Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Sprawdź jej szczegóły Polityki Prywatności i Cookies.

Akceptuję arrow
Najnowszy wpis na blogu: AWS Cloud Adoption Framework a bezpieczeństwo – wyjaśniamy perspektywę Security AWS Cloud Adoption Framework a bezpieczeństwo – wyjaśniamy perspektywę Security
Zobacz kolejne wpisy na Blogu >

Modele akredytacji w adopcji chmury obliczeniowej

20.10.2020 | LCloud
Udostępnij:

Bezpieczeństwo podczas procesu adopcji do chmury jest jedną z kluczowych kwestii dla organizacji (zarówno z sektora publicznego i prywatnego), decydujących się na przeniesienie swojego biznesu do chmury. By rozwiać wątpliwości jakie mogą pojawiać się w procesie decyzyjnym, AWS przygotował specjalną, pomocną  dokumentację związaną z modelami akredytacyjnymi – Accreditation Models for Secure Cloud Adoption. Tym samym dostarcza komplet najlepszych praktyk w zakresie akredytacji, uwzględniających bezpieczeństwo w  komercyjnym  przetwarzaniu danych w chmurze. 

 

Sporym wyzwaniem może być, zwłaszcza dla instytucji publicznych ocena ofert usług chmurowych. Ma na to wpływ model organizacyjny danej jednostki administracyjnej.

Model organizacyjny, jest skonstruowaną strukturą (instytucjonalną lub biurokratyczną), która ma na celu wspieranie i wdrażanie programów akredytacyjnych.  A to z kolei ma powiązanie z szeroko stosowanymi na świecie certyfikatami i atestami, np. ISO, SOC 3 czy PCI, które z założenia w 80 % składają się z wymogów bezpieczeństwa.

Przygotowany przez AWS whitepaper odnosi się do 3 modeli, w których kluczem jest zdefiniowanie kto określa i zatwierdza profil ryzyka podczas adopcji do chmury.  Opracowane modele są dostosowane do wymogów międzynarodowych. 

Model zdecentralizowany

Został przygotowany w oparciu o model brytyjski, który pozwala na indywidualne podejście każdego z departamentów lub agencji sektora publicznego, na elastyczność w ocenie i dostosowaniu modelu ryzyka, związanego z podejmowanym działaniem lub wymogami organizacyjnymi. Dzięki możliwości priorytetyzacji wybranych celów, istnieje szansa delegowania odpowiedzialności za ryzyko na dany podmiot, posiadający akredytację. Taka elastyczność pozwala na szybszą adopcję nowych rozwiązań. Jednak może się wiązać ze zwiększonymi kosztami oraz koniecznością posiadania wykwalifikowanych zespołów, które będą odpowiedzialne za autoryzację decyzji związanych z wyborem dostawcy usług chmurowych. 

Model scentralizowany

Model jest stosowany przez Singapur i Niemcy. Standaryzuje on procesy akredytacji bezpieczeństwa w całej jednostce administracyjnej. Decyzje podejmowane są w centrali jednostki, zgodnie z ustalonym zestawem kryteriów, związanych z zapewnieniem najwyższego z możliwych poziomów bezpieczeństwa dla całej organizacji. Taki proces decyzyjny może być dość czasochłonny, ale w perspektywie długoterminowej raz zatwierdzone usługi chmurowe, mogą zostać wykorzystane przez wszystkie departamenty, wchodzące w skład danej jednostki. Model związany z publikacją i utrzymaniem standardów przez centralę  jednostki rządowej oraz poświadczenie przez dostawcę usług chmurowych  posiadania wymaganych akredytacji. Nie jest wymaganą  formalna ocena lub zgoda rządu.

Model hybrydowy

Łączy w sobie atrybuty dwóch wcześniej wymienionych modeli. Model FedRAMP (Federal Risk and Authorization Management w Stanach Zjednoczonych) jest hybrydą, która zawiera dwie ścieżki: ścieżkę zdecentralizowaną (autoryzacja agencji) i ścieżkę scentralizowaną Joint Authorization Board (JAB). W modelu hybrydowym zasoby wymagane do osiągnięcia konsensusu między wieloma decydentami również stanowią dodatkowe obciążenie. Związane jest to wytycznymi przygotowanymi przez organy państwowe oraz decyzjami dotyczącymi oceny ryzyka.

