Data v cloudu, data v čoudu

Dali data do cloudu, a teď je tam skutečně mají, ve velkém mraku kouře, do kterého se tato data rychle přetransformovala.

K požáru došlo ve středu 10. 03. 2021 v 00:47  v datacentru v budově Alsace Tourisme SBG2 ve Štrasburku. Krátce na to se objevila zpráva na Twitru: SBG2 just gone. SBG1 damaged. SBG3 at risk. SBG4 safe. Customers told to activate DR plans.

A podle aktuálních zpráv je z většiny zničeno vybavení v budově SBG2. V budově SBG1 jsou poškozené 4 z 12 sálů. Budovy SBG3 a SBG4 nebyly zasaženy požárem, ale jsou odpojené.

Pravděpodobně došlo k poškození optického vedení a trafostanice, odhad oprav je 1-2 týdny. Klienti byli vyzváni, aby spustili své vlastní DR plány. Ale ne každý zákazník je má, protože zálohy má k dispozici pouze ten zákazník, který si aktivoval používání služby Backup FTP.

Nejběžnější riziko

Co bylo příčinou požáru? Datová centra, zkr. DC zpravidla bývají proti požáru velice dobře zabezpečena, protože riziko požáru je stále považováno jako jedno z největších, ne snad kvůli pravděpodobnosti vzniku, ale kvůli dopadu, rozuměj následkům, které může tato hrozba v případě materializace mít. DC proto mají zavedena příslušná preventivní, detekční i reakční opatření, tak aby k požáru nedošlo, byl včas detekován a uhašen. Z tohoto důvodu je požár takto velkého rozsahu velice zvláštní.

Čím více certifikátů, tím lépe

Vedení společnosti OVH dává na SOC audit důraz, jak vyplývá z rozhovoru s Lionel Deny, Datacenter Operations Manager nebo Quality Managerem Thibaud Saudrais v rozhovoru nazvaném SOC 1 and 2 Type 1 strengthen the trust between OVH and Dedicated Cloud users. Už od roku 2015 provádí pravidelné certifikace, mimo jiné SOC 1 Type I (SSAE 16 and ISAE 3402) a SOC 2 type I, jak se uvádí zde nebo zde. Také tato lokalita byla certifikována.

Ani skutečnost, že je poskytovatel cloudu (Cloud Service Provider, zkr. CSP) držitelem nejrůznějších certifikací, neposkytuje záruku, že k něčemu takovému nemůže dojít. Může, je jen otázka, kde se stala chyba. A zda vůbec měl tento CSP certifikaci dostat. Můžeme se jen ptát, co přesně bylo předmětem auditu, zda celá organizace anebo jen vybraná část, zda byla ze strany auditora příslušná bezpečnostní opatření kontrolována a vyhodnocována jejich účinnost. Jinými slovy, je evidentní, že ani certifikace samotná neposkytuje záruku, že k něčemu takovému nemůže dojít.

Velcí zákazníci se přeci nemohou mýlit

Rovněž úvaha, že jsou u daného CSP velcí zákazníci, např. Societe Generale, a ti se ve své volbě poskytovatele cloudu přeci nemohu mýlit, obzvlášť když disponují velkým rozpočtem a mají i bezpečnostní týmy, které s poskytovatelem cloudu jednají a jistě by případné bezpečnostní nedostatky odhalily, je jen další příklad konfirmačního zkreslení.

Neodhalí nic, velký CSP neumožní každému zákazníkovi, aby u něj prováděl něco jako audit nebo bezpečnostní testy, to by pak nedělal nic jiného, než že by je prováděl po budově a řešil s nimi otázku zabezpečení. Celý cloud je tak postaven na velice křehkém vztahu důvěry. Jinými slovy, zákazníku ber jak je anebo nech být.

Nevýznamný poskytovatel, ale kdež

A jestli si říkáte, že OVH je nějaká nevýznamná firmička, není tomu tak. OVH není OPBH, bylo nebo možná ještě je největším CSP na starém kontinentě. Společnost OVH je významný poskytovatel webhostingu (největší v Evropě), cloud computingu (např. partner Google) a fyzického hostingu (třetí na světě počtem fyzických serverů, a v Kanadě provozuje rozlohou největší DC na světě).

Ano, jsou zde i větší, např. Amazon, Google, Microsoft, ale ti jsou prostě jen větší. Nic víc od nich nemůžete očekávat. Ani s nimi nevyjednáte nějaké lepší podmínky. Na nějaké prověřování bezpečnosti rovnou zapomeňte. Pro ně jste jen malá firmička z pidi země, kdesi uprostřed Evropy.

Co s tím?

Dle posledního výzkumu skutečného stavu informační bezpečnosti v organizacích v ČR, se s výpadkem služeb třetí strany setkalo 70 % organizací, takže se rozhodně nejedná o nějakou hypotetickou hrozbu, a bez ohledu na to, co je příčinou výpadku, je potřeba mít kvalitně připraven a otestován DRP. Mimochodem test plného přerušení skoro nikdo nedělá.

Ideálně takový, který vám umožní svůj core business rozjet v jiném DC a u jiného poskytovatele. To znamená, že buď musíte mít někde zálohovaná data a připravenou infrastrukturu, kde budete moci systémy nainstalovat, nakonfigurovat, spustit a data obnovit ze záloh.

Anebo pokud je pro vás business čas kritický, tak musíte provozovat ještě jednu instanci s aktuálními daty někde jinde anebo dané řešení postavit jako skutečný heterogenní geo cluster. Ano, pak už ten outsourcing takovéhoto řešení cenově až tak výhodný vůbec nebude.

Závěr:

Ukázalo se, že i velký cloud ověnčený certifikacemi, ve kterém měli svá data velcí zákazníci, může lehnout popelem. Je otázka, zda se tento incident nějak promítne do hodnocení rizik cloudu v jednotlivých organizacích, a zda tyto organizace přijmou nějaká opatření ke snížení tohoto rizika anebo budou dál rizika řídit kreativně jako dosud a doufat, že jim se to nestane.

A úplně na závěr. Představte si, že by služeb takového cloudu, provozovaného třeba i na území České republiky, využily organizace provozující kritickou informační infrastrukturu. Všechno by přestalo fungovat. V tomto případě je třeba se řídit známým rčením o vejcích, co by se všechna neměla dávat do jednoho košíku. A aby k tomu nedošlo, tak to musí někdo koordinovat.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Data v cloudu, data v čoudu” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: