DESPRE CLOUD, REGLEMENTARI SI SPECIFICATII DE SECURITATE, CU DOAMNA DR. MICHAELA IORGA

IMPORTANTA REGLEMENTARILOR SI SPECIFICATIILOR DE SECURITATE PENTRU SUCCESUL ADOPTARII MODELELOR CLOUD COMPUTING LA NIVELUL AGENTIILOR GUVERNAMENTALE

Interviu realizat de Radu Crahmaliuc – initiatorul proiectului cloud☁mania.

Interviul a fost publicat in cea mai recenta editie a Catalogului Cloud Computing Romania.

Am avut ocazia sa discut cu doamna Dr. Michaela Iorga – Senior Security Technical Lead for Cloud Computing la National Institute of Standards and Technology, despre importanta standardizarii in mediile guvernamentale de cloud si problemele pe care le pot intampina agentiile in adoptarea cloud-ului.

Dr. Michaela Iorga detine in prezent functia de Senior Security Technical Lead for Cloud Computing in cadrul National Institute of Standards and Technology (NIST), Computer Security Division. Dr. Iorga prezideaza de asemenea grupurile de lucru Cloud Computing Public Security si Cloud Computing Forensic Science din cadrul NIST. Avand o experienta bogata acumulata in pozitii de consultant pentru organizatii guvernamentale si private inainte de a se alatura NIST, Dr. Iorga este un expert recunoscut in securitatea informatiei, evaluarea riscului, a nivelului de protectie a informatiei si in securitatea in cloud computing, avand o intelegere profunda a problemelor de securitate cibernetica, de management a identitatii si acreditarii persoanelor fizice si de asigurare a protectiei datelor personale, precum si cunostinte avansate in domeniul proiectarii si implementarii sistemelor complexe de securitate.

Care sunt cele mai frecvente dificultati de securitate pe care trebuie sa le infrunte agentiile guvernamentale la adoptarea tehnologiilor cloud?

Dr. Michaela Iorga: In anul 2010, directorul de IT al Guvernului Federal american a introdus un plan de implementare bazat pe 25 de puncte, in scopul modernizarii sistemelor de management IT la nivel national, bazat pe o strategie de migrare la cloud. Pe linia acestui plan, un grup de actiune format din NIST si alte agentii a primit atributii specifice din partea U.S. Chief Information Officer, cu menirea de a crea premisele si a accelera adoptia tehnologiilor cloud computing. De la bun inceput s-a constientizat ca la adoptarea platformelor cloud computing la nivel Federal, unul dintre factorii cheie este acela legat de satisfacerea cerintele de securitate si de protejare a informatiilor legate de persoane fizice. Rezultatul amplelor activitati de cercetare si documentare realizate de NIST se regaseste in publicatia „Challenging Security Requirements for the US Government Cloud Computing Adoption”

Este important de notat ca acest document nu este o lucrare ampla, ci mai curand prezinta un cliseu temporal care ilustreaza deficultatile de securitate percepute ca impedimente ce pot preveni adoptarea tehnologiei cloud in stadiul primar, timpuriu, al adoptarii tehnologiei cloud de catre agentiile Guvernului S.U.A. Pozitia NIST in acest proiect nu este legata strict de stabilirea si urmarirea aplicarii regulilor prin monitorizarea celorlalte organizatii guvernamentale, ci mai degraba de utiliza rezultatele cercetarilor sale pentru directionarea propriei activitati pentru o cat mai buna aliniere la misiunea generala a agentiei. Cateva dintre obstacolele identificate in acest document si reiesite in cadrul discutiilor pe care NIST le-a gazduit cu ocazia recentului eveniment „Intersection of Cloud and Mobility Forum and Workshop” graviteaza in jurul proceselor si mecanismelor de autorizare, autentificare, confidentialitate si ne-repudiere. Deoarece tehnologia cloud ofera un ecosistem elastic focalizat pe centralizarea datelor, migrarea de la modelul traditional – bazat pe sistem cu perimetre bine definite – la acest model nou, stratificat din punct de vedere functional si cu diviziunea responsabilitatilor de implementare, coordonare si monitorizare, izolarea datelor pe verticala in acest model cu utilizatori multipli, poate fi perceputa ca o dificultate tehnica. Diseminarea solutiilor de Securitate si protectie a informatiilor personale trebuie realizata la toate nivelele functionale pentru a integra o solutie care acopera intregul ecosistem cloud, de la hardware si software, la oameni si procese.

Exista deja o evidenta pentru cele mai bune practici legate de securitatea in cloud?

