé služeb poskytují. Cloud computing je vnímán nejen jako další krok ve vývoji výpočetní techniky, ale zároveň je to efektivní způsob snižování nákladů, zrychlení zavádění nových technologií a přesun odpovědnosti za IT služby z firmy na poskytovatele. Definice NIST je nejčastěji používána odbornou veřejností. Obecně lze cloud computing charakterizovat jako službu poskytovanou na vyžádání. Místo nákupu výkonné pracovní stanice, serveru případně celé farmy lze zakoupit pouze konkrétní službu, která dané požadavky uspokojí. Může se jednat o zakoupení výpočetního výkonu, úložného prostoru případně konkrétní aplikace a tak dále. Firmě odpadají starosti s údržbou a náklady s provozováním takové služby spojené. Ve většině případů je finanční model nastaven tak, že firmy platí pouze za spotřebované zdroje. Naopak pro poskytovatele služby takový model přináší výhodu, kde volné prostředky mohou pronajmout někomu jinému. Na obrázku číslo 2 je vyobrazeno pět základních charakteristik cloud computingu. Služba na vyžádání - Uživatel má možnost v případě potřeby využít výpočetní prostředky, typicky procesorový čas nebo datové úložiště bez nutnosti interakce s poskytovatelem cloudové služby. Neomezený přístup po síti Služba poskytována v cloudu je běžně dostupná přes síťové připojení prostřednictvím mechanismů, umožňujících použití tenkých nebo tlustých klientů. Sdílení zdrojů Poskytovatel cloudových služeb pronajímá své výpočetní prostředky více klientům a je schopen tyto prostředky dynamicky přiřazovat na základě jejich 12

potřeb. Vysoká úroveň abstrakce služby má za následek, že služba je poskytována bez ohledu na fyzické umístění výpočetních prostředků. Vysoká elasticita Služba, poskytovaná cloudem, může alokovat více prostředků nebo je naopak uvolnit, v některých případech automaticky, aby byla schopná reagovat na proměnné požadavky klienta. Ze strany klienta se pak služba jeví jako neomezená. Měřitelnost služby Systémy cloudu automaticky kontrolují a optimalizují využívané výpočetní prostředky. Tyto mohou být monitorovány a na základě reportů poskytují transparentní informaci o využívání služby pro poskytovatele i klienta. Obrázek 2: Pět hlavních znaků cloud computingu Zdroj: http://www.atkearney.com/ideas-insights 13

Ještě bych krátce zmínil definici společnosti Gartner Research, která se zabývá výzkumem a analýzou technologického trhu. 1 Obrázek 3: Šest atributů cloud computingu dle Gartner Research Zdroj: http://www.cloudbzz.com/gartner-6-attributes-of-cloud-computing/ 2.3 Standardy V roce 2012 byla otázka bezpečnosti dat zřejmě největší překážkou pro firmy, které uvažovaly o implementaci cloudových řešení. Jak se tento problém postupně zmenšuje, tak se naopak ukazuje problém chybějících standardů a tím i jejich dodržování. Zatímco například Internet je z tohoto pohledu spravován organizací IETF, fragmentace cloud computing standardů je zatím příliš veliká. V zásadě máme dva hlavní proudy, které se snaží o standardizaci. Na jedné straně jsou to poskytovatelé cloudových služeb, kteří chtějí svým potenciálním zákazníkům nabídnout transparentní prostředí z hlediska bezpečnosti a na straně druhé jsou to sami zákazníci, kteří se chtějí ujistit o kvalitě poskytované služby a být schopni provést objektivní srovnání jednotlivých poskytovatelů. 1 Attributes of Cloud Services. Gartner [online]. [cit. 2013-08-08]. Dostupné z: http://www.gartner.com/newsroom/id/1035013 14

