Back
dot dot dot

Disaster Recovery i bezpieczeństwo danych: jak zabezpieczyć zasoby firmy w chmurze

2022-08-22 11:09:27

Biorąc pod uwagę gwałtowny wzrost popularności rozwiązań chmurowych, zwiększenie liczby naruszeń bezpieczeństwa jest tylko kwestią czasu. 

W raporcie 2022 State of Kubernetes (Stan Kubernetes na 2022 rok) przygotowanym przez Red Hat 93% respondentów wskazało, że doświadczyło co najmniej jednego incydentu bezpieczeństwa w swoich środowiskach kontenerowych w ciągu ostatnich 12 miesięcy. Konsekwencją wielu z tych incydentów była utrata klientów lub przychodów i spowolnienie prac nad aplikacjami.

Utrzymanie ciągłości działalności biznesowej w chmurze jest równie kluczowe – wystarczy wspomnieć awarię firmy Atlassian na początku tego roku. Skrypt konserwacyjny przypadkowo wyłączył kilka usług chmurowych firmy, odcinając 400 klientów od kluczowych usług, w tym JIRA, na prawie tydzień. 

Jeśli więc chcesz uniknąć podobnych problemów, Disaster Recovery i bezpieczeństwo danych to dwie kwestie, które powinny znaleźć się na szczycie listy kontrolnej dotyczącej migracji do chmury. 

Omówię je szczegółowo w tym artykule i mam nadzieję, że odpowiem na niektóre z twoich najbardziej palących pytań dotyczących bezpieczeństwa w chmurze. Zacznijmy od kwestii najcięższego kalibru. 

Czy dane mojej firmy są w chmurze bezpieczne?

Krótka odpowiedź brzmi: tak, są. Na pewno bardziej, niż gdyby przechowywać je lokalnie.  

 

Spośród incydentów opisanych w 2020 Data Breach Investigations Report (Raporcie z analizy naruszeń bezpieczeństwa danych na 2022 rok) opracowanym przez Verizon, tylko jeden na cztery dotyczył zasobów w chmurze, podczas gdy 70% było związanych ze środowiskami on-premise. 

 

Nie oznacza to bynajmniej, że przeniesienie zasobów do chmury jest rozwiązaniem problemu naruszeń bezpieczeństwa – żaden system nie jest w 100% bezpieczny. 

 

Jednak dostawcy usług w chmurze zapewniają wielowarstwowe zabezpieczenia cyfrowych zasobów firm. Od szyfrowania danych po stałe aktualizacje zabezpieczeń i automatyczne łatanie, gwarantują oni poziom bezpieczeństwa, który dla większości firm byłby trudny do osiągnięcia na własną rękę. 

 

Jednocześnie oferują również opcje wspomagające utrzymanie ciągłości działalności biznesowej w przypadku niespodziewanych przerw w dostępności usług.

Czym jest Disaster Recovery w chmurze i dlaczego tego potrzebuję?

Disaster Recovery (DR) to proces, dzięki któremu organizacja może przewidywać incydenty IT i odzyskiwać dane po ich wystąpieniu. 

Do przerwy w dostępności usług może dojść w każdej chwili, czy to z powodu awarii, błędu krytycznego, czy też klęski żywiołowej. 

Gdy coś pójdzie nie tak, porządny plan DR pomoże ci szybciej odzyskać utracone zasoby i zminimalizować wpływ incydentu na wynik finansowy. Im szybciej powrócisz do normalnego funkcjonowania, tym krótszy będzie przestój i tym większa będzie satysfakcja twoich klientów – to prosta zależność. 

Jak stworzyć plan odzyskiwania danych w przypadku awarii?

Skuteczny plan DR zawiera następujące elementy:  

1: Komunikacja wewnętrzna i zewnętrzna

Zespół odpowiedzialny za plan DR musi mieć jasność co do ról i obowiązków oraz sposobu komunikacji z pracownikami, klientami i ze sobą nawzajem. 

2: Harmonogram odzyskiwania

Zespół DR musi określić cele i ramy czasowe dla przywracania normalnego funkcjonowania poszczególnych systemów po incydencie. Mogą się one różnić dla poszczególnych branż. W zależności od wymagań zespół DR może wybrać model Backup & Restore, Pilot Light, Warm Standby lub Multi-Site Active/Active.  

3: Kopie zapasowe danych

Plan DR określa sposób tworzenia kopii zapasowych danych, przy czym najczęściej spotykane opcje obejmują przechowywanie danych w chmurze, kopie zapasowe obsługiwane przez dostawcę oraz wewnętrzne kopie zapasowe danych znajdujące się poza siedzibą firmy. Plan powinien też wskazywać informacje, dla których będą tworzone kopie zapasowe, oraz osobę odpowiedzialną.

