Nové způsoby ochrany firemních informací v cloudu

Nikdo nemůže popřít, že dnešní datová centra postavená na technologiích cloud computingu a virtualizace změnila naše chápání a definici jejich fungování. Data jsou decentralizována a rozprostřena po desítkách serverů. Řešení jsou často instalována nebo replikovaná v podobě velkých bitových kopií virtualizovaných systémů, s jejichž obsahem si klasická bezpečnostní řešení v podstatě neumí poradit.

S neustále rostoucím počtem přistupujících uživatelů i různých zařízení či programů pro těžení dat je stále těžší či nemožné uhlídat citlivá data jen na základně detailního nastavení přístupových práv k jednotlivým souborům. Napomoci mohou různé implementace systémů IRM (Information Rights Management – správa informačních práv) a DLP (Data Loss Prevention – předcházení ztrátě dat).

IRM umožňuje několik úrovní bezpečnosti. Funkce obvykle zahrnují silné šifrování informací, jasně definované a chráněné metody použití včetně kontroly funkcí kopírovat/vložit, blokování možnosti vytvářet kopie obrazovky nebo tisknout. IRM většinou musí umožňovat používání dokumentů offline – uživatelé musí být po určitou dobu schopni vytvářet dokumenty chráněné IRM (nebo k nim přistupovat) i bez dostupných síťových prostředků. Samozřejmostí je plný audit všech přístupů i změn obsahu i přístupových práv k datům. IRM je občas označováno jako E-DRM (Enterprise Digital Rights Management – podniková správa digitálních dat). Ostatně, některé existující systémy vznikly vývojem ze systémů DRM, i když ty se zaměřují na ochranu autorských práv multimediálních formátů, zatímco IRM se vztahuje především na dokumenty a e-maily.

Systémy DLP mají za úkol zabránit ztrátám dat či neoprávněným přístupům k nim na základě monitorování a chápání podstaty dat a procesů na nich prováděných.

V případě Network DLP (Data v pohybu) jde typicky o softwarové nebo hardwarové řešení, které na výstupních bodech sítě analyzuje provoz v síti a detekuje citlivá data odesílaná  v rozporu s bezpečnostní informační politikou.

Endpoint DLP (Data v použití) běží na serverech nebo v počítačích koncových uživatelů a kontrolují tok informací mezi skupinami nebo typy uživatelů. Prověřují také e-mailovou komunikaci a rychlé zprávy před jejich uložením do firemního archivu (které je v některých zemích povinné). Jejich výhodou je, že mohou blokovat přístup k fyzickým zařízením (jako jsou mobilní zařízení schopná ukládat data) a v některých případech mohou přistupovat k datům ještě před jejich zašifrováním.

Součástí DLP musí být identifikace dat, například míry citlivosti souboru či emailu na základě nalezeného čísla platební karty nebo čísel smluv či kontaktních údajů. Taková analýza samozřejmě přináší riziko falešných poplachů a bývá často postavena na algoritmech umělé inteligence.

Tyto nové bezpečnostní technologie však nejsou náhradou těch dosavadních, ale jejich doplňkem. Už jen kvůli rozložení dat na mnoho míst roste riziko neautorizovaného fyzického přístupu nebo lidských chyb i v hodně vzdáleném datovém centru.