Díky tomu, že cloud je stále ještě mladý trend, navíc velmi dynamicky se rozvíjející, je snaha o jeho standardizaci zřejmě ještě komplikovanější než jednoznačná definice. Tuto snahu je v tento okamžik možné rozdělit do tří skupin. Standardy pro vývojáře Stejně tak jako při vývoji softwaru i na poli cloudových platforem probíhá boj zejména mezi proprietárními vývojovými nástroji (API) a jejich variant z rodiny Open- Source. Mezi některé nejvýznamnější hráče patří: - AWS API http://aws.amazon.com/documentation/ - OpenStack http://www.openstack.org/ - CloudStack http://cloudstack.apache.org/ - Eucalyptus http://www.eucalyptus.com/ - VMware vcloud http://www.vmware.com/support/pubs/sdk_pubs.html - OpenNebula http://opennebula.org/ Každá tato organizace, případně skupina organizací a firem, se snaží prosadit svůj pohled na cloud platformu a její správu, rozšiřování, práci s daty, interakci s okolním prostředím a tak dále. Standardizace na tomto poli bude mít zásadní vliv na rozvoj cloud computingu a jeho budoucí formu a vlastnosti. Preskriptivní standardy jsou snahou o konfiguraci cloud computing prostředí dle doporučených postupů tak, aby usnadnily vzájemnou komunikaci a zejména zjednodušily migraci podnikových aplikací do cloudového prostředí. Ve své podstatě se zase tak moc neliší od současných standardů implementovaných v rámci podnikových prostředí. Jde v podstatě o jakousi adaptabilitu na prostředí cloudu. Cloud computing totiž z hlediska poskytování určité služby znamená pouze změnu modelu poskytování a nikoliv architektury služby jako takové. Příkladem lze uvést e-mail, který ve firemním nebo cloudovém prostředí stále závisí na standardních protokolech SMTP, IMAP, POP atd., přístup k webovým aplikacím je zprostředkován pomocí http a služby případně zdroje jako takové vyhledávány pomocí DNS. Lze však nalézt určité aspekty, které jsou nové a je potřeba současné standardy upravit, rozšířit tak, aby zahrnovaly 15

právě cloud computing. Příkladem lze uvést standardy pro distribuovanou autentizaci OAuth nebo administraci, řízení, reportování a kontrolu distribuovaných systémů velkého rozsahu apod. Certifikační standardy Zatímco preskriptivní standardy říkají, jak by něco mělo být nastaveno, certifikační standardy by měly být schopné vyhodnotit, do jaké míry je tato konfigurace ve shodě s konkrétním standardem, případně doporučeným postupem. Na základě těchto faktů bychom měli být schopni měřit, do jaké míry poskytovatel konkrétní standardy splňuje a zejména porovnat poskytovatele mezi sebou navzájem a určit tak nejlepší variantu pro konkrétní firmu a její aplikaci. Příkladem budiž jednoduchý pohled na CPU. Poskytovatelé vytvořili z hlediska cloudu vlastní ekvivalenty. Amazon Web Services používá Elastic Compute Unit, Google svou Google Compute Engine Unit a Microsoft Azure takt procesorů. Mezi klíčové oblasti IT, které je nutné při výběru poskytovatele vyhodnotit, patří zabezpečení, přenositelnost, interakce, vytváření a správa dalších zdrojů. Pro účely standardizace cloud computing prostředí se utvořilo několik aliancí sdružujících přední poskytovatele trhu, ale i zástupce z pohledu uživatelského. Společně se prezentují jako Cloud Standards Council a svoji práci prezentují na webových stránkách http://cloud-standards.org. Jedním z prvních dokončených standardů je standard pro snadnou a bezpečnou distribuci software pro běh na virtuálních strojích Open Virtualization Format (OVF). Tento standard byl jako první přijat standardizačními organizacemi ANSI a též ISO. Největšího pokroku bylo dosaženo v oblasti bezpečnosti, zejména díky organizacím sdruženým v Cloud Security Alliance. Ti tak nabízejí mnoho užitečných zdrojů a pomůcek, z nichž mnohé jsou považovány v podstatě za standard. Cloud Controls Matrix (CCM) je souborem doporučených postupů v oblasti bezpečnosti, koordinovaný s dalšími bezpečnostními standardy jako je ISO27001, COBIT, HIPAA apod. Dalším užitečným zdrojem informací je Security, Trust and Assurance Registry, který 16