4: Testowanie i optymalizacja 

Sprawdzoną zasadą jest testowanie planów DR co najmniej raz w roku, aby zidentyfikować i naprawić ewentualne niedociągnięcia. Wszelkie strategie bezpieczeństwa danych także wymagają częstych przeglądów, jeśli mają skutecznie zapobiegać nieautoryzowanemu dostępowi.

W przypadku zarządzania DR na większą skalę automatyzacja znacznie przyspiesza proces i czyni go bardziej powtarzalnym. Na przykład AWS Elastic Disaster Recovery umożliwia odzyskanie aplikacji i uruchomienie ich na Amazon EC2 w przypadku incydentu. 

Istnieje wiele podejść do planowania DR, dlatego warto skorzystać ze wsparcia ekspertów w zakresie przetwarzania w chmurze, którzy pomogą wybrać rozwiązania oferujące najbardziej optymalny stosunek kosztów do korzyści. 

Jak zapewnić bezpieczeństwo danych?

Pierwszą kwestią, którą należy wziąć pod uwagę w zakresie bezpieczeństwa danych, jest miejsce i sposób ich przechowywania. To, gdzie znajdują się twoje dane i gdzie użytkownicy i aplikacje wchodzą z nimi w interakcje, ma ogromne znaczenie. 

 

Skuteczna strategia bezpieczeństwa przechowywania danych zapobiega nieautoryzowanemu dostępowi i zagrożeniom cybernetycznym, takim jak wirusy, robaki czy złośliwy kod.

 

Bezpieczeństwo przechowywania danych opiera się na takich aspektach jak zarządzanie sprzętem, tworzenie aplikacji, kontrola bezpieczeństwa sieci, polityka organizacyjna, bezpieczeństwo fizyczne i zachowania użytkownika.

Musi stanowić część szerszej strategii organizacyjnej mającej na celu ochronę wrażliwych danych bez względu na ich lokalizację – a to często złożony problem.

 

Mechanizmy bezpieczeństwa danych w twojej firmie muszą być adekwatne do znaczenia chronionych zasobów. Do podstawowych metod zabezpieczeń można się ograniczyć tylko wtedy, gdy chronione zasoby mają niewielki wpływ na utrzymanie ciągłości działalności biznesowej. Natomiast w przypadku danych, których utrata lub ujawnienie może w znacznym stopniu wpłynąć na ciągłość działalności firmy, potrzebne będą znacznie bardziej zaawansowane i, co za tym idzie, droższe metody. 

 

Odpowiednie przygotowanie i wdrożenie polityki tworzenia kopii zapasowych nie jest zadaniem banalnym, należy bowiem uwzględnić wiele aspektów technologicznych i przeprowadzać regularne przeglądy procedur, aby uniknąć sytuacji, w których krytyczna awaria całkowicie nas zaskoczy.

 

Dlatego audyty polityk bezpieczeństwa w chmurze i zgodności z przepisami wniosą ochronę danych w twojej firmie na jeszcze wyższy poziom. 

Czy z tego samego powodu powinienem (powinnam) zainteresować się IaC? 

Dokładnie tak. Infrastruktura jako kod (Infrastructure as Code, IaC) zdobywa świat szturmem i nie ma w tym nic dziwnego.

Zarządzanie infrastrukturą za pomocą kodu, a nie ręcznych procesów, pozwala zaoszczędzić czas i pieniądze, zwiększyć spójność i zmniejszyć częstotliwość występowania błędów, które mogą prowadzić do incydentów bezpieczeństwa. Ponadto, jak wskazano w tym case study, IaC może przyspieszyć proces odzyskiwania danych po awarii.  

Historia naszego klienta – eksperta od inteligentnych urządzeń domowych, tink, doskonale pokazuje pozytywny wpływ IaC na możliwości utrzymania ciągłości działalności biznesowej. Dzięki opisaniu infrastruktury kodem firma była w stanie działać nieprzerwanie mimo nagłych wzrostów popytu, a także rozszerzyć działalność na nowe rynki międzynarodowe. 

Jesteś zainteresowany(-na) wprowadzeniem takich rozwiązań w swoim zespole? Napisz do nas i porozmawiajmy o twoich potrzebach w zakresie bezpieczeństwa w chmurze. 

Źródła:

Red Hat – 2022 state of Kubernetes security report
https://aws.amazon.com/blogs/storage/creating-a-scalable-disaster-recovery-plan-with-aws-elastic-disaster-recovery/
https://aws.amazon.com/blogs/industries/how-energy-and-utility-companies-can-recover-from-ransomware-and-other-disasters-using-iac-on-aws/

previous next
scroll