Anunțurile de conformitate sunt la pagina Office 365 Becomes First and Only Major Cloud Productivity Service to Comply With Leading EU and U.S. Standards for Data Protection and Security. Am lăsat titlul original pentru cei care nu vor să citească detaliile.

Iată și textul meu din suplimentul MarketWatch:

Încrederea în cloud

De-a lungul istoriei, se cunosc nenumărate tehnologii disruptive, care au suferit ani buni de reticență din partea potențialilor utilizatori. Sistemul planetar al lui Kopernikus a avut nevoie de sute de ani până la adoptarea de către scepticii heliocentrismului. Deținătorii primelor aparate foto au avut mari probleme cu persoanele care credeau că li se va afecta sufletul prin expunerea la fotografiere. Iar dilemele din perioada apariției telefoanelor includeau chiar temerea de infecție prin convorbire la distanță. Oarecum similar, cloud computing-ul are și el dilemele sale din partea potențialilor utilizatori, iar acestea sunt legate de trei concepte: securitatea, confidențialitatea datelor și fiabilitatea serviciilor.

Utilizarea cloud computing este o transformare inevitabilă, dată în principal de flexibilitatea crescută, de ușurința administrării și scăderea costului operării sistemelor IT (tehnologia informației). Eficiența economică este atât de mare încât această transformare este, cum spuneam, inevitabilă. Boom-ul cloud-ului din ultimii ani și ritmul intrinsec mult mai rapid de evoluție al IT-ului, întăresc sondajele și predicțiile analiștilor, care estimează accelerarea adopției în următorii ani. Conform IT Governance Institute (http://www.itgi.org/), 3 din 5 departamente IT din firme medii și mari implementează deja proiecte de cloud și al 4-lea are deja în plan.

Însă cloud-ul impune tratarea amenințărilor și a riscurilor într-un mod diferit. Până acum organizațiile aveau control complet asupra datelor fiindcă acestea erau administrate în ograda lor. Acum, în lumea cloud-ului, organizațiile sunt parte dintr-un sistem de parteneriate cu furnizorii de servicii în cloud, iar acest lucru necesită un limbaj comun în ceea ce privește încrederea și capabilitățile de securitate. Microsoft are două abordări pentru a demonstra capabilitățile sale de securitate în cloud.

Prima este conformitatea sistemului nostru de management al securității informației cu standardul ISO/IEC 27001:2005 pentru operarea zi de zi a centrelor de date și o colecție de alte standarde specifice diverselor industrii și regiuni: SAS 70 Type I and II, Sarbanes-Oxley, Payment Card Industry Data Security Standard, Federal Information Security Management Act etc.

A doua abordare privește transparența totală. Ne supunem regulat auditărilor independente, împărtășim rezultatele acestor evaluări cu clienții noștri dar și cu restul industriei, pentru a ridica nivelul discuțiilor pe tema securității în cloud. Clienții noștri sunt bineveniți și ei în centrele noastre de date, iar până atunci le recomandăm să studieze documentele publicate pe siteul http://www.globalfoundationservices.com/ și să nu ezite să ne contacteze pentru întrebări.

Un alt aspect este subliniat în ultimul nostru Security Intelligence Report (http://www.microsoft.com/security/sir/) și anume că peste 99% din atacurile curente din internet se bazează pe vulnerabilități cunoscute. Acest lucru arată importanța actualizării software-urilor de pe orice calculator, dispozitiv sau server. Nu trebuie uitat că în IT de obicei sunt aplicații cu două capete: un capăt la utilizator și un alt capăt pe serverele organizației sau în cloud. Dualitatea asta ne arată că nivelul de securitate al unui sistem IT este dat de capătul cel mai puțin sigur. Așa că actualizarea sistemelor utilizatorilor este la fel de importantă. Dar să revenim la cloud.

Datele

Din punct de vedere practic, orice organizație care dorește să utilizeze cloud-ul, trebuie să vadă întâi dacă datele pe care le pune în cloud sunt senzitive sau nu. Dacă sunt date publice, nu e nici o problemă, însă dacă datele sunt senzitive, atunci va trebui să le securizeze conform cu nivelul de senzitivitate. Fiecare va trebui să decidă pentru sine, care este acest nivel. De exemplu, platforma de cloud Windows Azure expune facilitățile de criptare cu care dezvoltatorii sunt deja obișnuiți în .NET. Nu uitați, controlul datelor este la client. Furnizorul de cloud are doar grijă să nu piardă aceste date, să ofere izolarea lor și implicit să nu autorizeze accesul la ele decât așa cum decide clientul.

Accesul la date

Un al doilea aspect este cum se dă acces la date. Din nou, dacă datele sunt publice, se poate da acces pentru oricine, dar dacă datele sunt senzitive, vom avea nevoie de un sistem de a identifica utilizatorii. Crearea de sisteme de autentificare independente pentru fiecare aplicație poate duce la haos sau la necesitatea de a investi în sisteme complexe de management al identităților. Recomandarea în cloud este să se folosească identitățile existente deja, de exemplu cele din Active Directory pentru aplicații interne sau Live ID, Facebook ID etc pentru aplicații publice. Office 365 și Windows Azure sunt capabile să accepte astfel de identități existente. Odată rezolvată problema identității utilizatorilor, se poate trece la autorizarea lor pe date.

Dezvoltarea de software

Pentru unii clienți, cloud-ul înseamnă să dezvolte o aplicație în cloud sau să contracteze dezvoltarea unei astfel de aplicații. Se impune respectarea unui proces de dezvoltare care să includă aspecte de securitate și de confidențialitate din faza de proiectare până după instalare, adică în perioada de utilizare. Microsoft a publicat documentația proceselor sale interne de dezvoltare și uneltele de testare, rafinate pe parcursul a 8 ani de experiență (de la lansarea inițiativei Trustworthy Computing în 2002) sub numele de Security Development Lifecycle: http://www.microsoft.com/security/sdl/. Încurajăm orice dezvoltator să studieze și să folosească astfel de practici.

Aspecte operaționale

Pe lângă conformitatea cu standardele de mai sus, Microsoft impune restricții operaționale care privesc multiple niveluri de securitate fizică și electronică, politici transparente de retenție a datelor, procese de distrugere a discurilor defecte pentru a evita recuperarea frauduloasă a datelor, planuri de continuitate a business-ului inclusiv răspuns la dezastre, dar și managementul riscurilor pentru situații neprevăzute.

Răspuns la incidente

Clienții noștri se așteaptă ca serviciile noastre din cloud să fie fiabile. Au business-ul lor, și bineînțeles clienții lor, a căror nevoi trebuie să le satisfacă. Și totuși, se pot întâmpla incidente, de la defecțiuni hardware până la dezastre naturale care paralizează o națiune. E bine să înțelegem că astfel de incidente pot apărea. Chiar și așa, este normal ca un furnizor de cloud să aibă resursele globale și cunoștințele să ia măsuri pentru a minimiza impactul incidentului asupra serviciului pe care îl furnizează. Aceasta e rațiunea pentru care Microsoft oferă găzduire de date redundantă geografic pentru aplicațiile critice. Mai mult, în cazul oricărui incident, clienții noștri pot apela la suport oficial implementat în 4 centre operaționale cu funcționare non-stop. Aceste centre implică, dacă este nevoie, echipe specializate ca Microsoft Security Response Center pentru a investiga și a rezolva incidente de securitate.

Concluzie

Suntem conștienți că succesul nostru ca furnizori de cloud va fi dat, în mare măsură, de capacitatea de a ne proteja clienții. Cu timpul, odată ce clienții care adoptă timpuriu vor fi satisfăcuți, problema încrederii va dispărea și veți privi furnizorii de cloud ca orice alt furnizor de electricitate, gaz, apă sau telefonie. Până la urmă, dvs decideți ce responsabilități de securitate vreți să administrați singuri și ce lăsați pe seama furnizorului de cloud. Pentru a lua această decizie, puteți pune câteva întrebări furnizorilor de cloud cu care doriți să colaborați și veți vedea că problema încrederii se va cristaliza pe măsură ce veți primi răspunsurile:

- Ce investiții faceți în tehnologie și procese în domeniul securității, confidențialității și fiabilității?
- Cum vă asigurați că aplicațiile și datele mele sunt protejate de vulnerabilități?
- Conform căror certificări și standarde operați serviciile din cloud?
- Ce planuri de continuitate a businessului aveți și cum le testați?
- Cum monitorizați calitatea serviciilor din cloud și ce faceți în situații neprevăzute?

Deh, popularitatea aduce cu sine și atenția ”specialiștilor în securitate”, așa că nu mai e suficient ca un vendor de browser să spună că este ”mai secure” decât concurența, trebuie să și demonstreze. Bravo IE!

Zilele trecute am fost întrebat de jurnaliști despre securitatea în cloud fiindcă este principala îngrijorare a clienților care se gândesc la servicii în cloud. Iată ce am răspuns:

Trecerea la cloud computing este o transformare inevitabilă, dată în principal de flexibilitatea crescută, de ușurința administrării și scăderea costului operării sistemelor IT (tehnologia informației). Această transformare impune tratarea amenințărilor și a riscurilor într-un mod diferit. Până acum organizațiile aveau control complet asupra datelor fiindcă acestea erau administrate în ograda lor. Acum, în lumea cloud computing-ului, organizațiile sunt parte dintr-un sistem de parteneriate cu furnizorii de servicii în cloud, iar acest lucru necesită un limbaj comun în ceea ce privește încrederea și capabilitățile de securitate. Microsoft are două abordări pentru a demonstra capabilitățile sale de securitate în cloud.

Prima este conformitatea sistemului nostru de management al securității informației cu standardul ISO/IEC 27001:2005 pentru operarea zi de zi a centrelor de date și o colecție de alte standarde specifice diverselor industrii și regiuni: SAS 70 Type I and II, Sarbanes-Oxley, Payment Card Industry Data Security Standard, Federal Information Security Management Act etc.

A doua abordare privește transparența totală. Ne supunem regulat evaluărilor independente, împărtășim rezultatele acestor evaluări cu clienții noștri dar și cu restul industriei, pentru a ridica nivelul discuțiilor pe tema securității în cloud. Clienții noștri sunt bineveniți și ei în centrele noastre de date, iar până atunci le recomandăm să studieze documentele publicate pe siteul http://www.globalfoundationservices.com/security/ și să nu ezite să ne contacteze pentru întrebări.

Ah, și lasă automatic update să-și facă treaba, fiindcă de aia a fost făcut: să facă update.

Cheers!

PS: dacă ai o copie piratată de Windows, stai liniștit, calculatorul ăla nu mai e al tău de mult. E al hackerilor

Cine conduce detașat? Ah, IE8.
E vorba de SmartScreen Filter din IE8 și nu, nu-l căutați în IE6 sau IE7.

1. specificațiile criptografice ale U-Prove sub Open Specification Promise
2. kituri de dezvoltare (SDK) pentru C# și Java sub licența BSD
3. un prim preview (CTP) cu implementarea Microsoft a U-Prove sub forma unei extensii la Windows Identity Framework, plus actualizări pentru CardSpace și ADFS 2.0

De ce este important? Fiindcă tehnologia asta permite niște scenarii foarte interesante. Știm de la grădiniță că în IT dacă impunem securitate, de obicei se sacrifică ușurința în utilizare și, de cele mai multe ori, se sacrifică din intimitatea utilizatorului (nz: voi folosi ”intimitate” pentru conceptul de privacy). Există foarte multe scenarii, în care este de dorit să nu se divulge ”chestii” despre utilizator, decât ceea ce este necesar. De exemplu:

• în tranzacțiile (plățile) mici de pe internet, unde nu este necesar să se știe cine face plata (donații, micropayments)
• la cumpărarea de medicamente (sau alte plăți anonime), unde nu doresc să dezvălui identitatea mea, decât faptul că sunt eligibil (am rețetă de la medic) și că am suficienți bani
• în sisteme medicale, care să elibere doar anumite rezultate ale pacientului către medicul destinație
• în scenarii în care nu dorim trasabilitatea comportamentului utilizatorului, nici măcar de către furnizorul de identitate (de ex: sisteme de vot electronic) etc

Toate astea în condițiile în care se păstrează securitatea sistemului. Se numește ”minimal disclosure”, iar aplicațiile sunt ”privacy-enabled”. Este într-adevăr magic, sau cum spune Stefan Brands, creatorul U-Prove: crypto magic.

Vă recomand să urmăriți interviurile lui Vittorio de pe Channel9 IdElement:

1. Announcing Microsoft’s U-Prove Community Technical Preview:

2. Deep Dive into U-Prove Cryptographic protocols:

3. U-Prove CTP: a Developers’ Perspective:

Reamintesc că:

1. Dacă cineva (bad guy) vă convinge să instalați o aplicație pe calculatorul vostru, atunci acel calculator nu mai este al vostru, indiferent de sistemul de operare. Atenție la ce mizerii descărcați de aiurea!
2. Microsoft Security Essentials este un antivirus gratuit, descărcabil de la http://www.microsoft.com/security_essentials/. Ah, aveți și versiunea în limba română. Enjoy!

”desfă mașina, arde/taie chipul TPM cu acid sau unelte specializate, curăță-l să ajungi la circuite, îngheață-i memoria cu He lichid, fă conexiuni cu unelte specializate, extrage cheile din memorie etc„,

sau atacurile de orice alt tip din familia cu două sau mai multe ”vizite”. Dacă sunteți paranoici, atunci 3) configurați BitLocker să detecteze modificările din secvența de boot. Pe de altă parte, dacă dețineți informații atât de importante, ca să atrageți astfel de atacuri sofisticate, atunci aveți probleme mult mai grave decât BitLocker-ul din Windows. Poveștile astea mă duc cu gândul la scenariile în care cineva trebuie să transporte o sumă mare de cash sau documente importante într-o geantă și își leagă geanta de mână cu cătușe. Ei bine, dacă valoarea genții e foarte mare, credeți că un atacator ezită la tăierea unei mâini?

Pentru cei care încă nu știu, BitLocker este tehnologia de criptare a discurilor din Windows 7, Vista și Windows Server, bazată pe un microcontroler hardware, numit TPM. Acest TPM se ocupă și cu stocarea cheilor de criptare și este capabil să se autoizoleze, dacă detectează o intruziune.

Sunt curios cât va dura, până vom avea pe plăcile de bază TPM-uri, care să se autoizoleze, dacă sesizează intruziune fizică sau modificări majore de temperatură?

Herczeg. Zoli Herczeg

Nu uitați nici de prezentarea de la Solution Architect Briefing: SAB 26jan2010 claims-based identity.pptx (1MB)