obsahuje odpovědi na klíčové otázky CCM od předních poskytovatelů včetně společností Amazon, Microsoft, Box.com apod. Bohužel však nebylo takového pokroku dosaženo v ostatních doménách. Z toho důvodu nebylo ještě mnoho společností schopno učinit volbu, kvalifikované rozhodnutí a problém standardizace tak přetrvává i v průběhu roku 2013. 2.4 Rozdělení mraků Národního institut pro normalizaci a standardy, na základě definice cloud computingu, rozděluje mraky dle dvou základních kategorií modelu nasazení a servisního modelu. 2 V následujících podkapitolách obě rozdělení popíši detailněji. Obrázek 4: NIST definice 2 MELL, Peter a Timothy GRANCE. The NIST Definition of Cloud Computing. In: [online]. [cit. 2012-05- 17]. Dostupné z: http://csrc.nist.gov/publications/nistpubs/800-145/sp800-145.pdf 17

2.4.1 Dle umístění - Privátní, veřejné, hybridní, komunitní Privátní cloud je zpravidla realizován pomocí technologií umístěných v sídle konkrétní společnosti. Teoreticky se jedná o podobný přístup jako u typického provozování interní infrastruktury. Rozdíl je pak ve způsobu poskytování zdrojů a služeb. Zpravidla pomocí virtualizačních nástrojů dosahujeme funkcionality, která splňuje charakteristiky cloud v definici NIST. Prostředky takto využívané jsou přístupné pouze společnosti, která privátní cloud provozuje. Privátní cloud může být umístěn i v prostorách poskytovatele cloudových služeb, je však striktně oddělen od ostatních výpočetních zdrojů a poskytován jen jednomu klientovi, odběrateli služby. Naproti tomu veřejný cloud je modelem veřejným, kde cloudových zdrojů zpravidla vyžívá vícero zákazníků na základě smluvních podmínek s poskytovatelem cloudových služeb (CSP). Komunitní cloud je ve své podstatě cloudem privátním s tím rozdílem, že je sdílen v rámci uskupené komunity společností. Hlavním důvodem pro existenci cloudu tohoto typu je efektivnější využívání zdrojů a optimalizace finančních nákladů. Hybridní cloud je kombinací některých z výše popsaných modelů. 18

2.4.2 Dle servisního modelu - SaaS, PaaS, IaaS, XaaS Obrázek 5: Vrstvy modelů a změna vlastnictví Zdroj: http://thebpmfreak.wordpress.com/category/cloud/ Než přistoupím k popisu jednotlivých servisních modelů, podíváme se na tradiční pojetí IT, tak jak je chápáno v dnešní době. V tradičním pojetí IT jsou všechny komponenty výpočetní infrastruktury umístěny v prostorách k tomu určených každé konkrétní společnosti. Správa je kompletně v rukou vnitrofiremního IT a to na všech úrovních od síťové až po aplikační vrstvu tak, jak je znázorněno na obrázku. S rostoucím tempem vývoje technologií rostou velmi rychle i nároky na vnitropodnikové IT. Částečným řešením a jakýmsi mezistupněm je pro některé společnosti outsourcing některých IT služeb, neboť outsourcingové společnosti zpravidla disponují specializovanými odborníky a jsou lépe schopny tyto odborníky dále vzdělávat v zájmu udržení vysoké kvality služeb než společnosti, jejichž hlavním předmětem podnikání jsou činnosti, které s IT nemají nic společného. S rychlým rozvojem Internetu a dostupných WAN technologií se pak nabízí otázka umístění výpočetní in- 19

