Hírek, aktualitások

Adatbiztonság a felhőben


Mi biztosítja, hogy a felhőben tárolt adatok biztonságban maradnak? A megfelelő szolgáltató és a saját elővigyázatosság.

2012-ben az amerikai Gartner kutató intézet azt jósolta, hogy az offline végzett munka 2014-re nagyrészt átkerül a felhőbe. Igaza volt. Ma már eltűnnek az USB-k és az irodai hálózati megosztások, és a felhő találkozási ponttá, információcsere-központtá válik. Sőt, ez az a hely ahol, mindenki, minden adatát tárolja.

A fejlődés pedig megkönnyíti az életet. A felhőszolgáltatások abszolút előnye tehát a bárhonnani hozzáférés, és nem kell félni, hogy esetleg rossz kezekbe kerül az a bizonyos hordozóeszköz. Azonban a felhőben tárolt adatok biztonsága iránt már felvetődnek kérdések. Két évvel ezelőtt még maga Steve Wozniak is elítélően nyilatkozott a cloud computingról és a felhő alapú adattárolásról. Mintha csak őt igazolnák az elmúlt hetek hírhedt iCloud eseményei. Azóta újfent napvilágra került, hogy a felhőnek bizony vannak kockázati tényezői. A kérdés, hogy hogyan kezeljük ezeket.

VCC Blog - adatbiztonság a felhőbenPublikus vagy magán?

Először is kérdés, hogy milyen felhőt használunk. A felhőszolgáltatásoknak ugyanis alapvetően három típusa van: publikus, magán vagy hibrid. A publikus felhők egy kifejezett felhőszolgáltató tulajdonában vannak, és ők is üzemeltetik őket. A felhasználók pedig élvezhetik az alacsony használati költségeket és a könnyű elérést. Adataik azonban inkább veszélyben vannak, mint a magánfelhők esetében. Ezek ugyanis kifejezetten egy-egy cég számára épültek. Lehet szó a cég maga vagy egy külső szolgáltató által üzemeltetett felhőről, mindenképp exkluzív felhő-környezetről van szó, amely teljes adatbiztonságot tesz lehetővé. Hátránya azonban, hogy privát felhőtípusok éppen ezért drágábbak, mint a publikusak. A hibrid típus egyesíti a két változatot. Rengeteg formája lehetséges, attól függően, hogy épp melyik elemet emeli át egyik, illetve a másik felhőből.

Bármelyik felhőt választjuk is, a biztonságos jelszó megválasztása kulcsfontosságú. A tavaly készült Kanadai Technológia, Média és Telekommunikációs Előrejelzési Riport szerint a jelszavak 90 százaléka másodpercek alatt feltörhető. A helyzet tehát hasonló ahhoz, mintha bezárnánk a lakást és utána benne hagynánk a zárban a kulcsot, majd hibáztatnánk a zár gyártóját, hogy kiraboltak. Tehát a rövid jelszavak és jelszó emlékeztetők – a könnyű megfejthetőségük okán – tálcán kínálják adatainkat bárki számára, mivel a felhő mindenkit, mindenhol körülvesz. Körülbelül 7-9 karaktertől fölfelé exponenciálisan növekszik egy jelszó erőssége a karakterek számával.

A legjobbak azok a jelszavak, amelyek semmilyen módon nem köthetők a felhasználó személyéhez, tehát egy random módon választott alapra épülnek rá számok és speciális karakterek is. A Virtual Call Center például minimum tíz karakteres jelszóelőírást használ, megerősítve számokkal, kis és nagy, illetve speciális karakterekkel. Ez ma határozottan biztonságosnak számít.

Félelmek a felhőben

Mivel a felhő-technológia még mindig ködösnek tűnik az átlagemberek szemében, gyakori félelmük az adatbiztonsággal kapcsolatban, hogy a különféle felhasználói adatok közösen tárolódnak, minimális elkülönítéssel.

Az igazság az, hogy a publikus felhők is egyre több figyelmet fordítanak a biztonságra, azonban a magán felhők esetében ez a kérdés szinte fel sem merül. A Virtual Call Center esetében ez azt jelenti, hogy az ügyfelek adatai egymástól adatbázis szinten vannak elszeparálva, így egymás adataihoz a felhasználó cégek nem férhetnek hozzá. Az ISO 270001 nemzetközi szabványnak megfelelő hozzáférési jogkörök biztosítják, hogy csak a lehető legszűkebb körnek legyen hozzáférése az ügyféladatokhoz, és az nyomon követhető legyen. Logok alapján könnyen monitorozható tehát, hogy ki, mikor, mihez nyúlt hozzá.

A következő aggály általában a felhőben található tűzfalhoz és behatolás-ellenőrző alkalmazásokhoz (IDS, IPS) kapcsolódik. Ez esetben is igaz, hogy a felhő alapú szolgáltatások ma már inkább előnyben vannak az offline rendszerekhez képest. Ugyanis, ha egy adott szolgáltatás bizonyos része elérhető publikus hálózatról, akkor mélyebb szintű és rezisztensebb védelemre van szükség, tehát ma egy felhőszolgáltató védelme sokkal paranoidabb, mint egy klasszikus rendszeré.

A Virtual Call Centernél a tűzfal megvalósítás szempontjából is fontos, hogy a rendszer egyes komponenseihez csak a legminimálisabb hozzáférés engedélyezett az ügyfelek számára. Csak azok érhetők el, amelyek feltétlenül szükségesek és azok is védettek a támadások ellen. Sőt, mivel a cég telekommunikációs szolgáltató is, ezért a szigorú szabályok és a különös védelem még fontosabb, hogy ne fordulhasson elő betörés és mondjuk emelt díjas hívások indítása az ügyfelek kárára.

Fontos ezenkívül odafigyelni az alkalmazott szoftverek mindig friss állapotára, a folyamatos biztonsági frissítésekre. A tesztelők tehát állandóan figyelik előfordul-e bármiben sérülékenység, és a tesztelést követően azonnal frissítenek az esetlegesen fennálló probléma kiküszöbölésére. Ezt segíti, hogy minden Virtual Call Center alkalmazás egy belső monitorozó rendszerhez van hozzákötve, amely segítségével nemcsak utólag lehet elemezni a problémákat, de akár előre is lehet jelezni azokat. Memóriaszivárgás esetében például, ha egy adott alkalmazás valamely hiba nyomán túlságosan fogyasztja a memóriát, akkor ez a folyamatos monitorozás miatt látszik, és még azelőtt orvosolható, hogy ebből bármilyen negatív következményt érzékelne az ügyfél.

Sokan tartanak ezenkívül a felhőszolgáltatók adatkezelésétől, illetve -elemzésétől is. Az adattovábbításra és adatvédelemre már most nagyon komoly jogi szabályozás van érvényben az Európai Unión belül. A jelenlegi EU Adatvédelmi Irányelv főszabály szerint tiltja a természetes személyek adatainak az Európai Gazdasági Térségen kívülre való továbbítását. A szabályozás azonban még nem kiforrott, hamarosan újabb irányelvek megalkotása várható. Tovább nehezíti a kérdést, a határon átnyúló használat, amely esetben a felhasználó nem a szervernek megfelelő országban tartózkodik, mert ilyenkor kérdés, hogy melyik ország szabályozása vonatkozik a felhasználóra. A legbiztosabb megoldás, ha az ügyfél magával a felhőszolgáltatóval állapodik meg szigorú adatvédelmi nyilatkozat formájában. A Virtual Call Center ezt a forgatókönyvet követi, amikor minden ügyfelével kapcsolatban vállalja, hogy adatait bizalmasan kezeli, az aktuális adatvédelmi megállapodás szerint.

A félelmek tehát sokszor valósak a felhőben tárolt adatokkal kapcsolatban, azonban ezek viszonylag egyszerű módszerekkel és főleg elővigyázatos szolgáltató választással könnyen orvosolhatók. És ha ez megtörtént, akkor bizony nagyobb biztonságban tudhatjuk adatainkat, mint a korábban oly biztonságosnak hitt offline módszerekkel.

2014/15 tanév Call Center Akadémia banner

Magyarország első számú call center fóruma