Ostatecznie –  proces adopcji chmury zależy od wielu czynników, specyficznych dla każdej sytuacji. Dlatego też  warto zapoznać się z najlepszymi praktykami, które pomogą zastosować właściwy model, a które szczegółowo zostały opisane w Accreditation Models fo Secure Cloud Adoption.

 

W kontekście polskiego rynku IT i kryterium bezpiecznej adopcji do chmury obliczeniowej warto wspomnieć o Standardach Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO). Jest to dokument opracowany w ramach zbioru Narodowych Standardów Cyberbezpieczeństwa, przywołanego w Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024. Ma on na celu:

  • podniesienie poziomu bezpieczeństwa przetwarzania danych i świadczenia usług elektronicznych w administracji rządowej;
  • trwałe obniżenie kosztów stałych przetwarzania danych;
  • podniesienie efektywności wydatkowania środków w projektach zawierających elementy infrastruktury IT;
  • skrócenie czasu realizacji nowych przedsięwzięć informatycznych przez szybsze udostępnianie wymaganej infrastruktury IT;
  • ograniczenie zjawiska wielokrotnego gromadzenia tych samych danych w środowiskach informatycznych oraz zniesienie barier technologicznych w przypadku rejestrów publicznych;
  • upowszechnienie modelu przetwarzania w chmurach obliczeniowych jako głównego sposobu realizacji systemów teleinformatycznych państwa (w tym również zmiana technologii wytwarzania oprogramowania).

Źródło: https://chmura.gov.pl/informacje/scco/

SCCO jest stosowany w ramach Systemu Zapewniania Usług Chmurowych (ZUCH), w którym znajdują się również usługi świadczone przez team LCloud. Wybór dostawcy usług jest ważny z perspektywy jakości usług oraz wsparcia w procesie migracji i tworzeniu od podstaw bezpiecznej i skalowalnej infrastruktury. Wybór odpowiedniego partnera wdrażającego  usługi chmurowych, posiadającego doświadczenie w projektowaniu rozwiązań migracyjnych jest kluczowym dla sukcesu i bezproblemowego przeniesienia istniejącej (lub utworzenia nowej) infrastruktury w chmurze obliczeniowej. Ponadto dostawca usług chmurowych dba o transparentność i zgodność wdrożonego rozwiązania z aktualnymi wymogami prawnymi, co z kolei zapewnia ujednolicenie standardów bezpieczeństwa w organizacji.

Podsumowując, zbadanie możliwości związanych z wyborem modelu akredytacyjnego i zrozumienie, w jaki sposób każdy z nich może ułatwić pomyślne wdrożenie chmury obliczeniowej i  umożliwia organizacjom dokonanie najlepszego dla nich wyboru. 

Jeśli nie wiesz jaki model wybrać, pomożemy Ci w procesie. Zachęcamy do kontaktu mailowego na adres kontakt@lcloud.pl lub poprzez formularz kontaktowy znajdujący się w stopce strony. 

× Niniejszym oświadczam, że zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. oraz ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną, wyrażam zgodę na przetwarzanie podanych przeze mnie danych osobowych w celach marketingowych, w tym celem otrzymywania informacji handlowych drogą elektroniczną pochodzących od Lcloud spółka z ograniczoną odpowiedzialnością na potrzeby promocji jej usług. Udostępniane dane są chronione w pełni zgodnie z Ustawą o ochronie danych osobowych. Lcloud Sp. z o.o. (z siedzibą w Warszawie, ul. Złotej 59) jest administratorem bazy danych osobowych. Udostępniający ma prawo do wglądu, zmiany i usunięcia danych osobowych z bazy Lcloud Sp. z o.o.

Szczegóły dotyczące sposobu, celu i czasu trwania przetwarzania dostępne są w Polityce Prywatności i Cookies.