frastruktury přímo u outsourcingového partnera za účelem dalšího zkvalitnění poskytovaných služeb. Začíná tak transformace outsourcingových partnerů na poskytovatele cloudových řešení (CSP). Infrastructure as a Service (IaaS) představuje nejjednodušší formu cloud computingových služeb. Zákazník si v tomto případě pronajímá infrastrukturu potřebnou pro provoz konkrétní aplikace a péči o potřebný hardware přenáší na poskytovatele služeb. Zpravidla dostává k dispozici virtualizovaný stroj, na který následně pouze instaluje komponenty nutné pro běh vlastní aplikace. Morální zastarávání komponent, redundantnost prvků, plánování dostatečné kapacity, zálohování, zabezpečení na úrovni OS a vlastní chod infrastruktury společně s nutnou personální zátěží tak dostává na starost CSP. Zákazník tímto snižuje komplexnost vlastního IT prostředí a teoreticky zvyšuje efektivitu využití IT prostředků. Typickými poskytovatelem služeb této úrovně je Amazon Elastic Compute Cloud (EC2). Platform as a Service (PaaS) je z pohledu zákazníka jakousi další úrovní abstrakce IT vrstev. CSP poskytovatel v rámci svého cloudu nabízí určitou platformu, kterou poté klient může dále uzpůsobovat svým potřebám. V tomto případě je zodpovědnost za chod další části infrastruktury přesunuta ze zákazníka na poskytovatele služeb. Typickými službami PaaS jsou web hostingové služby případně vývojářské portály kde zákazník pouze nasadí svou aplikaci. Příkladem mohou být třeba platforma Windows Azure nebo Google App Engine. V Software as a Service (SaaS) modelu je kompletní správa infrastruktury v rukou poskytovatele služeb a zákazníkovi je určitá aplikace poskytována jako služba. Z pohledu zákazníka tak mizí potřeba se jakkoliv starat o chod aplikace či IT infrastruktury a pouze danou službu užívá dle podmínek specifikovaných ve smlouvě o poskytování služeb případně doplňkových smluv typu SLA apod. Nejznámějšími poskytovateli SaaS služeb je například Google se svou e- mailovou aplikací Gmail, Microsoft nabízející online kancelářský balík Office prostřednictvím služeb Office 365 nebo portál Salesforce.com, který je dodavatelem komplexního CRM řešení. 20

V odborné literatuře nebo na Internetu se lze poměrně často setkat s dalšími modely poskytování cloudových služeb například Computing as a Service (Verizon), Security as a Service (McAfee), Desktop as a Service(Dell) atd. Ty jsou ale z pohledu definice NIST pouze podmnožinou definovaných servisních modelů. Někdy se též používá souhrnné označení Everything as a Service (XaaS). Obrázek 6: Poskytovatelé služeb dle servisního modelu Zdroj: Vlastní zpracování 21

3. DOPAD NA KORPORÁTNÍ PROSTŘEDÍ Ačkoliv je cloud computing ve své podstatě jen dalším evolučním krokem v poskytování výpočetního výkonu a služeb, mnohé firmy jsou k tomuto modelu stále skeptické a nasazení buď vůbec neplánují, nebo stále vyčkávají, jakým směrem se bude ubírat budoucí vývoj. 3 Obrázek 7: Evoluce cloudu On Premise Hosting Outsourced Cloud Zdroj: Vlastní zpracování S každým krokem bylo nutné provést určitá opatření, analýzu výhod a rizik, přizpůsobení používaní vlastního IT, ale v konečném důsledku došlo ke zlepšení. Firmy si uvědomují komplexitu jejich vlastního IT a náklady s tím spojené. Na druhou stranu se obávájí rizik nových, která s sebou cloud computing přináší. Na jednotlivé aspekty cloud computingu se podíváme v následujících kapitolách. V následujících dvou grafikách je uveden výčet důvodů, proč firmy zvažují implementaci cloud computing řešení a naopak proč tak ještě neučinily. 3 SOSINSKY, Barrie. Cloud Computing Bible. United States : Wiley, 2011. 528 s. ISBN 978-0470903568 22

Obrázek 8: Hlavní důvody pro implementaci cloudových řešení Zdroj: CIO Global Cloud Computing Adoption Survey, January 2011 Obrázek 9: Klíčové rizikové faktory cloud computingu Zdroj: http://robiulislam.wordpress.com/2011/12/28/cloud-computing-security/ 23

4. BEZPEČNOST CLOUDU A BEZPEČNOST V CLOUDU 4.1 Fyzické zabezpečení datových center Lze bez větší nadsázky říci, že mnoho firem do svých serverových místností neinvestuje takové prostředky, jaké by byly potřeba. Důsledkem takového počínání je ve své podstatě hazard s vlastními daty ačkoliv téměř každý IT manažer či CIO bude klást na bezpečnost dat největší důraz. V mnohých případech firmy, zejména menší a střední, ani nemají vyhrazené prostory pro své servery. Ve zbylých případech jsou tyto místnosti nedostatečně vybaveny z hlediska chladicích systémů, protipožárních zařízení, redundancí napájení, zabezpečení přístupu atd. O redundanci všech prvků firemní IT infrastruktury, zálohování včetně umístění záloh mimo prostory firmy, DRP plánů apod. ani není třeba hovořit. Příčinou zdaleka není jen nedůslednost admistrátorů nebo jejich vedení, ale v naprosté většině nedostatek volných finančních prostředků, které jsou nezbytné, abychom mohli všechny tyto aspekty vyřešit. Obrázek níže ilustruje extrémní, nikoliv však ojedinělý případ, jak takové serverovny mohou vypadat. Bezpečnost dat je v takovém případě z hlediska fyzického zabezpečení v podstatě jen iluze. Obrázek 10: Firemní IT jak by nemělo vypadat Zdroj: http://www.cisco.com/ 24

Naproti tomu cloudové služby bývají provozovány ve velkých datových centrech, navíc často geograficky oddělených. Provozní a technické parametry tak bývají diametrálně odlišné od toho, co si soukromé společnosti mohou dovolit. Prostory datového centra bývají velmi dobře zabezpečené proti neoprávněnému přístupu cizích osob, ale i interních zaměstnanců. Biometrická dvou-faktorová autentizace, kamerový systém v celém objektu nebo měsíční audity přístupů jsou jen neúplným výčtem bezpečnostních prvků v datových centrech implementovaných. V rámci celé infrastruktury je kladen důraz na redundanci prvků - napájení, chlazení, konektivita, datová úložiště i jednotlivé servery. Protipožární opatření jsou samozřejmostí. Jedině tak mohou poskytovatelé garantovat vysokou dostupnost služby v SLA smlouvách. Například Windows Azure Cloud Service provozovaný firmou Microsoft je tak schopen garantovat dostupnost více než 99,95%, kalkulováno měsíčně. 4 Obrázek 11: Datacentrum Google Zdroj: http://images.google.com 4 Cloud Services, Virtual Machines and Virtual Network SLA. Microsoft [online]. [cit. 2013-08-08]. Dostupné z: http://www.microsoft.com/windowsazure/sla/ 25

4.2 Zabezpečení dat v cloudu Základním problémem umístění dat v cloudu je tak zejména bezpečnost dat samých. Dochází zde totiž k určitému přenesení odpovědnosti za data z vlastníka dat na poskytovatele cloudových služeb. Na jednu stranu se jedná o výhodu, neboť dochází ke snížení nákladů na bezpečnost dat na straně vlastníka a zároveň zvyšuje kvalitu. Na straně druhé se jedná o bezpečnostní riziko, které je třeba nějakým způsobem vyhodnotit. Ačkoliv lze říci, že požadavky na bezpečnost bývají velmi individuální, v zásadě se vše odvíjí od obchodní činnosti společnosti a tomu, jaký by případný bezpečnostní incident mohl mít dopad na její chod. Velmi důležitou úlohou při rozhodování o cloudovém řešení je analýza rizik a zejména pak klasifikace dat. Jedině tak bude možno určit, která data mají být migrována či nikoliv a případný dopad na kompromitaci, eventuálně ztrátu těchto dat. Následně je teprve možné přistoupit k výběru vhodného poskytovatele a samotnou migraci dat. Jakkoliv minimalizována bezpečnostní rizika mohou být, existují nejméně dva faktory, které v praxi již několikrát ukázaly, že žádné nástroje nejsou dostatečné. Jedná se o lidský faktor a neočekávané události ve smyslu přírodních katastrof. Jednoznačnou chybou lidského faktoru budiž příklad z roku 2011, kdy programátoři služby Dropbox aktualizovali autentizační mechanismus a v následujících několika hodinách bylo možné přistupovat k jakémukoliv účtu bez nutnosti znát heslo. Ačkoliv zřejmě k úniku dat nedošlo, není těžké si představit, že v případě úniku firemních citlivých dat by následky mohly být nedozírné. Jiným příkladem je situace z června roku 2012, kdy díky silným bouřím v USA došlo k výpadku napájení několika datových center a tato situace měla přímý dopad na dostupnost služeb poskytovaných firmou Amazon, Amazon Web Services. Zde lze dojít k relativně mylnému závěru, že cloudové služby nelze považovat za bezpečné a dostatečně stabilní. Je nutné si ovšem položit otázku, zda vlastní IT infrastruktura nabízí vůči působení takových faktorů lepší zabezpečení než Amazon či Dropbox. 26

