A felhőszolgáltatásokról szóló cikkekben jószerivel csak a felhő kedvező oldalát ismertetik, holott az előnyök mellett a szolgáltatás minden hátrányának és nehézségének ismeretére szükség van annak eldöntéséhez, hogy egy adott vállalkozásban mire és mikor, milyen körülmények között használható.

Az alábbiakban két problémakört vizsgálok meg a cloud szolgáltatások szempontjából. Mindkettő a szoftverkörnyezet fizikai helyének speciális elhelyezkedéséből adódik. A felhőt adatvédelmi, illetve jogi szempontból vizsgálom meg. Két további gondolatkört vizsgálok ezen kívül meg, az eszközkörnyezetet és a potenciális vevők körét járom körül.

A cloud szolgáltatások üzleti előnyeiről, a felhasználási lehetőségekről, arról, hogy megjelenése fellazítja az IT határait, már eddig is olvashattunk. A legfőbb előny a vállalati IT szervezet szempontjából az, hogy a felhasználók keveset vesznek észre abból, hogy felhő szolgáltat-e nekik vagy egy helyi szerver. Leginkább azt tapasztalhatják, hogy minden működik, és ráadásul milyen gyorsan!

Szintén jelentős előny, hogy egy új informatikai alkalmazás beindítása pillanatok alatt lehetséges, ami a jelen helyzetben, ahol a válság miatt sokkal gyorsabban kell dönteni új szolgáltatások indítása, a meglévők átstrukturálása mellett komoly érv lehet. Ez lehet a legszebb álma minden IT vezetőnek, aki a szolgáltatásokra alapozza a működését. Felhőszolgáltatás esetén viszont nincsen alternatíva, hiszen ez az infrastruktúra szolgáltatások adására képes (XaaS - X as a Service), tehát valamilyen szolgáltatás.

Azt, hogy milyen biztonsági problémákkal kell szembenéznünk a megvalósított felhőszolgáltatás használata során, milyen feladatokat kell megoldanunk, egyre több helyen tárgyalják. Az egyik fontos szervezet, amely a felhőbiztonság kérdéseit vizsgálja a Cloud Security Alliance. Rendszeresen összefoglalják az ajánlásokat, amelyek jelentős segítséget adhatnak a felhőszolgáltatások kiválasztásánál.

Az említett ajánlások a biztonság minden területére kiterjednek. Ezek közül az egyik az adatok elhelyezése. Nem mindegy, hogy az adatok fizikailag hol, melyik országban, melyik földrészen helyezkednek el. Ez adott esetben ellehetetlenítheti a nyilvános felhőszolgáltatás használatát, ugyanis a jogi szabályozás olyan korlátokat szab az adatok tárolására, amelyeket az adott szolgáltató nem képes kielégíteni.

Hozzáférés az adatokhoz ■ Amikor adatbiztonságról beszélünk az első pont az adatok hozzáférésének korlátozása. A korlátozás az adatok bizalmasságára vonatkozóan több szintű lehet. A hozzáférés fajtája (olvasás, írás, módosítás, törlés) szintén beállítható, hiszen a felhasználás minősége, típusa szerint nincs minden jogra szükség. A tradicionális modellben a hozzáférés fizikai és logikai, ami szinonimája a hardver és a szoftver elemekhez való hozzáférés.

Amikor felhőről beszélünk, megváltozik a fizikai biztonság értelme, ugyanis a cloud nem működik virtualizáció nélkül. Lényegéből fakad, hogy olyan környezetben találom a szolgáltatásokat, ahol a virtualizáció adja a rendszer stabilitását, könnyű konfigurálhatóságát, mindazt, ami a "felhőben" jó. Ebben a rendszerben a programkörnyezet fájlként jelenik meg, ami - bizonyos megkötések mellett - szabadon másolható. A lemásolt rendszer azután szabadon vizsgálható, a tartalma megfejthető, módosítható.