Dr. Michaela Iorga: Multe dintre pericolele cu care se confrunta sistemele bazate pe cloud computing sunt similare cu cele asociate sistemelor IT clasice. Odata cu dezvoltarea foarte rapida a industriei cloud, prin beneficiile clare pe care le poate oferi, se poate observa o crestere a activitatilor criminale in cloud. Prezenta unor volume masive de date provenite de la entitati si organizatii multiple, intr-o singura infrastructura cloud creeaza tinte mult mai atractive pentru atacatori, de la accesarea malitioasa, la fraude sau simpla compromitere a datelor. Pentru agentiile guvernamentale americane, respectarea cerintelor FISMA (Federal Information Security Management Act) nu este o noutate. Procesele de implementare ale unor solutii de securitate pentru sistemele IT se aplica de suficient timp, incat sa putem anticipa rezultatele. Misiunea NIST este de a facilita migrarea sistemelor guvernamentale catre cloud prin crearea de standarde si specificatii. In scopul de a explica cat mai clar aceasta misiune, in 2013 NIST a postat pentru comentarii publice documentul NIST Special Publication 500-299: „Cloud Computing Security Reference Architecture” ce ofera o vedere de ansamblu asupra arhitecturii NIST SP 500-292 „Cloud Computing Reference Architecture”, precum si un cadru metodologic pentru realizarea unui ecosystem cloud. In acest moment ne aflam in faza de finalizare a acestui document. SP 500-299 este rezultatul colaborarii membrilor din diferite sectoare de activitate (public, guvernamental, academic) care fac parte din grupul de securitate a tehnologiei cloud, denumit „NIST Cloud Computing Security Working Group”.

In viitorul apropiat NIST isi va continua misiunea de coordonare a programelor de Securitate pentru agentiile americane prin elaborarea unui document cadru pentru managementul riscului adaptat la cloud, derivat din NIST SP 800-37 si un document Cloud bazat pe standardul de control al securitatii NIST SP 800-53 R4. Mai mult de atat, pentru a adre sa cerintele de securitate ale agentiilor guvernamentale, NIST planuieste sa abordeze standardizarea contractelor pentru Security Service Level, ca parte a eforturilor actuale ale NIST de standardizare a Service Level Agreement (SLA) si SLA Metrics.

Cum poate NIST sa ajute agentiile la mentinerea masurilor de Securitate adoptate in cloud?

Dr. Michaela Iorga: Deoarece agentiile guvernamentale mentin responsabilitatea de a indeplini criteriile legate de Federal Information Security Management Act (FISMA), in functie de tipurile de date, servicii sau aplicatii migrate in cloud, agentiile trebuie sa se asigure ca furnizorii de servicii, brokerii sau furnizorii retelei de transport implementeaza la nivel de Service Level Agreements toate elementele de control al securitatii prevazute de NIST SP 800-53.

NIST nu este o organizatie cu rol de reglementare, dar reglementarile FISMA si OMB (Office of Management and Budget) solicita furnizorilor de servicii cloud ce gazduiesc informatii de nivel Federal sau care opereaza sisteme informatice ale Guvernului Federal sa indeplineasca aceleasi cerinte de securitate si confidentialitate ca oricare agentie guvernamentala. Aceste cerinte de securitate si confidentialitate pentru furnizori, brokeri sau furnizorii retelei de transport pentru servicii cloud, incluzand elemente de control pentru sistemele de procesare, stocare sau transmitere a informatiilor guvernamentale, trebuie sa se regaseasca in contractele de servicii sau orice alta forma de negociere, folosind atat reglementarile de risk management, cat si standardele si indrumarile de Securitate elaborate de NIST. Cu toate acestea, asa cum se arata si in documentul de reglementare NIST SP 800-37, autorizatiile de compatibilitate cu normele de securitate raman in responsabilitatea organismelor federale, strans legate de elementele de risk management asociate folosirii de servicii cloud.

Care sunt principalele oportunitati oferite de cloud computing organismelor guvernamentale?

Dr. Michaela Iorga: Cloud computing reprezinta fara indoiala una dintre cele mai atragatoare tendinte in evolutia tehnologica din IT. Modelele bazate pe cloud ofera un set unic si complementar de proprietati precum elasticitatea, rezilienta datelor, proviziona rea rapida si multi-tenanta, ceea ce asigura reducerea costurilor, atat in termeni de cheltuieli de capital (CAPEX), cat si ca modele de cost operational (OPEX). Cu toate acestea, ceea ce ii face pe cei care au adoptat aceste tehnologii sa ramana in cloud, nu se rezuma numai la reducerea costurilor, ci in special la abilitatea cloudului de a conferi agilitate si valoare adaugata pentru procesele lor de business. Cei care iau deciziile la nivel Federal apreciaza potentialul strategic al tehnologiilor cloud. Asa cum s-a intamplat si la larga adoptie a Web-ului, component de business a avut un rol majoritar in luarea deciziei de migrare la cloud. In anul 2012, in documentul „Federal Cloud First Policy,” Vivek Kundra – US Federal Government CIO, a prevazut, parafrazandu-l pe Sir Arthur Eddington – fizicianul care a confirmat Teoria Relativitatii a lui Einstein, ca „tehnologia cloud computing nu numai ca va deveni mai inovativa decat ne imaginam, dar va deveni mult mai inovativa decat ne putem imagina…”