Jediným jednoznačným závěrem, který lze učinit, tak je, že kritická data by měla zůstat ve firmě, případně v privátním cloudu. 4.3 Kontrola rizik Většina poskytovatelů cloudových služeb se prezentují jako maximálně bezpeční, ale ve valné většině případů toto nelze ověřit nebo jen velmi těžko. Je tedy lépe předpokládat, že tomu tak není a data jsou tak do jisté míry exponována různým hackerským útokům či neautorizovanému sběru dat. Ačkoliv se přesunem dat do cloudu také přesouvá zodpovědnost za bezpečnost těchto dat, definování požadované úrovně bezpečnosti a kontrola jejího dodržování zůstává na vlastníkovi dat respektive jeho IT oddělení. Některá rizika cloud computingu jsou velmi podobná jako u hostingu případně outsourcingu, zejména fakt, že data jsou v rukou třetí strany, jiná jsou specifická pro cloud. Kontrolu rizik je tak třeba pojmout komplexně a nastavit celou sadu procesů, které vedou k účinné kontrole možných hrozeb. 5 Spravování identit a kontrola přístupu musí zajistit, aby k aplikacím a datům přistupoval jen ten, kdo k nim má mít přístup (autentizace) a měl pouze taková práva, která jsou k jeho práci nezbytná (autorizace). Systém spravování identit toto umožňuje skrze striktně definované přístupové role a k nim přidělená práva. DLP systém je vhodným nástrojem, který aktivně vynucuje nastavené politiky a umožní monitorování potenciálně nežádoucích aktivit. Komunikace s cloudem musí být šifrována v závislosti na použité metodě přístupu. Vzdálený přístup uživatelů lze realizovat pomocí virtuální privátní sítě. V případě přistupování k datům z mobilních zařízení je nutné též zajistit také tyto zařízení, šifrováním koncových zařízení, možnost vzdáleného vymazání v případě krádeže či ztráty. 5 ERIC BAUER, Randee Adams. Reliability and availability of cloud computing. Piscataway, NJ: IEEE Press. ISBN 11-181-7701-0. 27