Az alapvető problémát tehát a maga virtualizáció okozza. A felhőben, legyen az privát vagy publikus, meg kell oldani az adatokhoz való hozzáférés kontrollálását. Privát felhő esetén ismerünk megoldást, szép számmal találunk olyan felügyeleti rendszereket, amelyek képesek a beavatkozások minden lépését rögzíteni. A felügyeleti rendszerek csak akkor értékesek, ha az általuk gyűjtött adatokat képesek vagyunk értelmezni, elemezni, az eseményekhez képest a lehető legkisebb késéssel. Erre szintén vannak megoldások.

A felhőszolgáltatások esetén akkor lehet ezeket a rendszereket hasonlóan üzemeltetni, mint ahogyan megszoktuk, ha csak az infrastruktúra az, amit igénybe veszünk (Infrastructure-as-a-Service - IaaS). Ebben az esetben a szolgáltató rendszerén sok ellenőrző és monitorozó funkciót üzembe állíthatunk. A modern biztonsági monitor és tűzfal rendszereket viszont lehetetlen a felhő üzemmódban felállítani.A másik két esetben, a platform (PaaS) és a szoftver mint szolgáltatás (SaaS) esetén egyre kevesebb lehetőségünk van az ellenőrző funkciók saját magunk általi üzemeltetésére.

Nyilvános felhő esetén biztonsági felügyeletet a szolgáltatási szerződésben rögzített mértékig igényelhetjük. Itt csak olyan szintű monitorozást kérhetünk, amit a szolgáltató bevezetett, annál jobbat, alaposabbat, részletesebben ellenőrzőt nem, vagy csak igen jelentős költségtöbblettel. A szolgáltató ugyanis egyetlen ügyfél kedvéért csak jelentős többletért tud bevezetni új szolgáltatásokat.

Mivel az adatok elérését megakadályozni nem tudjuk (hiába garantál mást a szolgáltató, elméletileg nem zárható ki semmilyen biztonsági esemény), csak titkosítással lehet az érzékeny adatokat kellőképpen megvédeni. Előfordulhat az is, hogy olyan üzleti tevékenységet végzünk, aminek a kontroll célok eléréséhez kapcsolódó követelményei szerint amúgy is titkosítani kellene a helyi adatokat is (PCI DSS). Ez a távoli elhelyezéssel nem változik, sőt szigorodik. Olyan rendszert kell kiválasztanunk, amely az adatok keletkezési helyénél titkosít, gondoskodik az adatáramlás titkosításáról az elérési csatornában is, továbbá olyan titkosítási algoritmussal dolgozik, ami az információ érvényességi ideje alatt nem fejthető meg (ha nincs fel nem fedezett tervezési hiba a titkosításban, akkor csak brute force megfejtés lehetséges).

A felhő tömeges használata feltétlenül olyan új vadászterületet hoz létre, amelyet a bűnözők a megfelelő elterjedés esetén azonnal kihasználnak. Ennek súlyát mindenki érzi, de pontosan nem tudja, mi fenyeget, és ezért a felhő elfogadása nem magától értetődő, minden előnye ellenére.

Az adatok védelme ■ A különféle rendszerek adatokkal dolgoznak. Ezen adatok többféle érzékenységűek lehetnek. Nyilván nem egyforma érzékenységű egy projektjelentés, illetve egy bankszámla-szám vagy a TB azonosító. A különösen érzékeny adatokra nemzeti és európai szabályozás van érvényben. Ezek a szabályozások - adatvédelmi törvények - éppen mostanában változnak, nem kis mértékben a felhőszolgáltatások megjelenése miatt.

Alapvetően nem mindegy, hogy hol van a felhőszolgáltatás helye, hol van az adatközpont, ahol az adatainkat tároljuk. Remélhetőleg a magyar szabályozás nem szorítja az adatokat hazánk határai közé. Az EU-s szabályozás viszont várhatóan az EU területére szorítja a tárolási és feldolgozási helyet.