Conform Gartner, folosirea cloudului va face ca „in anul 2016, cloudul sa reprezinte majoritatea in ansamblul cheltuielilor IT”. La randul sau, Scott Renda, seful Oficiului de Management si Buget (OMB), a declarat in cadrul evenimentului FOSE ca „tehnologia cloud computing este baza noii ere IT, este definitive aici ca sa ramana si sa se dezvolte.”

Pentru orice organizatie guvernamentala, principlele oportunitati oferite de cloud computing sunt legate de posibilitatea de a detine sisteme informatice mai puternice, mai eficiente, mai agile si mai inovative, prin folosirea efectiva a resurselor si a investitiilor IT. Prin adoptarea potentialului de inovatie dezvoltat in sectorul privat, Guvernul Federal incurajeaza dezvoltarea in continuare a acestui sector. De exemplu, la lansarea unui nou program inovativ, o agentie guvernamentala poate sa reduca simtitor barierele de timp si de cost prin adoptarea unei infrastructuri cloud care nu implica achizitii importante de echipamente hardware. Servicii cloud mai ieftine, asigura reducerea cheltuielilor guvernamentale, ceea ce contribuie la cresterea eficientei serviciilor guvernamentale.

Cum poate o agentie sa demareze migrarea la cloud? Care sunt primii pasi?

Dr. Michaela Iorga: Elementul cheie al migrarii in cloud este intelegerea rolului si responsabilitatilor tuturor celor implicati in orchestrarea ecosistemului cloud, de la rolul de consumator al agentiei guvernamentale – in calitate de beneficiar al serviciilor cloud, la responsabilitatile ce le revin furnizorilor de servicii, brokerului sau furnizorului retelei de transport – ca vendori pentru diferite servicii sau facilitati. De asemenea, este important pentru orice agentie sa fie compatibila cu procesele de certificare si autorizare oferite de FedRAMP, prin identificarea inteligenta a sistemelor de control care necesita adaptare, in functie de cerintele sistemelor cloud IT. Prin includerea propriilor cerinte de securitate in contractele pentru serviciile oferite (SLA) incheiate cu furnizorii sau brokerii, agentiile isi pot asigura elementele esentiale de securitate si in etapa post-migrare. Documentul NIST SP 500-299 introduce metodologia de orchestrare a securitatii la nivelul ecosistemelor cloud. Specificatii complementare se afla in curs de elaborare.

Cum pot agentiile sa aleaga intre diferitele modele cloud: hibrid, public, privat sau comunitar? Cum pot ele aprecia care model este mai bun?

Dr. Michaela Iorga: Pe cand documentul NIST SP 800-145 ofera un bun set de definitii ale NIST pentru toate modelele cloud, ansamblul de reglementari NIST SP 500-299 introduce o metodologie de orchestrare a securitatii in ecosistemele cloud. Documentul prevede de asemenea atributiile de baza ale fiecarui „actor” implicat in ecosistemul cloud, precum si nivelele lor de control si management pentru orice tip de servicii si modele cloud definite de NIST SP 800-145. In acest document, analiza este focalizata pe modelul de cloud public care confera cel mai scazut nivel de transparenta si de control pentru consumatorii de cloud.

Ca o completare la acest interviu ar fi interesanta parerea dumneavoastra legata de initiativa comuna a grupului Agora Media si a proiectului cloud☁mania de a realiza o serie de Cataloage Cloud pentru utilizatorii din Romania

Dr. Michaela Iorga: In incheiere as dori sa felicit grupul Agora Media si pe coordonatorul proiectului cloud☁mania pentru initiativa de a produce seria de Cataloage Cloud pentru utilizatorii de cloud din Romania. Citand pe Francis Bacon: „knowledge is power” si pe Kofi Annan care a continuat: „Information is liberating. Education is the premise of progress in every society”, putem concluziona cu confidenta ca este universal recunoscut faptul ca elementul fundamental al progresului este educarea publicului, iar seria de Cataloage Cloud Computing Romania ofera o sursa bogata de informatii.

Postari asociate: