+ Newsroom

Rozwiązania chmurowe w bezpieczeństwie IT

zjedź niżej

O bezpieczeństwie w IT w ostatnich latach mówi się wiele. Temat nie ustaje, ponieważ każdego dnia jesteśmy świadkami coraz to bardziej wyrafinowanych cyberataków. Wraz z rosnącą liczbą aktualizacji systemów czy aplikacji, rośnie liczba cyberprzestępców, którzy za punkt honoru stawiają sobie łamanie kodu, wyłudzanie danych etc. Według miesięcznika Forbes[1] mamy do czynienia z pandemią cyberprzestępczości a Polska jest jednym z krajów „na celowniku” cyberprzestępców. Czy to się kiedyś skończy? Jakie rozwiązania dadzą nam gwarancję bezpieczeństwa i jakie znaczenie w tym obszarze mają rozwiązania chmurowe? O zastosowaniu rozwiązań cloudowych w obszarze zapewnienia  bezpieczeństwa w IT na przykładzie narzędzi stosowanych w Diverse CG (DCG) mówi Przemysław Chmielecki - ekspert DCG w obszarze usług chmurowych, rozwiązań serwerowych, DevOps.

 

 

Jak wygląda bezpieczeństwo w wykonaniu DCG?

 

 

Przemysław Chmielecki: W DCG przykładamy dużą wagę do zapewnienia możliwie wysokiego poziomu bezpieczeństwa zarówno w obrębie dostarczanych usług dla klientów, jak i w ramach wewnętrznych rozwiązań na potrzeby developmentu. W praktyce oznacza to odpowiedni dobór narzędzi w chmurze Microsoft Azure, takich jak Key Vault do bezpiecznego przechowywania haseł[1], Azure Active Directory do bezproblemowej i szyfrowanej autentykacji i dostępu do usług[2], czy chociażby PaaS-owe rozwiązania bazodanowe, takie jak Azure SQL zapewniające najwyższy stopień bezpieczeństwa i elastyczności usługi[3].

 

 

Czy dobór odpowiednich narzędzi wystarczy? Brzmi to aż nazbyt prosto.

 

 

PCH: Narzędzia to jedno, ale w ramach poszczególnych projektów prowadzone są także testy penetracyjne oraz okresowe próby atakowania i łamania zarówno aplikacji, jak i infrastruktury. Służą one poprawie bezpieczeństwa przez zabezpieczeniu namierzonych podatności i w konsekwencji zwiększeniu odporności na kolejne ataki. Oczywiście wszystko odbywa się w paradygmacie etycznym.

 

 

Co dokładnie oznacza paradygmat etyczny?

 

 

PCH: Mówiąc o paradygmacie mam na myśli cel, którym w tym przypadku jest dokładne poznanie technik potencjalnego ataku. Poznanie celu daje nam możliwość lepszego przygotowania i w konsekwencji odpowiedniego zabezpieczenia przed atakiem[4].

 

 

Jakie znaczenie w tym obszarze mają rozwiązania chmurowe?

 


PCH: Korzystając z usług chmurowych firmy Microsoft jesteśmy jednocześnie chronieni przez szereg certyfikatów, o zgodność z którymi Microsoft dba od lat. Co ważne, są to gwarancje najbardziej aktualne, najnowsze. Spośród wielu wskazać można certyfikację gwarancji jakości na poziomie globalnym ISO, w obszarze finansowym SOX, rządowym ITAR, CJIS, NIST, czy sektorze zdrowotnym HIPAA[5]. Oczywista jest także pełna zgodność z RODO (GDPR). Co ciekawe, Microsoft Azure oferuje także szyfrowanie nie tylko na poziomie software’owym, ale i sprzętowym poprzez użycie dedykowanego HSM[6]. Warto też wspomnieć o rozwiązaniach wysokodostępnych – High Availability Disaster Recovery (HADR)[7] – które pozwalają na zabezpieczenie danych oraz zapewnienie dostępności oferowanej usługi niezależnie od nagłego zwiększenia zainteresowania (ruchu) czy wystąpienia awarii w centrum danych lub nawet zniszczenia całego site’u.

 

 

Jakie są trzy najważniejsze zasady dotyczące bezpieczeństwa?

 

 

PCH: Kluczem do sukcesu są przede wszystkim:

  •  dokładność i uważność w pracy,

  • bycie „up-to-date,”

  • świadomość potencjalnych zagrożeń i wiedza, jak sobie z nimi poradzić.

 

Dziękuję za rozmowę.

 

PCH: Dziękuję.

 

[1] https://www.forbes.pl/gospodarka/globelne-koszty-cybeprzestepczosci-raport-mcafee-za-2017-rok/0k5qgr7(30.10.2019).
[1] https://azure.microsoft.com/en-in/services/key-vault/ (20.06.2019).
[2] Por. V. Bertocci (2016). Modern Authentication with Azure Active Directory for Web Applications, Redmond: Microsoft Corporation, s. 82.
[3] https://docs.microsoft.com/en-us/azure/security/azure-database-security-overview (20.06.2019).
[4] Zob. S. P. Oriyano (2016). Certified Ethical Hacker v9. Study Guide, Indianapolis: Wiley, s. 60. Tematykę szerzej omawiam w: P. Chmielecki (2019). Do hackers need ethics? [w:] Rynek – Społeczeństwo – Kultura, nr 1 (w druku).
[5] https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings (20.06.2019).
[6] https://docs.microsoft.com/en-us/azure/dedicated-hsm/overview (20.06.2019).
[7] W tym temacie poglądowo polecam moją prezentację do wykładu wygłoszonego podczas hackatonu HackYeah w Warszawie w 2018 roku [link].
 

 

TECHNOLOGIE
Zobacz również

Wyślij wiadomość

Prosimy o zapoznanie się z klauzulą informacyjną

Dodaj pliki (max 2MB)

Upload files

Change

Diverse CG Sp. z o.o. Sp.k.

Warszawa

ul. Nowogrodzka 21,
00-511 Warszawa, Polska

office@diversecg.pl 
www.diversecg.pl 

Diverse Consulting Group (UK) Ltd.

London

118 Pall Mall,
London SW1Y 5ED, United Kingdom

office@diversecg.co.uk 
www.diversecg.co.uk 

Diverse CG Sp. z o.o. Sp.k.

Gdańsk

Al. Grunwaldzka 415,
80-309 Gdańsk, Poland

office@diversecg.pl 
www.diversecg.pl 

Diverse CG Sp. z o.o. Sp.k.

Warszawa

Plac Stanisława Małachowskiego 2,
00-066 Warszawa, Polska

office@diversecg.pl 
www.diversecg.pl 

Warszawa

Londyn

Gdańsk