neděle 14. listopadu 2010

Bezpečnost Google Apps

Google Apps, balík aplikací provozovaných společností Google, funguje na principu SaaS - Software as a Service aneb Software jako služba, což je jeden z konceptů Cloud Computingu - nového směru ve využívání informačních technologií. Jedná se o způsob provozování aplikací v prostředí internetu, kdy je využíváno úspor z rozsahu - jedna instance aplikace obsluhuje velké množství zákazníků a výpočetní kapacita je přidělována dle potřeby.

Data v cloudu


Co se týče bezpečnosti, tak už samotný koncept Cloud Computingu přináší poměrně zásadní změny v přístupu k datům, která jsou nyní primárně uložena na vzdálených serverech a uživatelé je většinou jen zobrazují. Právě umístění firemních dat u cizího subjektu je však pro mnohé firmy a jednotlivce nepředstavitelné. Neuvědomují si však, že data umístěná na vlastních serverech, sdílených discích a v počítačích zaměstnanců, jsou v drtivé většině případů zabezpečena hůře a jejich zneužití, ztráta nebo odcizení je tak snazší. Cloud computing přináší specializaci - externí poskytovatelé mají péči o data jako předmět podnikání a proto této činnosti věnují maximální pozornost, jak z hlediska nastavení procesů, tak investic do zabezpečovacích technologií. Cloud computing dále přináší přesun z lokálních úložišť do vzdálených. Největší rizika ztráty dat totiž hrozí při uchovávání jedinečných firemních dat v počítačích zaměstnanců (podle statistik se na nezabezpečených počítačích nachází 60 % firemních dat), kde kromě poruchy hrozí např. odcizení notebooku (během roku se ztratí 1 z 10 notebooků ve firmě) nebo ztráta USB flash disku (to se stalo 66 % uživatelů a v 60 % obsahoval flash disk firemní data).

Tento trend se dá přirovnat ke vzniku bank a následně bankomatů a platbám kartou - od obálek pod polštářem nebo domácích trezorů k sejfům s časovými zámky, kamerovým systémem a ochrankou a místo přenášení velkých objemů v hotovosti k platbám kartou nebo výběrům z bankomatu v případě potřeby.

Jak bezpečnost řeší Google?

Google už od svého počátku funguje jako čistě internetová společnost a uchovávání citlivých informací, tak už řeší řadu let a má vyvinut propracovaný systém a nastavené procesy pro udržování maximálního možného zabezpečení. Zaměstnává také speciální tým (Google Information Security), který se o zabezpečení stará a zajišťuje vývoj nových technik. K hlavním prvkům zabezpečení na straně Google patří:

  • data uživatelů jsou rozmístěna mezi různá data centra
  • v systému nejsou uložena jako běžný text, který lze přečíst, ale jsou rozdělena do nečitelných fragmentů (distribuovaný filesystem)




  • všechna data jsou replikována a zálohována ve více datacentrech současně
  • servery jsou homogenní a obsahují pouze nezbytné SW vybavení pro svou specifickou činnost (minimalizace rizika útoků)
Řešení Google Apps také vyhovuje bezpečnostnímu auditu SAS 70 Type II, což je respektovaný nezávislý audit procesů a kontrol vyvinutý americkou institucí AICPA.

Bezpečnost na straně klienta

Výše zmíněná opatření doplňuje zabezpečení přenosu dat, autentizace uživatele a nastavení mobilních zařízení.
Jedním z prvků zabezpečení je použití šifrovaného spojení - HTTPS#, kdy jsou data mezi prohlížečem (nebo poštovním klientem) a servery Google šifrována pomocí protokolu SSL/TLS. Administrátor může šifrované spojení vynutit.

Dalším prvkem je sledování aktivity v prostředí Gmailu. Gmail loguje z jakých IP adres je k němu přistupováno a v případě neobvyklých aktivit je uživatel upozorněn. Lze také vzdáleně odhlásit všechny relace (např. pokud se uživatel zapomene odhlásit při použití cizího počítače).

Administrátor může také vzdáleně vyresetovat heslo pro přístup k uživatelskému účtu nebo nastavit požadovanou délku hesla.

Pro mobilní zařízení (iPhone, Windows Mobile, Nokia Serie E a Android), ze kterých je přistupováno ke datům z Google Apps, lze také nastavit následující bezpečnostní pravidla:
  • Povolení Google synchronizace (synchronizuje e-maily, kalendáře a kontakty)
  • Heslo a jeho složitost pro uzamčení zařízení
  • Automatické uzamikání zařízení
  • Vzdálené smazání daz z přístroje (wipe)
Dostupné v Google Apps Premier a Education Edition.



Novinkou v zabezpečení ve verzi Premier a Education je použití tzv. dvoukrokové verifikace při přihlášení, kdy kromě hesla musí uživatel zadat ještě speciální ověřovací klíč. Ten si buď vygeneruje pomocí k tomu určené aplikace dostupné pro chytré mobilní telefony (v současné době OS Android, iPhone a Blackberry) nebo mu je zaslán pomocí SMS. Tímto je přístup k aplikacím Google zapezpečen lépe než některá internetová bankovnictví.


Z uvedených informací tedy vyplývá, že zabezpečení dat v Google Apps je velmi důkladné a dosahuje vyšší úrovně bezpečnosti, než jaké je schopna dosáhnout většina podniků.

Více informací se můžete dočíst v Security Whitepaper: Google Apps Messaging and Collaboration Products nebo nás kontaktujte.