Meg kell említeni az USA Patriot Act-je miatt kialakult állapotot: erre jó példa a ZDnet-en megjelent cikk a Patriot Act következményeként módosított európai törvényről. Arról van itt szó, hogy az Egyesült Államokban a 2001-es terrortámadások megismétlődésének elkerülése érdekében olyan szigorú törvényt fogadtak el, amely - többek között - lehetővé teszi az adatok kiadatását, amennyiben azok tárolása amerikai közreműködéssel történik. Tehát akkor is lehetővé válik az erőszakos kiszolgáltatás, ha ugyan az adatok nem az USA területén vannak, de a szolgáltatásban amerikai cég is részt vesz.

Meghibásodás ellen lehetséges megoldás, hogy a rendszereket megtöbbszörözzük. Ez a feladat a felhő rendszerek használata esetén magától értetődő, sőt a szolgáltatói szerződés tartalmazhatja is a tartalék rendszerek számát - akár hármat is. A tartalék rendszerek csak akkor működhetnek megfelelően, ha az adatok folyamatosan replikálódnak, és a frissítési gyakoriságnak megfelelően mindig egyformák. Az így elhelyezett adatok helyének meg kell felelnie az érvényes adatvédelmi szabályozásnak. A replikált adatok tehát csak azokon a földrészeken helyezhetők el, amelyeket az adatvédelmi törvény nem tilt. Ez gyakorlatilag használhatatlanná teszi a legnagyobb biztonságot adó, különböző földrészekre szétválasztott replikációt.

Az adatvédelmi törvények megkülönböztetnek adatkezelőt és adatfeldolgozót. Ezen két minősítésre eltérő szabályozás vonatkozik. A felhőszolgáltatás jellege határozza meg azt, hogy a szolgáltatóra melyik minősítés vonatkozik. Az adatkezelőre enyhébb, az adatfeldolgozóra szigorúbb szabályozás vonatkozik.

Informatikai környezet ■ Vitathatatlan, hogy a két előbb említett terület problémái nehézzé tehetik az informatikai szolgáltatások általános áthelyezését felhőbe. Ugyanakkor a rendszerek vizsgálatával megállapítható, hogy mely adatok, rendszerek nem jelentenek sem jogi sem pedig biztonsági problémát, és akkor ezeket nyugodtan ki lehet helyezni a felhőbe. Már persze akkor, ha a szolgáltatás ezt az adatátrendezést - műszakilag - megengedi.

Más jellegű problémát vet fel a manapság népszerűen csak „bring your own device” szlogennel jelzett helyzet, ami - elsősorban az okostelefonok és más mobil eszközök rohamos elterjedésével előálló problémát jelenti. A BYOD engedély arra, hogy mindenki használja vállalati célokra is a saját privát mobileszközét. Ez hirtelen tömegesen megjelenő, különféle eszközt jelent, amelyek mind a saját (nem a vállalat) hálózatát akarja használni. Ezek informatikai kezelése, tiltása, a vállalati informatikai rendszerek védelme a nagy változatosság miatt jelentős többletköltséggel jár.

Miért is probléma ez? Azért, mert az új mobileszközök közös jellemzője a gyártójuk által biztosított cloud szolgáltatások minél jobb integrálása a telefon rendszerébe, ez a népszerűségük legnagyobb indoka. Új problémát vet fel, amikor a felhasználó a vállalati erőforrásokat kezdi el használni azon a mobil eszközön, amelyik már kapcsolatban áll a telefon gyártójának saját felhőjével.

Ennek a biztonsági problémának a kezelése túlmutat azon, hogy a felhasználói eszközöket is be kell vonni a "menedzselt" eszközök körébe. A telefon szolgáltatásainak használata ugyanis alapvető életszükséglete az Y-generációnak (másképpen millieniumi generációnak), akik nagy hányada a mobiljával alszik, mivel az szinte már testrészévé vált. (Erről bővebben a Pew Research Center Y generációról szóló kutatásában olvashatunk.)

Jelentősen lecsökken a produktivitása az ebben a korban lévő kollégáknak, ha a vállalati biztonság miatt megszüntetjük a kapcsolódásukat az általuk megszokott hálózatokkal. Nyilvánvalóan nem az a megoldás, hogy akkor legyen szabad az iCloud, a Facebook vagy a twitterezés. Mivel azonban egyre több ilyen korú kolléga tölt be fontos munkakört, sőt, sokan már vezetőkké is váltak közülük. Talán éppen ők azok, akik a kockázatokat jobban elfogadják, és lazítanak a biztonsági szabályozáson?

Kik a felhő legvalószínűbb vevői? ■ A felhőszolgáltatásokra való igény szempontjából megkülönböztethetjük a vállalkozásokat méret és jövedelmi-bevételi szempontok alapján, valamint az ebből következő szabályozási különbség szempontjából.

Nagyvállalati körben a felhőszolgáltatások iránti igény nem olyan égető, mint a kis- és közepes vállalkozások (kkv-k) esetén. Itt az elmúlt 10-15 év alatt az informatikai szolgáltatásokat konszolidálták, kialakítottak egy olyan szolgáltató szervezetet, amely biztonsággal üzemelteti az összes rendszert, ami a nagyvállalat üzleti működését támogatja. Nagy valószínűséggel megvan az összes szabályozás is, amelyeket az informatikai biztonság megkövetel.

Azon vállalatok számára, amelyek a felhőszolgáltatást elsősorban a skálázhatóság miatt vették igénybe, nincsen alternatíva. Az optimális üzemeltetési környezet nagyon változó kapacitás mellett csak a cloud lehet.

A kisvállalkozások ugyanakkor nem rendelkeznek semmilyen szabályozással, a felhasznált informatikai eszközök minimális száma miatt. Az informatikai rendszerek változása miatt viszont ezek a vállalkozások is igényt tarthatnak mindazon az előnyre, amit az informatika fejlődése az elmúlt 15 évben elért. De ezeket csak akkor tudják megvalósítani, ha a megvalósításukhoz szükséges beruházási költség elegendően alacsony, és az üzemeltetésükhöz sem szükséges nagy, az informatikához értő csapat. Akkor éri meg nekik az új szolgáltatások használata, ha azok nem növelik meg a működési költségeket csak legfeljebb annyival, amennyivel a használatuk megemeli a profitot.

A kkv-k, felismerve a felhő adta lehetőségeket, végre implementálhatnak olyan informatikai megoldásokat is, amelyekre korábban, gazdasági lehetőség és informatikai szakértelem hiányában gondolni sem mertek. A felhőszolgáltatások azonnali minőségi javulást adhatnak egy kkv-ban, ahol a kollégáknak esetleg csak privát emailjük van, a gazdálkodási feladatokat Excelben, jobb esetben egy számítógépen futó rendszerben oldják meg, aminek semmilyen védelme nincs. Azonnali megoldást kapnak a CRM, HR, sales, közös munka, email rendszerekre. Ezért várható, hogy a közeljövőben a kkv-k alkotják majd tömegesen a felhő felhasználókat.

A kkv-k felhőszolgáltatások iránti igénye egy implikált feltételezést tartalmaz. Mégpedig azt, hogy a szolgáltatásokban megbízhatnak, nem lesznek kisebb biztonságban adataik, dokumentumaik, leveleik, mint azelőtt, a munkatársak gépén.

Erre a feltételezésre csak abban az esetben adható pozitív válasz, ha az adatvédelmi, illetve adatbiztonsági kérdésekre megnyugtató választ tudunk adni. Persze az is lehet, hogy megfelelő szolgáltató kiválasztása esetén már ma is nagyobb biztonságban tudhatnák az adataikat, mint a jelen állapotban.