V rámci životního cyklu dat je nutné zajistit jejich bezpečné odstranění. To se týká zejména v rámci škálovatelnosti uvolněných prostředků, datových úložišť, záloh a archivačních kopií. Data v cloudu musí být segregována od ostatních uživatelů, fyzicky případně pomocí virtualizace, tak aby měl každý přístup jen k vlastním datům a nemohl nijak narušit integritu dat ostatních. Poskytoval cloudových služeb by měl být schopen garantovat soulad s regulatorními požadavky v zemi či zemích, kde firma působí se svým podnikáním. Vzhledem k tomu, že nároky se značně liší stát od státu, region od regionu, je potřeba tomuto věnovat zvýšenou pozornost. Vysoká míra transparentnosti cloudové služby je v tomto ohledu velkou výhodou. Firemní data a aplikace jsou v případě umístění v cloudu plně v rukou poskytovatele. V jeho kompetenci a zodpovědnosti je tak zajištění adekvátních bezpečnostních systémů, které jsou schopny detekovat a aktivně čelit případným útokům z Internetu. Za tímto účelem by mělo být implementována řešení IDS a IPS. Fyzická bezpečnost datového centra je jakousi samozřejmostí, přesto se vyplatí tato rizika vyhodnotit a přizpůsobit tomu vlastní využití cloudového řešení. Případná certifikace ISO/IEC 27000 či ISO/IEC 27001 nezávislými auditory zaručuje, že poskytovatel garantuje vysoký standard z hlediska zabezpečení. Je tak zajištěna organizace procesů, kontrola přístupu a distribuce úkolů mezi zaměstnanci pomocí dedikovaného ISMS (Information Security Management System) systému. Součástí je i kvalitní strategie risk managementu pro identifikaci potenciálních rizik a jejich minimalizaci. SLA smlouva pomáhá v nastavení dalších parametrů poskytované služby, požadované parametry a případné sankce při jejich neplnění. Nejedná se pouze o požadavky bezpečnostního charakteru, ale i redundance, dostupnosti, škálovatelnosti apod. V rámci smlouvy SLA je dobré definovat co nejvíce možných scénářů a postupy jejich nápravy. 28

Privátní cloud poskytuje mnohem větší pružnost a zejména pak rychlejší reakci na nastalé události jako je například detekce narušení. Vždy je nutné pamatovat na to, že ačkoliv je firemní ICT a bezpečnost svěřena třetí straně, jedná se o data firmy a stále tak hlavní míra rizika je na straně firmy. Poskytovatel by tak měl zajistit jistou míru transparentnosti a vhled do jeho bezpečnostních mechanizmů navíc potvrzenou pravidelnými bezpečnostními audity nezávislých firem. 29

5. DATA V CLOUDU Americká vláda tvrdí, že uložením dat do cloudu člověk přestává být jejich vlastníkem. 6 Takové prohlášení vydala americká vláda v loňském roce po zastavení provozu služby Megaupload. Ačkoliv je americká jurisdikce značně odlišná od té evropské, určitě by tato věta měla být alespoň námětem k zamyšlení. Vzhledem ke značně komplikované legislativě zejména v mezinárodním prostředí může mít takové prohlášení velmi vážný dopad na chápání vlastnictví v cloudových prostředích. 5.1 Vlastnictví Abychom zjistili, jak je to přesně s vlastnictvím dat v rámci cloudových služeb, je nutné důkladně prostudovat smluvní podmínky některých poskytovatelů cloudových služeb. Nahlédneme-li do smluvních podmínek Microsoftu: Kromě materiálů, na které vám udělujeme licenci a které mohou být začleněny ve vašem obsahu (jako je například klipart), nenárokujeme vlastnictví obsahu, který do služeb poskytnete. Váš obsah zůstává ve vašem vlastnictví a nesete za něj odpovědnost. 7 a Odesláním obsahu do služeb vyjadřujete souhlas s tím, že obsah může být použit, změněn, přizpůsoben, uložen, reprodukován, distribuován a zobrazen v rozsahu, ve kterém je to nezbytné pro vaši ochranu a k poskytování, ochraně a zlepšení produktů a služeb společnosti Microsoft. Příležitostně můžeme například použít automatické prostředky k vyčlenění informací z e-mailu, chatu nebo fotografií, které nám pomohou s detekcí a ochranou proti spamu a malwaru nebo ke zlepšení služeb pomocí nových funkcí usnadňujících jejich používání. Při zpracování vašeho obsahu společnost Microsoft postupuje tak, aby chránila vaše osobní údaje. 6 Data v cloudu nejsou vaše. Linux Express [online]. 2012 [cit. 2013-08-08]. Dostupné z: http://www.linuxexpres.cz/usa-data-v-cloudu-nejsou-vase 7 Smlouva o poskytování služeb. Microsoft [online]. 2012 [cit. 2013-08-08]. Dostupné z: http://windows.microsoft.com/cs-cz/windows-live/microsoft-services-agreement 30