Modele akredytacji w adopcji chmury obliczeniowej
Bezpieczeństwo podczas procesu adopcji do chmury jest jedną z kluczowych kwestii dla organizacji (zarówno z sektora publicznego i prywatnego), decydujących się na przeniesienie swojego biznesu do chmury. By rozwiać wątpliwości jakie mogą pojawiać się w procesie decyzyjnym, AWS przygotował specjalną, pomocną dokumentację związaną z modelami akredytacyjnymi – Accreditation Models for Secure Cloud Adoption. Tym samym dostarcza komplet najlepszych praktyk w zakresie akredytacji, uwzględniających bezpieczeństwo w komercyjnym przetwarzaniu danych w chmurze.
Sporym wyzwaniem może być, zwłaszcza dla instytucji publicznych ocena ofert usług chmurowych. Ma na to wpływ model organizacyjny danej jednostki administracyjnej.
Model organizacyjny, jest skonstruowaną strukturą (instytucjonalną lub biurokratyczną), która ma na celu wspieranie i wdrażanie programów akredytacyjnych. A to z kolei ma powiązanie z szeroko stosowanymi na świecie certyfikatami i atestami, np. ISO, SOC 3 czy PCI, które z założenia w 80 % składają się z wymogów bezpieczeństwa.
Przygotowany przez AWS whitepaper odnosi się do 3 modeli, w których kluczem jest zdefiniowanie kto określa i zatwierdza profil ryzyka podczas adopcji do chmury. Opracowane modele są dostosowane do wymogów międzynarodowych.
Model zdecentralizowany
Został przygotowany w oparciu o model brytyjski, który pozwala na indywidualne podejście każdego z departamentów lub agencji sektora publicznego, na elastyczność w ocenie i dostosowaniu modelu ryzyka, związanego z podejmowanym działaniem lub wymogami organizacyjnymi. Dzięki możliwości priorytetyzacji wybranych celów, istnieje szansa delegowania odpowiedzialności za ryzyko na dany podmiot, posiadający akredytację. Taka elastyczność pozwala na szybszą adopcję nowych rozwiązań. Jednak może się wiązać ze zwiększonymi kosztami oraz koniecznością posiadania wykwalifikowanych zespołów, które będą odpowiedzialne za autoryzację decyzji związanych z wyborem dostawcy usług chmurowych.
Model scentralizowany
Model jest stosowany przez Singapur i Niemcy. Standaryzuje on procesy akredytacji bezpieczeństwa w całej jednostce administracyjnej. Decyzje podejmowane są w centrali jednostki, zgodnie z ustalonym zestawem kryteriów, związanych z zapewnieniem najwyższego z możliwych poziomów bezpieczeństwa dla całej organizacji. Taki proces decyzyjny może być dość czasochłonny, ale w perspektywie długoterminowej raz zatwierdzone usługi chmurowe, mogą zostać wykorzystane przez wszystkie departamenty, wchodzące w skład danej jednostki. Model związany z publikacją i utrzymaniem standardów przez centralę jednostki rządowej oraz poświadczenie przez dostawcę usług chmurowych posiadania wymaganych akredytacji. Nie jest wymaganą formalna ocena lub zgoda rządu.
Model hybrydowy
Łączy w sobie atrybuty dwóch wcześniej wymienionych modeli. Model FedRAMP (Federal Risk and Authorization Management w Stanach Zjednoczonych) jest hybrydą, która zawiera dwie ścieżki: ścieżkę zdecentralizowaną (autoryzacja agencji) i ścieżkę scentralizowaną Joint Authorization Board (JAB). W modelu hybrydowym zasoby wymagane do osiągnięcia konsensusu między wieloma decydentami również stanowią dodatkowe obciążenie. Związane jest to wytycznymi przygotowanymi przez organy państwowe oraz decyzjami dotyczącymi oceny ryzyka.
Ostatecznie – proces adopcji chmury zależy od wielu czynników, specyficznych dla każdej sytuacji. Dlatego też warto zapoznać się z najlepszymi praktykami, które pomogą zastosować właściwy model, a które szczegółowo zostały opisane w Accreditation Models fo Secure Cloud Adoption.
W kontekście polskiego rynku IT i kryterium bezpiecznej adopcji do chmury obliczeniowej warto wspomnieć o Standardach Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO). Jest to dokument opracowany w ramach zbioru Narodowych Standardów Cyberbezpieczeństwa, przywołanego w Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024. Ma on na celu:
- podniesienie poziomu bezpieczeństwa przetwarzania danych i świadczenia usług elektronicznych w administracji rządowej;
- trwałe obniżenie kosztów stałych przetwarzania danych;
- podniesienie efektywności wydatkowania środków w projektach zawierających elementy infrastruktury IT;
- skrócenie czasu realizacji nowych przedsięwzięć informatycznych przez szybsze udostępnianie wymaganej infrastruktury IT;
- ograniczenie zjawiska wielokrotnego gromadzenia tych samych danych w środowiskach informatycznych oraz zniesienie barier technologicznych w przypadku rejestrów publicznych;
- upowszechnienie modelu przetwarzania w chmurach obliczeniowych jako głównego sposobu realizacji systemów teleinformatycznych państwa (w tym również zmiana technologii wytwarzania oprogramowania).
Źródło: https://chmura.gov.pl/informacje/scco/
SCCO jest stosowany w ramach Systemu Zapewniania Usług Chmurowych (ZUCH), w którym znajdują się również usługi świadczone przez team LCloud. Wybór dostawcy usług jest ważny z perspektywy jakości usług oraz wsparcia w procesie migracji i tworzeniu od podstaw bezpiecznej i skalowalnej infrastruktury. Wybór odpowiedniego partnera wdrażającego usługi chmurowych, posiadającego doświadczenie w projektowaniu rozwiązań migracyjnych jest kluczowym dla sukcesu i bezproblemowego przeniesienia istniejącej (lub utworzenia nowej) infrastruktury w chmurze obliczeniowej. Ponadto dostawca usług chmurowych dba o transparentność i zgodność wdrożonego rozwiązania z aktualnymi wymogami prawnymi, co z kolei zapewnia ujednolicenie standardów bezpieczeństwa w organizacji.
Podsumowując, zbadanie możliwości związanych z wyborem modelu akredytacyjnego i zrozumienie, w jaki sposób każdy z nich może ułatwić pomyślne wdrożenie chmury obliczeniowej i umożliwia organizacjom dokonanie najlepszego dla nich wyboru.
Jeśli nie wiesz jaki model wybrać, pomożemy Ci w procesie. Zachęcamy do kontaktu mailowego na adres kontakt@lcloud.pl lub poprzez formularz kontaktowy znajdujący się w stopce strony.